Las claves de la caída informática que ha paralizado el mundo

Muchos usuarios se han percatado de que algo pasaba al intentar encender sus ordenadores a primera hora de este viernes. Casi todas las máquinas en las que se han dado problemas pertenecen a compañías o empresas que tienen contratado el servicio de seguridad con CrowdStrike, la fuente del problema. En estos casos, quienes tenían como sistema operativo Windows han visto como aparecía la pantalla azul de la muerte. «Hace 15 años, los usuarios estábamos acostumbrados a verla con relativa frecuencia, pero ahora es muy extraño», confirma César Córcoles, profesor de los Estudios Informáticos de la UOC. Cuando esto pasa, lo que ocurre es que el ordenador tiene un problema, pero no físicamente, sino su sistema operativo.

La empresa CrowdStrike ha llevado a cabo una actualización del servicio Falcon, que está en la nube y se ocupa de detectar y responder a amenazas de seguridad en los clientes en tiempo real y de forma preventiva, antes de que causen daños. Al instalarse esa nueva versión (a la que luego se conectan los ordenadores de los clientes), algo en ella no estaba bien -podría ser simplemente que parte del código estuviera mal escrito- y entraba en conflicto con Windows. Por seguridad, Microsoft se desactivó y empezó a aparecer la famosa pantalla azul.

Como ha explicado el fundador de CrowdStrike, George Kurtz, un veterano en la industria de la seguridad, «no ha sido ni un ataque ni un hackeo». «Sencillamente se ha estropeado algo, aunque muy importante», resume Córcoles. Y hace un símil con el cuerpo humano: «Es como si una parte del hipotálamo deja de funcionar». Al darse cuenta de lo que ha ocurrido, la empresa responsable ha dado marcha atrás con el proceso, pero no es algo que se pueda resolver en segundos. El daño ya estaba hecho y la recuperación total llegará al cabo de las horas o los días con las repercusiones que eso conlleva.

Mientras tanto, las compañías han tenido que resolver sus problemas particulares poco a poco, como Microsoft, que ha precisado que no es cliente de CrowdStrike, si no que éste es un servicio de terceros que han contratado las compañías afectadas. Es decir, que si ha habido un fallo en la empresa 1 es por que 1 es cliente de CrowdStrike y, además, tiene como sistema operativo Windows.

Una empresa que crea software contra la ciberdelincuencia. A través de sus servicios, se detecta y se actúa contra ataques de diferentes tipos. Es como el agente de seguridad que se contrata para protegerte de robos y agresiones. Este viernes lanzó una nueva versión de su programa Falcon, que incluía algún error que ha hecho que el servicio de Microsoft se cayera. Pero también el de otras compañías que bien dependen de Microsoft o de la propia CrowdStrike... O de ambas.

«Lamentamos profundamente el impacto que hemos causado a los clientes, a los viajeros y a todos los afectados, incluida nuestra empresa», ha explicado su consejero delegado Geroge Kurz a la cadena NBC News. «Podría pasar algún tiempo para algunos sistemas que no se recuperarán automáticamente», ha añadido, pero la empresa, ha prometido, «se asegurará de que todos los clientes se recuperen por completo».

CrowdStrike es considerada una empresa «líder» en su sector. Fue fundada en 2012 y su sede está en Austin, Texas. Su crecimiento ha sido meteórico y cotiza en Bolsa, aunque hoy su cotización ha caído en picado. Tiene unos 24.000 clientes en todo el mundo, entre ellos 300 de las 500 empresas del índice 'Fortune'. Su lema es «Las brechas de ciberseguridad acaban aquí». Y Falcon es su programa estrealla. Su último informe de beneficios los cifra en 91 millones de dólares e ingresó nada menos que 3.100.

El fallo no ha afectado a todos los ordenadores del mundo, ni siquiera a todo Windows, solo a aquellos con determinadas características: tenían como sistema operativo el 10, el penúltimo de Microsoft, y, además, habían contratado el antivirus de CrowdStrike. «El problema es generado por una actualización de un componente de ciberseguridad (sensor de antivirus) de la empresa CrowdStrike, que está generando problemas en su interacción con plataformas de Microsoft. Dicha actualización está provocando problemas técnicos en los clientes de Microsoft, donde se está procediendo a realizar la actualización de dicho componente», explican desde la compañía. Es decir no es un problema de Windows si no con Windows.

Muchas informaciones hablan de que todo se debe a un 'bug'. Pero para el ciudadano normal esta palabra no le dice mucho. «Un 'bug' es un error. Directamente», señala el docente de la UOC. Es una palabra genérica: «Se acuñó, dicen, cuando una de las informáticas más importantes de la historia detectó un error grave informática causado por un bicho (un 'bug') que se había metido en la máquina». Además de esta palabreja, también se está usando el término 'fix', que no significa otra cosa que solución.

Como el fallo ha afectado principalmente a ordenadores corporativos, pertenecientes a empresas clientes de CrowdStrike, lo primero es contactar con los servicios informáticos para que nos indiquen qué pasos a seguir. «Lo que no debemos hacer en ningún caso es intentar solucionarlo por nuestra cuenta si no sabemos. Ni aceptar ninguna operación que no sepamos qué es», señala con cordura Córcoles. Como el problema no es de nuestro ordenador, lo mejor es apagar y esperar a que lo solucionen.

- ¿Ha quedado expuesta nuestra seguridad?

- En principio no, esto no es un ataque, es un problema de compatiblidad.

En estos casos lo que sí es vital es «tener una copia de seguridad actualizada» de tu ordenador para poder restaurarla si hiciera falta. En todo caso, el Instituto Nacional de Ciberseguridad (Incibe) ha dado unas pautas a seguir. La primera es lógica: «NO ejecutar la actualización del agente CrowdStrike hasta que esté disponible una solución verificada».

Desde el fabricante ya están poniendo solución al problema por lo que hay algunos ordenadores que funcionan con normalidad y otros que dan problemas. En el caso de que esto ocurra, se puede hacer una «intervención manual», como la llama Incibe, siguiendo estos pasos:

- Se debe de iniciar Windows en modo seguro.

- Se debe de acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el Explorador.

- Hacer la búsqueda del archivo «C-00000291*.sys» y eliminarlo.

- Iniciar el sistema normalmente.

No obstante, la solución no llegará tan rápido como se podía desear. El jefe de sistemas de CrowdStrike, Omer Grossman, ha asegurado en un comunicado que «no se pueden actualizar de forma remota» todos los ordenadores afectados y que «el problema debe resolverse manualmente, punto final. Se espera que este sea un proceso que lleve días». Serán los propios clientes afectados quienes deban eliminar el archivo problemático que trae consigo esta deficiente actualización y tendrán que hacerlo «usuario a usuario» (siguiendo los pasos de Incibe).

Las noticias del fallo que ha dejado miles de ordenadores KO han desatado cierto miedo por la gran dependencia que tenemos de sistemas informáticos externos. ¿Se puede hablar de apocalipsis? «No me gustaría a mí decirle a quien ha perdido el avión que da inicio a sus vacaciones que no es importante. Es extremadamente problemático y ha llevado a cierto caos en determinados sitios», contemporiza el experto.

Y en medio de todo esto, Córcoles también añade algo más: «Sin intención de defender a nadie, que no es para nada mi trabajo, esta empresa (por CrowdStrike) seguro que antes de lanzar la actualización ha hecho un montón de pruebas en configuraciones diferentes». Y añade que no les va a salir gratis el error: «Su cuenta de explotación de este año va a ser 'divertida'», ironiza.

Está claro que el fallo está en la actualización de CrowdStrike y es su responsabilidad. Pero Córcoles admite que también sus clientes deben mirarse el ombligo y asumir parte de ella. ¿Por qué? Porque has permitido que todas tus máquinas se actualicen a la vez. Una solución intermedia sería tener un equipo informático suficiente como para que puedan programar que no todos lo hagan y se pruebe solo en una parte de los ordenadores, por ejemplo.

- ¿Hay que instalar las actualizaciones nada más recibirlas?

- Es lo conveniente porque hay que estar al día en temas de seguridad. Pero igual puedes esperar una o dos jornadas a ver qué pasa con ella y evitar estar entre los primeros afectados de un posible fallo.