La calma tras la tormenta: todo lo que se sabe del histórico apagón informático mundial

La madrugada del pasado viernes 19 de julio quedará como un hito en la informática mundial, en el que millones de ordenadores a nivel global se fueron a negro. Realmente, las máquinas se fueron a “azul” -la infame ‘Pantalla Azul de la Muerte’-, debido a una defectuosa actualización del software de ciberseguridad Falcon de la compañía CrowdStrike, que dejó fuera de servicio a 8,5 millones de ordenadores con el sistema operativo Windows, según detalló Microsoft tras el incidente.  

Estadísticamente, el fallo sólo afectó a menos del 1% de los ordenadores que cuentan con este sistema operativo –CrowdStrike también funciona en macOS y Linux, pero éstos no se vieron afectados-, sin embargo, Microsoft aseguró que muchas de estas máquinas soportan servicios críticos. La enorme adopción de Windows, que cuenta con una cuota de mercado del 72,47%, tampoco ayudó.  

He ahí el caos: el viernes, aeropuertos, bancos, medios de comunicación, hospitales, operadores de telecomunicaciones y otros sectores en todo el mundo amanecieron alertando a sus clientes y usuarios del apagón en sus sistemas. En España, Aena fue la mayor afectada, aunque el fallo también alcanzó a nombres propios como Correos, Vocento, Iberdrola, Bizum o Visa y diversos servicios públicos de emergencias. Según estimó Patrick Anderson, director general de Anderson Economic Group, a CNN, los costes de la interrupción podrían ascender a 1.000 millones de dólares.   

Durante el incidente, un portavoz de Microsoft dio a conocer que los problemas se debían a “una actualización de una plataforma de software de terceros” y que entre los servicios afectados se encontraban PowerBI, Fabric, Teams, el centro de administración de Microsoft 365, Purview, Defender, Intune, OneNote, OneDrive, SharePoint Online, Windows 365 y Viva Engage

CrowdStrike en el punto de mira 

Bastaron sólo 79 minutos para desatar el caos. Ese fue el tiempo que demoró CrowdStrike en corregir la actualización defectuosa de su plataforma Falcon. Para entonces, por supuesto, ya era demasiado tarde: muchos de los sistemas que recibieron la actualización ya estaban fuera de línea. 

Al día siguiente, George Kurtz, fundador y CEO de CrowdStrike, escribió en el blog de la compañía: “Quiero disculparme sinceramente y de forma directa con todos vosotros por el apagón de hoy. Todo CrowdStrike entiende la gravedad y el impacto de la situación”. 

En la misiva, Kurtz detalló más información sobre el incidente. “Los sistemas con el sensor Falcon para Windows 7.11 y versiones superiores que descargaron la configuración actualizada entre las 04:09 UTC y las 05:27 UTC eran susceptibles de sufrir un fallo del sistema”, comentó, y reiteró que error no era el resultado de un ciberataque. Con un juego de palabras, sugirió que no había ningún fallo en la plataforma de seguridad Falcon y que el incidente fue un accidente. 

CrowdStrike provee una plataforma de seguridad que vigila en tiempo real los riesgos y vulnerabilidades de los ordenadores. Para ello, recopila un extenso catálogo de posibles amenazas que actualiza frecuentemente en las máquinas de sus clientes. La compañía llama a esas actualizaciones ‘archivos de Canal’. 

Según explicó la compañía, el defecto estaba en uno que llama Canal 291, que se almacena en un directorio llamado C:WindowsSystem32driversCrowdStrike y con un nombre de archivo que empieza por C-00000291- y termina por .sys. A pesar de la ubicación y el nombre del archivo, no se trata de un controlador del núcleo de Windows. El archivo de Canal 291 se utiliza para pasar al sensor Falcon información sobre cómo evaluar la ejecución de ‘tuberías de nombre’. Los sistemas Windows utilizan estas tuberías para la comunicación entre sistemas o entre procesos, y no son en sí mismas una amenaza, aunque pueden ser mal utilizadas. 

“La actualización que se produjo a las 04:09 UTC se diseñó para hacer frente a las tuberías de nombre maliciosas observadas recientemente y utilizadas por los marcos C2 [mando y control] habituales en los ciberataques”, añadió CrowdStrike. Sin embargo, “la actualización de la configuración desencadenó un error lógico que dio lugar a un fallo del sistema operativo”. 

Una solución rápida, pero una recuperación lenta 

Lo único que hizo falta para que el problema no volviera a repetirse fue eliminar el contenido defectuoso del archivo: “CrowdStrike ha corregido el error lógico actualizando el contenido del archivo de Canal 291”. 

Sin embargo, eso no solucionó el problema para los muchos, muchos equipos Windows que ya habían descargado el contenido defectuoso y luego se habían bloqueado. Para ellos, CrowdStrike publicó un conjunto mucho más largo de acciones a realizar por los clientes afectados, con sugerencias para detectar remotamente y recuperar automáticamente los sistemas afectados, con conjuntos detallados de instrucciones para soluciones temporales para las máquinas físicas o servidores virtuales afectados. 

“Los sistemas que actualmente no están afectados seguirán funcionando como se esperaba, continuarán proporcionando protección y no tienen riesgo de experimentar este evento en el futuro”, concluye la entrada del blog. 

Source: Computerworld.es