El Windows corporativo se cayó este viernes. Como resultado, compañías privadas de todo el mundo como bancos, aerolíneas o medios de comunicación; así como entes públicos, ya sean administraciones, hospitales u operadores de transporte portuarios, ferroviarios y aeroportuarios vieron cómo sus sistemas informáticos se venían abajo. Más de 3.000 vuelos cancelados en todo el mundo, salas de espera colapsadas, mercancías varadas, finanzas bloqueadas. El tipo de caos que la industria digital más temía desde 2017.

Entonces fue WannaCry, el primer gran ciberataque global, el que lo provocó. El miedo a que volviera a suceder convirtió al sector de la ciberseguridad en uno de los más rentables y a sus miembros en algunos de los profesionales mejor pagados del mundo. Este viernes, sin embargo, la tortilla se dio vuelta. El apagón informático no fue causado por un virus ni una banda de ciberdelincuentes, sino por una de esas empresas que se encargan de proteger las redes digitales de sus amenazas.

“Nuestra peor pesadilla es justo lo que le ha pasado hoy a CrowdStrike: matar al paciente que queremos proteger”, lamentó Sancho Lerena, director ejecutivo de la tecnológica española Pandora FMS. Una de las actualizaciones en el sistema Falcon de este desarrollador, uno de los antivirus más avanzados (que los profesionales denominan EDR), ha resultado defectuosa. Esto provocó un error crítico en Windows y en Azure, el servicio de sistemas en la nube de Microsoft, lo que a su vez derivó en fallos en cadena y colapso de sistemas informáticos por todo el mundo.

“CrowdStrike es uno de los fabricantes de seguridad más potentes del mundo”, recordó Lerena, pero “la tecnología y especialmente el software cada vez suponen una mayor complejidad. No se trata de elegir al mejor proveedor, se trata de entender que a más tecnología más probabilidad de fallo”, afirmó.

Es un recordatorio que recibieron amargamente miles de pasajeros, los pacientes en las salas de espera de los centros sanitarios o los afectados que sufrieron las consecuencias de un sistema financiero paralizado. Falcon es una plataforma de detección de amenazas extremadamente completa, que utiliza inteligencia artificial y monitoreo en tiempo real para detectar las tácticas del atacante, anticiparse a ellas y diseñar posibles respuestas y contraofensivas automáticamente. Opera en la nube, lo que permite aumentar aún más su capacidad de dar una respuesta rápida a un ciberataque.

Falcon es el escudo por el que cualquier responsable de ciberseguridad habría suspirado en 2017. Siete años después, fue el gran responsable de otro apagón global. El fallo en su actualización descubrió fuera de juego a Microsoft, que a pesar del caos mundial generado por el fallo en Windows tardó varias horas en informar de lo que estaba sucediendo y no fue capaz de contener el incidente antes de que se tradujera en un caos global. Un incidente que vuelve a evidenciar la fragilidad de un entorno digital dependiente de un puñado de compañías privadas.

“Pantalla Azul de la Muerte” global

Este error crítico es el más temido por cualquier usuario y desarrollador. Su código oficial es BSOD (siglas en inglés de Pantalla Azul de la Muerte) e implica que hay que reiniciar manualmente el dispositivo en modo seguro y eliminar el archivo que está generando los problemas. Pese a ser uno de los más antiguos, es la primera vez que ocurre a esta escala. “La actualización se ha lanzado por la noche y lo que ha ocurrido es que ha fallado al sincronizarse con todos los sistemas Windows”, explicó en conversación con este medio Rafael López, experto en ciberseguridad de la firma Perception Point.

“El problema es que la solución se tiene que aplicar de manera manual en cada uno de los equipos afectados. ¿Qué ocurre? Que no es lo mismo que yo tenga una planta con 50 equipos a que tenga 100.000, como está sucediendo a lo largo del mundo. Hay organizaciones en las que 300 personas a la vez están teniendo que entrar en cada equipo a hacer esta solución que propone el fabricante. Es algo muy laborioso”, detalló el experto.

“CrowdStrike es un EDR que está en prácticamente la mayoría de empresas grandes a nivel mundial, porque puede ser uno de los mejores, si no el mejor EDR del mundo. Por eso se ha dado una afectación tan grande”, continuó López.

Responsabilidades

La sucesión de hechos indicó una más que posible negligencia en la actualización de CrowdStrike. Este tipo de actualizaciones se prueban en entornos controlados antes de implantarlas en todo el sistema. Una vez que se comprtobó que todo funciona correctamente con ellas en marcha, se da luz verde para ejecutarlas a nivel general. No llevar a cabo este procedimiento o no revisar sus resultados concienzudamente se considera una mala práctica, no solo en el sector de la ciberseguridad sino en toda la industria digital. Más aún con actualizaciones críticas como la de Falcon.

CrowdStrike reconoció el fallo pero no explicó cómo ha podido ocurrir. “Aquí hay un posible fallo de CrowdStrike a la hora de no haber hecho bien las pruebas en preproducción. Es verdad que tú no puedes reproducir absolutamente todo, pero deberías de haber hecho posiblemente alguna prueba más, porque está claro que no han calculado bien el impacto de todo lo que podría suceder en los sistemas Windows al lanzarlo, porque ha reventado todo”, señaló el especialista de Perception Point.

El incidente quedará marcado como uno de los más graves de la historia y una de sus características es la muy escasa comunicación tanto por parte de CrowdStrike como de Microsoft. Especialmente la primera, causante original del fallo, está siendo muy criticada por su reacción pública al incidente.

Ni la compañía ni George Kurtz, su presidente, hicieron ningún comunicado hasta pasadas más de 10 horas desde que los fallos se hicieran patentes en estaciones y aeropuertos. Entonces Kurtz publicó un mensaje en X donde reconocía el fallo, pero no aportaba ninguna información ni pedía perdón a los afectados. “Seamos claros. El doble lenguaje jurídico está diseñado para esquivar y ofuscar más que para informar o comunicar. Obviamente, esta declaración fue redactada por un comité de abogados y mandos intermedios cuyo único objetivo era evitar riesgos legales y amenazas a su propia seguridad laboral”, destacó Lulu Cheng, especialista en comunicación corporativa.

“Las primeras palabras deberían ser «lo siento», pero no lo encontrarás en ninguna parte de esta declaración. Ni el aguado 'asumo la responsabilidad'. Ni siquiera el insípido 'Lamentamos...' . ¡Nada!”, añadía Cheng: “CrowdStrike ha causado un apagón que hizo caer aerolíneas, una bolsa de valores, hospitales, UCIs. Podría haber muerto gente”.

Unas seis horas después de su primera publicación, Kurtz repareció para publicar un nuevo mensaje en el que pide disculpas, pero también aprovechó para tirar la pelota afuera. “Lo de hoy no ha sido un incidente de seguridad o cibernético. Nuestros clientes siguen estando totalmente protegidos”, recordó: “Comprendemos la gravedad de la situación y lamentamos profundamente las molestias y las interrupciones. Estamos trabajando con todos los clientes afectados para garantizar que los sistemas vuelvan a funcionar y puedan prestar los servicios con los que cuentan sus clientes”.

Precaución con las estafas

Los expertos recordaron que esta situación de caos puede ser aprovechada por ciberdelincuentes tanto durante la caída como en los próximos días, por lo que llaman a aumentar las precauciones. Actualmente nos encontramos en uno de los mayores apagones informáticos mundiales de la historia. Recuerde: verifique que las personas son quienes dicen ser antes de emprender acciones sensibles“, aconsejó Rachel Tobac, profesora de seguridad informática.

“Los delincuentes intentarán aprovechar esta interrupción para hacerse pasar por miembros del departamento informático ante usted o usted ante su equipo para robar accesos, contraseñas, códigos, etc.”, continuó. El timo del fallo de Windows, ahora con una conexión directa con la realidad, sigue siendo uno de los más recurrentes del mundo.

Este pantallazo azul (BSoD, Blue Screen of Death, en sus siglas en inglés) aparece cuando el sistema operativo de Microsoft Windows no puede recuperarse de un error del sistema o considera que no va a poder hacerlo. Y se detiene, se congela, no puede seguir funcionando.

En ese momento, aparece la pantalla azul que incluye, normalmente, un código de error que puede ayudar a diagnosticar el problema sin determinarlo y obliga a reiniciar el ordenador, según indica Microsoft en su web corporativa.

Este viernes, la actualización defectuosa de la plataforma de seguridad informática Crowdstrike es el origen del fallo sufrido en los equipos de Microsoft y, por tanto, del bloqueo de los ordenadores que tienen instalados los sistemas operativos de Windows.

Josep Albors, director de investigación y concienciación de ESET España, ha corroborado a EFE que la citada actualización es lo que ha provocado la aparición de las pantallas azules en los sistemas Windows, tanto de clientes como de servidores, encadenando una serie de problemas por todo el planeta, desde Australia a Japón y ahora en Europa y en Estados Unidos.

Las pantallas azules son solo característica de Windows, no aparece en otros sistemas operativos como Mac o Linux; se trata de un mensaje de error que se produce cuando Windows no puede recuperarse de un fallo del sistema, ha explicado Albors.

La 'pantalla azul de la muerte' fue una creación de Steve Ballmer, cuando ocupaba el cargo de la división de sistemas operativos de Microsoft, y se diseñó para Windows 1.0, el primer sistema desarrollado por la compañía en 1985.

Desde entonces a la actualidad, el aspecto, aún permaneciendo azul, cambió según han ido reemplanzándose los sistemas operativos y la compañía trató de reducir el número de fallos.

Su aspecto actual se presenta desde que apareció Windows, con un fondo azul claro, con el dibujo de dos puntos y un paréntesis, similar al emoji de tristeza y frustración de las redes sociales, y con un texto universal que no indica el error que ha ocasionado el bloqueo.

Al margen del problema puntual de este viernes, cuando aparezca la temida pantalla azul lo primero que hay que hacer es intentar reiniciar el ordenador. En muchos casos, si el error no es muy grave, el propio sistema puede ser capaz de solucionar la parada y volver a funcionar sin problemas. 

Con información de agencia EFE.

Caos en los aeropuertos y estaciones de tren, operaciones financieras paralizadas, sistemas sanitarios en problemas. Un fallo informático volvió a provocar un apagón digital global que afectó a innumerables compañías privadas e instituciones públicas de todo el mundo.

¿Qué pasó?

Una actualización de la firma de ciberseguridad CrowdStrike provocó un fallo en cadena en Windows y en Azure, el servicio de computación en la nube de Microsoft. Windows y Azure están profundamente interconectados con toda la red global, lo que ha generado un efecto cascada: las operaciones de múltiples compañías se cayeron debido al error inicial, lo que a su vez ha derivado en errores en sus clientes y proveedores. Estos fallos se dejaron sentir más en las redes corporativas y las actividades empresariales que se ejecutan desde la nube que en los dispositivos personales de Windows.

¿Qué falla?

Según explicó Microsoft, la actualización de CrowdStrike hace que las máquinas que corren Windows a través de Azure (en la nube) se queden “atascadas en un estado de reinicio” tras no poder realizar la comprobación de errores correctamente. Se trata de un error crítico que impide que el sistema opere con normalidad y provoca el temido “pantallazo azul” que se ha visto en aeropuertos y estaciones.

¿Qué es CrowdStrike?

CrowdStrike es una de las empresas especializadas en ciberseguridad más importantes del mundo. Es conocida por su plataforma Falcon, que utiliza inteligencia artificial y aprendizaje automático para ofrecer protección avanzada contra amenazas informáticas. Falcon se basa en tecnología en la nube y es precisamente donde se ha producido la actualización defectuosa.

¿Cómo pudo ocurrir?

Las actualizaciones críticas se prueban en entornos controlados antes de implantarlas en todo el sistema. Una vez que se ha comprobado que todo funciona correctamente con ellas en marcha, se da luz verde para ejecutarlas a nivel general. No llevar a cabo este procedimiento se considera una mala práctica, no solo en el sector de la ciberseguridad sino en toda la industria digital. CrowdStrike ha reconocido el fallo pero no ha explicado cómo ha podido ocurrir.

¿Se debe a un ciberataque?

CrowdStrike asegura que no. Todos los especialistas en ciberseguridad consultados por elDiario.es también descartaron esta posibilidad desde primera hora de la mañana. “CrowdStrike está trabajando activamente con los clientes afectados por un defecto encontrado en una única actualización de contenido para Windows. Mac y Linux no están afectados. No se trata de un incidente de seguridad ni de un ciberataque”, ha manifestado George Kurtz, presidente de CrowdStrike.

¿Por qué afectó a todo el mundo?

Aquí entran Windows y Azure. Todo parece indicar que el fallo en CrowdStrike agarró totalmente fuera de juego a Microsoft, que tardó varias horas en hacer siquiera cualquier tipo de comunicación mientras el mundo digital se venía abajo a su alrededor y las pantallas azules de fallos críticos en Windows aparecían en aeropuertos, estaciones y bancos. Tanto Windows como Azure están profundamente intrincados entre ellos así como con la red global, haciendo que un error muy grave pueda causar un apagón global como el de este viernes.

¿Cómo se puede solucionar?

Microsoft pide a los clientes de Azure que reinstauren las copias de seguridad previas a la actualización de CrowdStrike, lo que indica que los expertos de la multinacional aún no saben cómo recuperar los sistemas en su versión actual. “Recomendamos a los clientes que puedan hacerlo que restauren a partir de una copia de seguridad anterior a las 19:00 UTC del 18 de julio”, aconseja. En este momento también está compartiendo posibles soluciones que funcionaron para algunas empresas.

¿Cuánto se tardará en volver a la normalidad?

“El problema ha sido identificado, aislado y se ha implementado una solución”, asegura CrowdStrike. Microsoft también dice que ya han encontrado los problemas de base y que trabajan para reponer la operatividad de las aplicaciones de Azure. Varios especialistas en ciberseguridad explican a este medio que las compañías con más recursos están ya recuperando la operatividad, pero otras más pequeñas o las instituciones públicas pueden tardar horas o incluso días. El motivo es que cada dispositivo de la empresa debe reiniciarse manualmente en modo seguro y borrar el archivo defectuoso.

Los usuarios de Windows 10 pueden descargar la actualización de manera gratuita; estará disponible para todas las computadoras con Microsoft compradas a partir del 2016. Los requisitos mínimos para instalar Windows 11 son: poseer un chip de 64 bits, de al menos 1 GHz con dos o más núcleos, 4 GB de RAM y 64 GB o más de capacidad de almacenamiento. 

A continuación las novedades del sistema operativo:

Interfaz

Windows 11 implementa un diseño más moderno, con formas redondeadas, nuevos menús, carpetas y alertas de sonido rediseñadas. Asimismo, hay una nueva barra de tareas para acceder de forma directa a las aplicaciones, a la que está integrada Microsoft Teams.

Por otro lado, se introdujo un sistema operativo más veloz a la hora de arrastrar ventanas y, así, facilitar la transición entre tareas.

Widgets

Son pequeñas interfaces visuales que resumen información (el tiempo, calendario, mails no leídos y otras funciones). Windows 11 tiene un set de widgets en un panel que funciona como una barra de búsqueda de intereses del usuario.

Integración con aplicaciones Android

Ahora se podrán descargar las apps que se utilizan en dispositivos móviles desde  Microsoft Store —gracias a una integración con Amazon Appstore—. Las notificaciones de las aplicaciones aparecerán directamente en la pantalla.

Monitores externos

Ahora es más fácil conectar y desconectar monitores externos, sin perder la ubicación y la organización de las ventanas abiertas. 

Trackpad

Se implementó un mejor reconocimiento de gestos; es posible cambiar de aplicación deslizando tres dedos, o cambiar de escritorio deslizando cuatro. Además, se incluye un soporte para transcripción de habla en tiempo real.

Videojuegos

Se incorporan nuevas funciones que mejoran el rendimiento de los videojuegos: Auto HDR —para una mayor calidad gráfica—, DirectStorage, una opción de almacenamiento que ayuda a la carga rápida de los juegos, y una nueva aplicación de Xbox, con xCloud incluido. También se puede acceder al servicio de suscripción de Xbox, Game Pass, y a la tienda de juegos de Xbox.

Lápiz digital

Windows 11 es compatible con el lápiz digital háptico; ahora el usuario podrá sentir y escuchar las vibraciones cuando escribe o dibuja.

Soporte de escritorio virtual

El nuevo sistema operativo permite configurar los escritorios virtuales de manera más dinámica, agilizando la alternancia entre los distintos escritorios: personal, laboral, escolar o de juegos.

MGF

Microsoft está alertando a los usuarios de Windows sobre un fallo de seguridad crítico en el servicio de cola de impresión del sistema operativo. Este permite ejecutar código de forma remota bajo el disfraz de System, básicamente lo más peligroso y problemático que un ciberatacante puede hacer en Windows. A partir de esta vulnerabilidad se pueden instalar programas maliciosos, modificar datos del sistema y crear cuentas con privilegios de administrador.

La vulnerabilidad ha sido bautizada como PrintNightmare y pertenece a la categoría conocida de día cero, que significa que ha estado presente en todas las versiones de Windows desde el momento de su lanzamiento aunque no se haya conocido su existencia hasta ahora. Bleepingcomputer ha informado de que Microsoft ha comunicado a algunos clientes que el agujero ya ha sido descubierto y atacado por grupos de ciberdelincuentes, lo que pone a gobiernos, empresas y usuarios en riesgo.

Microsoft aún no ha publicado un parche de seguridad para corregir PrintNightmare. Por el momento, llama poner en práctica una serie de soluciones de mitigación como deshabilitar el servicio de cola de impresión (Print Spooler) de Windows. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras estadounidense (CISA) ha recomendado a los administradores “deshabilitar el servicio Windows Print Spooler en los controladores de dominio y en los sistemas que no imprimen”.

Microsoft admite que “el código que contiene la vulnerabilidad está en todas las versiones de Windows”, pero no está claro si es explotable más allá de las versiones de servidor del sistema operativo.

“Lo que hace que esta vulnerabilidad sea extremadamente peligrosa es la combinación de dos hechos: no está parcheada por ahora y existe una prueba de concepto (PoC) pública para explotarla”, explica Jan Vojtěšek, investigador de la firma de ciberseguridad Avast. “Cualquier atacante puede intentar explotar esta vulnerabilidad y realizar acciones fraudulentas. Esto pone mucha presión sobre Microsoft, que debería publicar el parche lo antes posible para evitar que los atacantes exploten esta vulnerabilidad”, añade.

El fallo salió a la luz a raíz de que investigadores de ciberseguridad de la empresa Sangfor detallaran sus características por error, en la creencia de que Microsoft ya había tapado el agujero. Los investigadores iban a hablar sobre vulnerabilidades de día cero como PrintNightmare en una próxima conferencia sobre ciberseguridad. La publicación fue rápidamente retirada, pero no antes de que el código fuera publicado en GitHub.

Las vulnerabilidades en el servicio de cola de impresión de Windows han sido explotadas en ciberataques durante años. Un ejemplo es el gusano Stuxnet, que en 2010 provocó la autodestrucción de más de 1.000 centrifugadoras nucleares en Irán, lo que lastró el desarrollo atómico del país durante años. Ningún grupo o gobierno reivindicó el ataque, aunque se considera uno de los primeros actos de guerra cibernética.