Una falla grave sufrida en sistemas Microsoft a raíz de la actualización de un componente de ciberseguridad de la empresa CrowdStrike provocaba este viernes numerosas interrupciones a nivel global en aerolíneas, aeropuertos, sistemas de pago, de salud y medios de comunicación, entre otros servicios.
El update provocó problemas técnicos en los clientes de Windows pero también de Azure, la nube de Microsoft, una de las más usadas del mundo. Miles de equipos y servidores que usan la plataforma de seguridad CrowdStrike, llamada Falcon, experimentaron un incidente con impacto global: aerolíneas, cadenas de televisión y bancos se encontraron con un loop en el arranque de sus equipos entre un “pantallazo azul” (BSOD) y el “modo de recuperación”, que impide iniciar el sistema operativo.
CrowdStrike es uno de los jugadores más grandes del mercado de la ciberseguridad, con muchos contratos con el Gobierno de los Estados Unidos y empresas norteamericanas. La compañía ya está aplicando medidas para recuperar los sistemas y levantarlos.
“La empresa admitió un fallo en una actualización de su plataforma CrowdStrike Falcon, uno de los sistemas de protección de Windows. El impacto solo aplica a computadoras con sistema operativo Microsoft Windows y no a otros sistemas operativos como Mac OS o Linux. Esto se evidencia en la aparición de la clásica pantalla azul de Windows, que indica que el sistema ha dejado de responder”, explicó a Clarín Matías Sliafertas, CISO de BASE4 Security, empresa de ciberseguridad argentina.
“Al ser un programa de seguridad tiene ciertos permisos especiales dentro de cada computadora y de cada empresa, ya que se encarga de manejar gran parte de la ciberseguridad local y de la red. Es por eso que cuando el mismo sistema que nos protege falla, lo que ocurre es que el programa actúa como si se atacara a sí mismo y, en este caso particular, se eliminó un archivo que es vital para el correcto funcionamiento del sistema. Es exactamente ahí donde radicó el problema”, precisó.
Algunos analistas hablan del “apagón informático” más grande de la historia desde WannaCry, un ransomware que paralizó al mundo en 2017.
Qué es CrowdStrike y por qué se produjo el incidente
CrowdStrike, fundada en 2011, es una empresa de ciberseguridad norteamericana que vende una plataforma de monitoreo de amenazas y bloqueo de atacantes, en función de proteger la superficie de ataque de una empresa o institución. “CrowdStrike es conocido por su enfoque en la ciberseguridad proactiva, utilizando técnicas avanzadas para identificar y mitigar amenazas antes de que puedan causar daños significativos”, explicó Sliafertas.
A nivel posicionamiento, es una de las compañías con más marketing de la industria: su sistema es reconocido en todo el mundo. “La empresa ha experimentado un crecimiento significativo desde su fundación. Logró establecer una fuerte presencia en el mercado global de ciberseguridad, siendo una de las principales opciones para grandes corporaciones y organizaciones gubernamentales. CrowdStrike cotiza en la bolsa de valores NASDAQ y ha visto un aumento constante en su valor de mercado, reflejando la creciente demanda por soluciones de ciberseguridad efectivas”, agregó.
La empresa lidera el mercado de lo que se conoce como “Endpoint Detection and Response (EDR)”, esto es, protección en tiempo real de dispositivos, sean teléfonos o computadoras. “Tiene una participación importante en el sector de la seguridad en la nube. La compañía ha conseguido contratos con numerosas empresas Fortune 500, lo que subraya su influencia y confiabilidad en la industria”, complementa el especialista.
Una vez que empezó el incidente, el CEO de la empresa, George Kurtz, subrayó en la red social X que lo ocurrido no es un incidente de seguridad ni un ciberataque, sino un problema aislado para el que ya se ha implementado una solución y para el que se está dando soporte a los clientes a fin de que obtengan las últimas actualizaciones.
CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024
Según explicó Microsoft, el cambio de configuración en una parte de la carga de trabajo de los servidores de Azure (la plataforma de computación en la nube creada por la compañía tecnológica para administrar aplicaciones y servicios) provocó una interrupción de almacenamiento y de procesamiento que afectó a los servicios de Microsoft 365.
Ello provocó la aparición de los pantallazos azules o “de la muerte” que en todo el mundo mostraban que los sistemas habían dejado de funcionar, y que había que reiniciar los servidores.
Microsoft indicó que se solucionó la causa subyacente del problema y se restauró la funcionalidad completa de varias aplicaciones y servicios de Microsoft 365, de forma que el impacto residual sigue afectando a algunas aplicaciones y servicios.
El equipo de ingeniería de Microsoft 365 sigue llevando a cabo acciones de mitigación adicionales y observa un aumento en la funcionalidad y la disponibilidad mientras continúa avanzando hacia una recuperación completa tratando este problema “con la máxima prioridad posible”.
El gigante tecnológico está trabajando para redirigir el tráfico afectado a sistemas alternativos para aliviar este impacto de una manera más conveniente.
Caos mundial por la caída de Microsoft
Esta interrupción del software vinculada a los sistemas de Microsoft ha provocado a nivel global problemas en multitud de sectores, siendo el aéreo uno de los más afectados.
Estos problemas se han extendido por el mundo, con varias de las grandes compañías aéreas estadounidenses quedándose en tierra, incidencias que han afectado también a los principales aeropuertos y aerolíneas de Europa y Asia.
A nivel global, los problemas han afectado a algunos de los principales medios de comunicación internacionales, al sistema informático de París 2024 a las puertas de los juegos olímpicos, a la Bolsa de Valores de Londres, así como a distintas compañías ferroviarias.
El impacto en Argentina y cómo solucionarlo temporalmente
En Argentina, en tanto, el impacto fue marginal, pero hubo reportes de dificultades para acceder en determinados sectores. Según pudo saber Clarín, una entidad de salud vio sus sistemas afectados y en empresas de tecnología como Globant tuvieron limitaciones para entrar a sistemas de terceros que usan Azure (Microsoft) y sufrieron el impacto.
En Ezeiza y Aeroparque, el impacto fue en el check-in: algunas líneas aéreas estaban chequeando de manera manual, pero sin inconvenientes en la programación de los vuelos.
“Hasta el momento entendemos que a nivel global la marca está trabajando en una solución oficial para que los equipos no sufran mayores complicaciones. De forma provisoria, la solución más efectiva, en caso de que no se haya frenado la actualización, consiste en reiniciar la computadora en modo seguro, y en el directorio de CrowdStrike del sistema operativo (generalmente es “WindowsSystem32driversCrowdStrike”) se deben eliminar los archivos de extensión “.sys” que comiencen con el nombre C-00000291. Finalmente se debe reiniciar la computadora nuevamente, y de esto modo el equipo debería funcionar normalmente”, agregaron desde BASE4.
La Agencia Federal de Ciberseguridad, creada el lunes de esta semana y cuyo titular es el experto Ariel “Wata” Waissbein, emitió un comunicado con las recomendaciones técnicas para arreglar temporalmente el problema.