El fundido a azul que paraliz¨® a m¨¢s de 8 millones de ordenadores

El pasado viernes fue un d¨ªa inolvidable para t¨¦cnicos y responsables de sistemas de todo el mundo. La jornada arranc¨® con una ca¨ªda de sistemas que afect¨® a aeropuertos, instituciones financieras, hospitales, medios de comunicaci¨®n, supermercados y oficinas de todo el mundo. Un fallo en la actualizaci¨®n del antivirus Falcon CrowdStrike, que se ejecut¨® autom¨¢ticamente, provoc¨® el colapso de Windows, el sistema operativo m¨¢s usado, arrastrando consigo miles de ordenadores.

A lo largo del mismo viernes, tanto CrowdStrike, la firma estadounidense de ciberseguridad responsable del antivirus, como Microsoft publicaron instrucciones para que los usuarios, principalmente empresas, pudieran solventar el problema. La soluci¨®n pasaba por borrar el archivo que conten¨ªa la ¨²ltima actualizaci¨®n de Falcon y reiniciar el equipo.

?Ha quedado resuelto? Esto es lo que sabemos por ahora sobre el incidente que nos ha recordado el terror que produce la ¡°Pantalla Azul de la Muerte¡±, la que aparece cuando Windows se cae.

?Cu¨¢ntos afectados hay?

Microsoft asegura que se han visto afectados 8,5 millones de equipos en todo el mundo, lo que supone menos del 1% de los ordenadores que funcionan con el sistema operativo Windows (que a su vez tiene una cuota de mercado de m¨¢s del 70%). Esos ser¨ªan los clientes de Windows afectados directamente, dado que una sola m¨¢quina bloqueada en un mostrador de facturaci¨®n del aeropuerto, por ejemplo, pudo perjudicar a muchos viajeros de golpe. Microsoft no ha ofrecido desde el s¨¢bado nuevos datos al respecto, a pesar de las preguntas de este peri¨®dico.

?Qu¨¦ pas¨® concretamente?

La primera se?al de que algo no iba bien la recibimos de los aeropuertos. A primera hora de la ma?ana se hab¨ªan cancelado ya los primeros vuelos, que al final fueron 5.467 en todo el planeta y retrasos en otros 45.648. No tardaron en llegar noticias tambi¨¦n de fallos en bancos, sistemas de pago electr¨®nico, hospitales y oficinas, entre otros.

Pronto se supo que el problema no era consecuencia de un ciberataque, sino que ten¨ªa que ver con CrowdStrike, aunque no hubo confirmaci¨®n oficial por parte de la empresa hasta casi mediod¨ªa. La ¨²ltima actualizaci¨®n de Falcon, su antivirus m¨¢s avanzado, que monitoriza en tiempo real y usando inteligencia artificial una serie de amenazas (conocido en la jerga como EDR, endpoint detection and response), incorporaba un problema en el c¨®digo. Ese fallo afectaba a un driver (o controlador de dispositivo, un programa que indica al sistema operativo c¨®mo comunicarse con un hardware) que par¨® Windows y hac¨ªa saltar la temida pantalla azul.

La actualizaci¨®n se ejecut¨® en la madrugada del viernes 19 (en Espa?a eran las seis de la ma?ana, hora peninsular), por lo que pill¨® desprevenido a todo el mundo.

?Se ha solucionado el problema?

CrowdStrike retir¨® la actualizaci¨®n problem¨¢tica poco despu¨¦s de registrarse los primeros incidentes. Pero eso solo permiti¨® que no se siguiera extendiendo el problema. Paralelamente, Microsoft Azure, la divisi¨®n de computaci¨®n en la nube del gigante tecnol¨®gico, difundi¨® una gu¨ªa para que sus usuarios pudieran reestablecer sus sistemas.

Los usuarios de Windows deb¨ªan arrancar el sistema en Modo Seguro, borrar el archivo de la ¨²ltima actualizaci¨®n y reiniciar el sistema con normalidad. El problema es que este proceso hab¨ªa que realizarlo m¨¢quina por m¨¢quina, y hay empresas que tienen centenares o miles de ellas. En algunos casos, adem¨¢s, estas ca¨ªan en un bucle de reinicio, con lo que hab¨ªa que esperar unas horas para realizar el proceso. Todo eso hace que necesitemos todav¨ªa d¨ªas o semanas para que se recuperen algunos sistemas afectados. ¡°Se dice que, en algunos sectores, en menos de un mes va a ser dif¨ªcil volver a funcionar como antes¡±, dice David Arroyo Guarde?o, investigador principal del grupo Ciberseguridad y Protecci¨®n de la Privacidad del CSIC.

Microsoft y CrowdStrike colaboraron desde un primer momento y anunciaron que trabajaban en un parche para Microsoft Azure. El domingo estuvo listo: los administradores de sistemas pod¨ªan bajarse a una memoria USB una herramienta de recuperaci¨®n que permit¨ªa restaurar autom¨¢ticamente las m¨¢quinas perjudicadas.

?Se podr¨ªa haber evitado?

Todos los expertos consultados coinciden en que la crisis del viernes fue consecuencia de una desafortunada cadena de fallos humanos. La ¨²ltima actualizaci¨®n del antivirus incorporaba un error en el c¨®digo, que alguien escribi¨®, pero adem¨¢s no se realizaron las pruebas pertinentes antes de lanzarlo. ¡°La calidad de las actualizaciones es clave: todas tienen que estar validadas y muy probadas para asegurarse de que no vayan a afectar al sistema¡±, sostiene Pedro Viana, responsable de preventas de Kaspersky, competidor de CrowdStrike.

Otra pr¨¢ctica habitual en el sector, apunta Viana, es dividir las actualizaciones en entregas. ¡°Si se mandan de forma gradual, el impacto de los fallos puede ser menor. Si ves que hay un problema, detienes el resto de entregas y te centras en resolver el incidente¡±, explica.

?Qui¨¦n se ha salvado?

La crisis de CrowdStrike se extendi¨® a un gran n¨²mero de pa¨ªses. Desde Australia, Tailandia e India hasta Francia, Italia, Alemania, Reino Unido o Espa?a, pasando por Estados Unidos o M¨¦xico. La ca¨ªda fue global.

Pero hay dos notables excepciones. Rusia no experiment¨® ning¨²n problema. El ministro ruso de Desarrollo Digital, Comunicaciones y Medios de Comunicaci¨®n, Maxut Shadayev, dijo el domingo que las medidas tomadas por Mosc¨² contra las sanciones a empresas rusas hab¨ªan salvado al pa¨ªs del apag¨®n inform¨¢tico. ¡°La situaci¨®n con Microsoft demuestra una vez m¨¢s la importancia de la sustituci¨®n de las importaciones de software extranjero, principalmente en las instalaciones de infraestructuras de informaci¨®n cr¨ªticas¡±, dijo el ministro en declaraciones recogidas por Business Insider.

China tampoco tuvo mayores problemas el viernes. En el gigante asi¨¢tico, Microsoft tiene una posici¨®n residual: los grandes dominadores de la nube son all¨ª Alibab¨¢, Tencent y Huawei. CrowdStrike, por su parte, apenas tiene presencia en ese mercado.

?Qu¨¦ riesgos hay ahora?

Los piratas inform¨¢ticos son expertos en pescar en aguas revueltas. ¡°Desde el momento en que Windows se cae, se puede generar un hueco en el que la m¨¢quina no est¨¦ protegida¡±, asegura Viana. En Kaspersky no tienen datos todav¨ªa de cu¨¢ntos incidentes de seguridad puede haber provocado el fallo de la actualizaci¨®n de CrowdStrike, pero s¨ª han contabilizado varios casos en los que alguien se hace pasar por empresas como la propia Microsoft para robar informaci¨®n a quienes han sufrido el problema.

?Puede volver a pasar?

Nadie est¨¢ a salvo de los errores. La primera l¨ªnea de defensa deber¨ªa ser establecer protocolos de revisi¨®n y prueba de las actualizaciones antes de lanzarlas, algo que las grandes empresas suelen llevar a rajatabla.

El de CrowdStrike no es el primer incidente de este tipo que sucede, aunque s¨ª el de mayor alcance. En 2010, una actualizaci¨®n del antivirus de McAfee caus¨® un problema en el sistema operativo Windows. Sus clientes tuvieron que reiniciar el sistema. El jefe de tecnolog¨ªa de la compa?¨ªa era, por aquel entonces, George Kurtz, actual consejero delegado de CrowdStrike.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.