Tecnología

Revertir el problema de CrowdStrike y Microsoft supondrá un coste incalculable para las empresas

El problema del parche corrupto de CrowdStrike que afecta a máquinas que utilizan Windows tiene solución aunque esta no es automatizable, lo cual redunda en más problemas.

Actualizado a 19 de julio de 2024 12:39 CEST

El 19 de julio de 2024 será recordado por muchos administradores de sistemas de todo el mundo como uno de los días más fatídicos de la historia reciente a nivel económico debido al problema de CrowdStrike en entornos de Microsoft en empresas. Un parche corrupto ha provocado que millones de máquinas que usan Windows en todo el globo queden inservibles, y aunque este fallo grave tiene solución, esta no es automatizable, de modo que requiere de una inversión de mano de obra y capital considerable a la que hay que sumar las pérdidas ocasionadas a cada segundo.

La solución del problema de CrowdStrike y Microsoft es tan laboriosa como costosa

A grandes rasgos, el problema de CrowdStrike consiste en que esta firma de ciberseguridad ha subido una actualización con un formato no válido, que provoca que los aparatos que usan Windows como sistema operativo que se actualizaron automáticamente se cuelguen. Tras esto, se quedan atascados en las pantallas azules relativas al entorno de recuperación de Windows, de las que les es imposible salir debido al parche corrupto.

Millones de máquinas que usan Windows a lo largo de todo el mundo se ven afectadas por el problema de CrowdStrike

Kevin Beaumont, ingeniero de sistemas, comenta en su cuenta de X que la solución va a tener un coste incalculable para las compañías por una razón principal: no es automatizable, ya que consiste en que un trabajador deba ir aparato a aparato corrigiendo manualmente el fallo.

To explain that recovery point - you have to go to a server or PC, boot it in safe mode at the console, log in as admin, then basically hack the system to get it back online. You can't automate that.. so this is going to be incredibly painful for Crowdstrike customers.
— Kevin Beaumont (@GossiTheDog) July 19, 2024

“CrowdStrike es el mejor producto de respuesta y detección de problemas en los endpoints, y está presente en prácticamente todo como puntos de venta, cajeros, etc. Seguramente este sea el mayor ciber-incidente de todos los tiempos en términos de impacto. Para explicar el proceso de recuperación: tienes que ir a un servidor o PC afectado, iniciarlo en modo seguro y básicamente hackear el sistema para que vuelva a estar operativo. No se puede automatizar esto, por lo que va a ser increíblemente doloroso para los clientes de CrowdStrike”, comentaba Beaumont.

Aunque CrowdStrike ya revirtió la actualización corrupta, las máquinas afectadas continúan sin servicio y la única forma de hacer que vuelvan a estar operativas es el proceso detallado por Beaumont: un técnico especializado debe ir aparato a aparato para solucionar el problema en cada terminal en concreto.

Aparatos como cajeros automáticos, ordenadores o máquinas expendedoras han sido afectados por este problema con una actualización automática de seguridad

Se trata por tanto, de un proceso que requiere una inversión de tiempo y dinero adicionales a las pérdidas ya ocasionadas por el fallo en estos sistemas. Además, otras compañías no afectadas de forma directa también pueden estarlo de forma indirecta debido a que también supone un grave problema a nivel logístico, afectando a la cadena de suministros mundial.

Este problema generalizado ha tenido repercusiones inmediatas para la propia CrowdStrike, que ha visto cómo sus acciones de han desplomado en bolsa un 20%.

CrowdStrike is actively working with customers impacted by a defect found in a single content update for Windows hosts. Mac and Linux hosts are not impacted. This is not a security incident or cyberattack. The issue has been identified, isolated and a fix has been deployed. We…
— George Kurtz (@George_Kurtz) July 19, 2024

George Kurtz, CEO de CrowdStrike, añade que el problema solo afecta a máquinas que usan Windows y no a las que utilizan Mac o Linux. También confirma que no se trata de un incidente de seguridad o de un ciberataque, sino que confirma que el problema se deriva de un problema al lanzar una actualización de seguridad.

La solución al problema de CrowdStrike y Microsoft que debe implementarse de manera manual

Como comentamos más arriba, el problema derivado del parche corrupto de CrowdStrike en aparatos que utilizan Windows —el sistema operativo de Microsoft— tiene solución. Ahora bien, el principal inconveniente que tiene implementar esta solución es que debe hacerse de forma manual, lo cual es un proceso muy laborioso y que debe hacerse de forma concienzuda.

Windows, pantalla azul — La actualización corrupta de CrowdStrike provoca que las máquinas afectadas queden atrapadas en bucles de reinicio, impidiendo su uso normal

La solución concreta es borrar un archivo de cada máquina afectada relativo a la actualización corrupta. Esto es lo que hay que hacer, paso a paso:

Iniciar Windows en Modo Seguro o en el Entorno de Recuperación de Windows.
Acceder al directorio C:\Windows\System32\drivers\CrowdStrike.
Localizar el archivo “C-00000291*.sys” y borrarlo.
Iniciar el equipo de la forma habitual.

Esto eliminará el parche corrupto de cada sistema afectado, lo cual debería hacer que funcione con normalidad. Eso sí: estos archivos suelen estar cifrados por BitLocker, por lo que se necesitan las contraseñas pertinentes para acceder a ellos, típicamente solo confiadas al personal de IT de las empresas.