Incidente informático en Microsoft: causas de la caída global y su impacto en miles de empresas

En las primeras horas del día viernes, algunas empresas en Australia (debido al comienzo del ciclo de los husos horarios) que utilizan el sistema operativo Windows de Microsoft comenzaron mostrando la típica pantalla azul que indica un mal funcionamiento del Sistema Operativo. Con el paso de las horas, y hasta el momento de la redacción de este informe, la situación se repitió en Reino Unido, India, Alemania, Países Bajos y Estados Unidos.

No es un ciberataque

El análisis de la información disponible hasta el momento concluye que se puede descartar que se trate de un Ciberataque. En principio, los bloqueos de Windows estarían relacionados con una actualización, aparentemente mal configurada, del software de Ciberseguridad CrowdStrike. Esto tiene sentido técnico ya que el factor común de las empresas con sistemas informáticos paralizados es la utilización de la solución de Ciberseguridad CrowdStrike.

Sólo afecta a Windows

Los Sistemas Operativos de Mac y Linux, que utilizan la aplicación de Ciberseguridad de CrowdStrike no estarían afectados por su actualización.

Las declaraciones formales de Microsoft y CrowdStrike

Cuando ocurre un incidente de estas características, las empresas involucradas deben cumplir con la obligación legal de “comunicar públicamente” las características de lo que ocurrió. Tanto Microsoft como CrowdStrike se ajustaron a este protocolo de comunicación que no exige que se informe cuán extenso es el problema ni cuánto tiempo llevará resolverlo.

Microsoft emitió un comunicado formal diciendo que están al tanto de los problemas relacionados con dispositivos Windows y creen que «una solución está en camino».

El CEO de CrowdStrike, George Kurtz, emitió un comunicado diciendo que su empresa detectó un defecto en una actualización para Windows que se liberó en las primeras horas del día. «Esto no es un incidente de seguridad ni un ciberataque», dijo Kurtz. «El problema ha sido identificado, aislado y se ha implementado una solución».

Dos problemas simultáneos

Algo que está generando confusión en la comunicación de esta noticia es el hecho de que, al mismo tiempo que surgieron los problemas con CrowdStrike, Microsoft estaba tratando de solucionar una caída de sus servicios en la nube de Azure. Esto hace pensar que se trata de un escenario complicado por la superposición de dos incidentes.

La gravedad del impacto

Si bien empresas de todos los rubros se vieron afectadas, el mayor impacto se registra en el sector de la salud y servicios de emergencia. Proveedores médicos en todo el mundo han reportado problemas con sus sistemas vinculados a Windows. El Sistema de Alerta de Emergencia de Estados Unidos, que emite advertencias de huracanes, reportó interrupciones del servicio de emergencia 911 en varios estados. El Hospital Universitario de Schleswig-Holstein en Alemania canceló las cirugías no urgentes. En Israel se implementó un protocolo para desviar las ambulancias a instalaciones médicas no afectadas.

La parte técnica

La solución de Ciberseguridad de CrowdStrike proporciona detección y respuesta de puntos finales (EDR – Endpoint Detection and Response). Esta tecnología se ejecuta en distintos dispositivos como computadoras, cajeros automáticos y dispositivos de Internet de las cosas y los escanea para identificar amenazas en tiempo real.

Por lo que se pudo analizar hasta ahora, la actualización de CrowdStrike no tiene un formato correcto y esto causa que Windows se bloquee cada vez que se intenta instalar. Hasta ahora la empresa no generó una solución que funcione de manera automatizada.

Las computadoras afectadas deben reiniciarse manualmente, un proceso que podría llevar horas o días dependiendo de la entidad afectada. Luego del arranque “en modo seguro”, el usuario debe encontrar un archivo llamado «C-00000291*.sys», eliminarlo y luego reiniciar la computadora.