El 18 de julio, CrowdStrike, una empresa independiente de ciberseguridad, lanzó una actualización de software que comenzó a afectar a los sistemas de TI a nivel mundial. Si bien no se trató de un incidente de Microsoft, el error en la distribución de esta actualización afectó a 8,5 millones de dispositivos Windows en todo el mundo.

Este evento no fue un ciberataque, sino un defecto en la actualización que afectó el acceso a aplicaciones y servicios de Microsoft 365 en diversos sectores. A continuación, analizaremos los detalles de este incidente y su impacto.

La raíz del problema

CrowdStrike informó que la falla se debió a un defecto en una actualización de contenido para los servidores de Windows. Este defecto provocó interrupciones en empresas y servicios críticos, incluyendo aerolíneas, bancos y medios de comunicación. George Kurtz, director general de CrowdStrike, aseguró que el problema fue identificado y aislado, y se desplegó una solución rápidamente para mitigar el impacto.

Por su parte, David Weston – VP de Seguridad Empresarial y de Sistemas Operativos de Microsoft, dijo en un comunicado de prensa de la compañía: «Desde que comenzó este evento, hemos mantenido una comunicación continua con nuestros clientes, CrowdStrike y desarrolladores externos para recopilar información y agilizar las soluciones. Reconocemos la disrupción que este problema ha causado en las empresas y en las rutinas diarias de muchas personas. Nuestro objetivo es brindar a los clientes orientación técnica y soporte para que los sistemas interrumpidos vuelvan a funcionar de manera segura».

Impacto en diferentes sectores

La caída afectó a una amplia gama de sectores, causando problemas en aeropuertos, bancos, y medios de comunicación. En los aeropuertos de todo el mundo, los sistemas de facturación y las cabinas de autoservicio quedaron inoperativos, lo que resultó en largas filas y pasajeros varados. Compañías aéreas como United, American, Delta y Ryanair reportaron interrupciones significativas en sus operaciones.

En el sector bancario, varios bancos en Nueva Zelanda quedaron fuera de servicio, afectando a clientes y transacciones. Los servicios de seguridad, como ADT, también se vieron afectados, al igual que gigantes del comercio electrónico como Amazon.

Por otra parte, las pequeñas empresas fueron particularmente vulnerables durante esta interrupción que ausó retrasos en la comunicación con clientes y proveedores, así como dificultades en la coordinación interna. Sin los recursos de las grandes corporaciones para mitigar el impacto, estas empresas enfrentaron desafíos significativos para mantener su funcionamiento regular durante la falla.

Respuesta y solución

Microsoft 365 indicó que estaba trabajando para redirigir el tráfico afectado a sistemas alternativos para aliviar el impacto. La compañía observó una tendencia positiva en la disponibilidad del servicio a medida que se implementan las soluciones necesarias. 

Por su parte, CrowdStrike, colaboró activamente con sus clientes para resolver los problemas derivados del defecto en la actualización. En un comunicado la empresa dijo: “Comprendemos la gravedad de la situación y lamentamos profundamente los inconvenientes y las interrupciones. Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan brindar los servicios con los que cuentan sus clientes.

Aseguramos a nuestros clientes que CrowdStrike está funcionando con normalidad y que este problema no afecta a nuestros sistemas de la plataforma Falcon. Si sus sistemas funcionan con normalidad, no habrá ningún impacto en su protección si el sensor Falcon está instalado.”

Pasos de solución alternativa para hosts individuales:

  • Reinicie el host para darle la oportunidad de descargar el archivo de canal revertido. Si el host vuelve a fallar, haga lo siguiente:
  • Arranque Windows en modo seguro o en el entorno de recuperación de Windows
  • NOTA: Colocar el host en una red cableada (en lugar de WiFi) y usar el Modo seguro con funciones de red puede ayudar con la solución.
  • Vaya al directorio %WINDIR%\System32\drivers\CrowdStrike
  • Localice el archivo que coincida con “C-00000291*.sys” y elimínelo.
  • Arranque el host normalmente.
  • Nota: Los hosts cifrados con Bitlocker pueden requerir una clave de recuperación.

En conclusión, este incidente subraya la importancia de la resiliencia y la preparación ante fallas tecnológicas en un mundo cada vez más dependiente de la tecnología. Las empresas deben estar preparadas para responder rápidamente a este tipo de problemas para minimizar el impacto en sus operaciones y en la vida de las personas.

Este evento nos recuerda la necesidad de contar con estrategias de contingencia robustas para garantizar la continuidad de los servicios en momentos críticos.