El pasado viernes fue un día inolvidable para técnicos y responsables de sistemas de todo el mundo. La jornada arrancó con una caída de sistemas que afectó a aeropuertos, instituciones financieras, hospitales, medios de comunicación, supermercados y oficinas de todo el mundo. Un fallo en la actualización del antivirus Falcon CrowdStrike, que se ejecutó automáticamente, provocó el colapso de Windows, el sistema operativo más usado, arrastrando consigo miles de ordenadores.
A lo largo del mismo viernes, tanto CrowdStrike, la firma estadounidense de ciberseguridad responsable del antivirus, como Microsoft publicaron instrucciones para que los usuarios, principalmente empresas, pudieran solventar el problema. La solución pasaba por borrar el archivo que contenía la última actualización de Falcon y reiniciar el equipo.
¿Ha quedado resuelto? Esto es lo que sabemos por ahora sobre el incidente que nos ha recordado el terror que produce la “Pantalla Azul de la Muerte”, la que aparece cuando Windows se cae.
¿Cuántos afectados hay?
Microsoft asegura que se han visto afectados 8,5 millones de equipos en todo el mundo, lo que supone menos del 1% de los ordenadores que funcionan con el sistema operativo Windows (que a su vez tiene una cuota de mercado de más del 70%). Esos serían los clientes de Windows afectados directamente, dado que una sola máquina bloqueada en un mostrador de facturación del aeropuerto, por ejemplo, pudo perjudicar a muchos viajeros de golpe. Microsoft no ha ofrecido desde el sábado nuevos datos al respecto, a pesar de las preguntas de este periódico.
¿Qué pasó concretamente?
La primera señal de que algo no iba bien la recibimos de los aeropuertos. A primera hora de la mañana se habían cancelado ya los primeros vuelos, que al final fueron 5.467 en todo el planeta y retrasos en otros 45.648. No tardaron en llegar noticias también de fallos en bancos, sistemas de pago electrónico, hospitales y oficinas, entre otros.
Pronto se supo que el problema no era consecuencia de un ciberataque, sino que tenía que ver con CrowdStrike, aunque no hubo confirmación oficial por parte de la empresa hasta casi mediodía. La última actualización de Falcon, su antivirus más avanzado, que monitoriza en tiempo real y usando inteligencia artificial una serie de amenazas (conocido en la jerga como EDR, endpoint detection and response), incorporaba un problema en el código. Ese fallo afectaba a un driver (o controlador de dispositivo, un programa que indica al sistema operativo cómo comunicarse con un hardware) que paró Windows y hacía saltar la temida pantalla azul.
La actualización se ejecutó en la madrugada del viernes 19 (en España eran las seis de la mañana, hora peninsular), por lo que pilló desprevenido a todo el mundo.
¿Se ha solucionado el problema?
CrowdStrike retiró la actualización problemática poco después de registrarse los primeros incidentes. Pero eso solo permitió que no se siguiera extendiendo el problema. Paralelamente, Microsoft Azure, la división de computación en la nube del gigante tecnológico, difundió una guía para que sus usuarios pudieran reestablecer sus sistemas.
Los usuarios de Windows debían arrancar el sistema en Modo Seguro, borrar el archivo de la última actualización y reiniciar el sistema con normalidad. El problema es que este proceso había que realizarlo máquina por máquina, y hay empresas que tienen centenares o miles de ellas. En algunos casos, además, estas caían en un bucle de reinicio, con lo que había que esperar unas horas para realizar el proceso. Todo eso hace que necesitemos todavía días o semanas para que se recuperen algunos sistemas afectados. “Se dice que, en algunos sectores, en menos de un mes va a ser difícil volver a funcionar como antes”, dice David Arroyo Guardeño, investigador principal del grupo Ciberseguridad y Protección de la Privacidad del CSIC.
Microsoft y CrowdStrike colaboraron desde un primer momento y anunciaron que trabajaban en un parche para Microsoft Azure. El domingo estuvo listo: los administradores de sistemas podían bajarse a una memoria USB una herramienta de recuperación que permitía restaurar automáticamente las máquinas perjudicadas.
¿Se podría haber evitado?
Todos los expertos consultados coinciden en que la crisis del viernes fue consecuencia de una desafortunada cadena de fallos humanos. La última actualización del antivirus incorporaba un error en el código, que alguien escribió, pero además no se realizaron las pruebas pertinentes antes de lanzarlo. “La calidad de las actualizaciones es clave: todas tienen que estar validadas y muy probadas para asegurarse de que no vayan a afectar al sistema”, sostiene Pedro Viana, responsable de preventas de Kaspersky, competidor de CrowdStrike.
Otra práctica habitual en el sector, apunta Viana, es dividir las actualizaciones en entregas. “Si se mandan de forma gradual, el impacto de los fallos puede ser menor. Si ves que hay un problema, detienes el resto de entregas y te centras en resolver el incidente”, explica.
¿Quién se ha salvado?
La crisis de CrowdStrike se extendió a un gran número de países. Desde Australia, Tailandia e India hasta Francia, Italia, Alemania, Reino Unido o España, pasando por Estados Unidos o México. La caída fue global.
Pero hay dos notables excepciones. Rusia no experimentó ningún problema. El ministro ruso de Desarrollo Digital, Comunicaciones y Medios de Comunicación, Maxut Shadayev, dijo el domingo que las medidas tomadas por Moscú contra las sanciones a empresas rusas habían salvado al país del apagón informático. “La situación con Microsoft demuestra una vez más la importancia de la sustitución de las importaciones de software extranjero, principalmente en las instalaciones de infraestructuras de información críticas”, dijo el ministro en declaraciones recogidas por Business Insider.
China tampoco tuvo mayores problemas el viernes. En el gigante asiático, Microsoft tiene una posición residual: los grandes dominadores de la nube son allí Alibabá, Tencent y Huawei. CrowdStrike, por su parte, apenas tiene presencia en ese mercado.
¿Qué riesgos hay ahora?
Los piratas informáticos son expertos en pescar en aguas revueltas. “Desde el momento en que Windows se cae, se puede generar un hueco en el que la máquina no esté protegida”, asegura Viana. En Kaspersky no tienen datos todavía de cuántos incidentes de seguridad puede haber provocado el fallo de la actualización de CrowdStrike, pero sí han contabilizado varios casos en los que alguien se hace pasar por empresas como la propia Microsoft para robar información a quienes han sufrido el problema.
¿Puede volver a pasar?
Nadie está a salvo de los errores. La primera línea de defensa debería ser establecer protocolos de revisión y prueba de las actualizaciones antes de lanzarlas, algo que las grandes empresas suelen llevar a rajatabla.
El de CrowdStrike no es el primer incidente de este tipo que sucede, aunque sí el de mayor alcance. En 2010, una actualización del antivirus de McAfee causó un problema en el sistema operativo Windows. Sus clientes tuvieron que reiniciar el sistema. El jefe de tecnología de la compañía era, por aquel entonces, George Kurtz, actual consejero delegado de CrowdStrike.
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.