Una actualización de software del gigante de la ciberseguridad CrowdStrike provocó interrupciones masivas en sistemas informáticos a nivel mundial, dejando fuera de servicio a máquinas con Windows. Bancos, aeropuertos, estaciones de TV, organizaciones de salud, hoteles y muchas otras empresas han sufrido caídas generalizadas en sus sistemas informáticos, resultando en vuelos cancelados y una interrupción global significativa.
Desde las primeras horas del viernes, empresas en Australia que utilizan el sistema operativo Windows de Microsoft comenzaron a reportar errores en los dispositivos, mostrándose la "Pantalla Azul de la Muerte" (BSOD). Poco después, llegaron informes similares desde el Reino Unido, India, Alemania, Países Bajos y Estados Unidos. La estación de TV Sky News quedó fuera de servicio y las aerolíneas estadounidenses United, Delta y American Airlines emitieron una "parada global" en todos sus vuelos.
Las interrupciones se han vinculado a una actualización defectuosa del software de CrowdStrike. Según las autoridades de ciberseguridad, el problema no está relacionado con un ataque cibernético malicioso, sino con una actualización mal configurada que CrowdStrike lanzó a sus clientes.
"Hoy temprano, una actualización de CrowdStrike fue responsable de la caída de varios sistemas informáticos a nivel mundial," indicó un portavoz de Microsoft en un comunicado. "Estamos apoyando activamente a los clientes para asistir en su recuperación."
Ingenieros de CrowdStrike informaron en el foro de Reddit de la empresa que han observado "informes generalizados de BSOD en hosts de Windows" y están trabajando en el problema, además de haber aconsejado una solución temporal para los sistemas afectados. También emitieron instrucciones a sus clientes en un aviso.
El incidente solo afectó a dispositivos con Windows y no a otros sistemas operativos. No está claro cuán extendidos son los problemas ni cuánto tiempo tomarán en resolverse.
Horas después de que surgieran los problemas, el CEO de CrowdStrike, George Kurtz, emitió una declaración sobre las interrupciones, afirmando que la compañía encontró un "defecto" en una actualización para Windows. "Esto no es un incidente de seguridad ni un ataque cibernético," aseguró Kurtz. "El problema ha sido identificado, aislado y se ha desplegado una solución." En la declaración, Kurtz confirmó que los hosts de Mac y Linux no se vieron afectados y sugirió que sus clientes consulten el portal de soporte de la compañía. Posteriormente, se disculpó por el incidente durante una entrevista televisiva.
Simultáneamente, Microsoft estaba lidiando con su propia interrupción en el servicio de la nube Azure, aparentemente no relacionada con los problemas de CrowdStrike.
El consultor independiente de ciberseguridad Lukasz Olejnik comentó que las interrupciones podrían resultar en pérdidas millonarias para las organizaciones afectadas, que han tenido que detener sus operaciones. Indicó que la actualización de CrowdStrike parece estar relacionada con su producto Falcon Sensor, parte de las herramientas de seguridad de la empresa que pueden bloquear ataques en sistemas.
"Nos recuerda nuestra dependencia de la TI y el software," dijo Olejnik. "Cuando un sistema tiene varios sistemas de software mantenidos por distintos proveedores, esto equivale a confiar en ellos. Pueden ser un punto único de falla, como aquí, donde varias empresas sienten el impacto."
La actualización defectuosa de CrowdStrike ha tenido un enorme impacto en los servicios públicos y negocios en todo el mundo. Numerosos aeropuertos enfrentan retrasos y largas filas, con un pasajero en India compartiendo una tarjeta de embarque escrita a mano. En las horas posteriores a las interrupciones iniciales, se cancelaron más de 4,000 vuelos a nivel mundial, aunque no todos pueden estar directamente vinculados a la interrupción.
Dentro del sector de salud y servicios de emergencia, varios proveedores médicos han reportado problemas con sus sistemas vinculados a Windows, compartiendo noticias en redes sociales o sus propios sitios web. El Sistema de Alerta de Emergencia de EE. UU., que emite alertas de huracanes, informó de diversas caídas del servicio 911 en varios estados. En Portland, el alcalde Ted Wheeler declaró una emergencia en la ciudad debido a algunas de las interrupciones, aunque también mencionó que muchos sistemas están siendo restaurados. Funcionarios de la Casa Blanca informaron que el presidente Joe Biden ha sido "informado" sobre las interrupciones de CrowdStrike y su equipo está monitoreando la situación.
El Hospital Universitario Schleswig-Holstein en Alemania canceló algunas cirugías no urgentes en dos ubicaciones. En Israel, más de una docena de hospitales y farmacias se vieron afectados, y se reportó que las ambulancias fueron redirigidas a organizaciones médicas no afectadas.
En el Reino Unido, el NHS Inglaterra confirmó que los sistemas de citas médicas y registros de pacientes se han visto afectados por las interrupciones. Un hospital declaró un "incidente crítico" después de que un sistema informático de terceros que utilizaba se vio afectado. Además, operadores de trenes informaron de retrasos en toda la red, con múltiples compañías afectadas.
Indicando la naturaleza de largo alcance de la interrupción, los organizadores de los Juegos Olímpicos de París, que comienzan la próxima semana, dijeron que sus sistemas se han visto afectados de manera "limitada." Según un comunicado de los organizadores, los sistemas afectados están relacionados con la entrega de uniformes y el sistema de boletos no se ha visto afectado.
Entre otros servicios, CrowdStrike proporciona detección y respuesta en los extremos (EDR) a empresas en todo el mundo. Esta tecnología de EDR funciona en miles de "endpoints"—como computadoras, cajeros automáticos y dispositivos de internet de las cosas—y los escanea para identificar amenazas en tiempo real, como actividades maliciosas de ciberdelincuentes. La empresa tiene más de 24,000 clientes en todo el mundo.
El investigador de ciberseguridad Kevin Beaumont publicó en X que vio una copia de la actualización de CrowdStrike emitida y afirmó que el archivo no está formateado correctamente y "provoca que Windows se bloquee cada vez." Beaumont mencionó en publicaciones posteriores que actualmente no parece haber una manera automatizada de solucionar los problemas, lo que puede significar que las máquinas afectadas necesitan ser reiniciadas manualmente antes de volver a estar en línea, un proceso que podría tardar horas o días, dependiendo de la entidad afectada.
Brody Nisbet, director de supervisión en CrowdStrike, también publicó en X indicando que la solución temporal que la empresa ha emitido implica iniciar las máquinas Windows en modo seguro, encontrar un archivo llamado "C-00000291.sys,"* eliminarlo y luego reiniciar la máquina normalmente. "Hay una solución de algún tipo para que algunos dispositivos entre BSODs recojan el nuevo archivo del canal y permanezcan estables," publicó Nisbet.
Actualización 19/07/24 1:35pm ET: Esta historia ha sido actualizada con más comentarios de Microsoft y detalles adicionales sobre el impacto de la interrupción.
