Miles de computadoras con sistema operativo Windows quedaron paralizadas en las primeras horas de este viernes, afectando las operaciones de grandes empresas en distintos países y generando así pérdidas millonarias mientras se buscaba una solución al problema. Lo que ocurrió, se supo con el correr de las horas, fue que una actualización fallida en un software de ciberseguridad utilizado por Microsoft –desarrolladora de Windows– generó un error conocido como "pantallazo azul de la muerte" (BSOD, o Blue Screen of Death en inglés).

El servicio de seguridad informática en cuestión es provisto por CrowdStrike, una firma con amplio reconocimiento en el ámbito corporativo por sus servicios orientados a empresas para encontrar y prevenir amenazas. La escala que tomó el problema se entiende por el dato de que la compañía tiene alrededor de 29.000 clientes, de los cuales más de 500 están en la lista Fortune 1000, según su sitio oficial.

El paquete de servicios insignia de CrowdStrike es Falcon, una solución basada en la nube que combina distintas herramientas de ciberseguridad, tales como antivirus, protección de terminales y monitoreo en tiempo real. Esto se hace a través de una tecnología denominada detección y respuesta de puntos finales (EDR, por su sigla en inglés), siendo un "punto final" cualquier dispositivo conectado al sistema, como un smartphone o una computadora.

Falcon es uno de los sistemas de protección utilizados en Windows, por lo que si hay una falla en el primero, el segundo también se ve afectado.

Una actualización que paralizó miles de computadoras


 

En concreto, lo que ocurrió fue que el equipo de desarolladores de Falcon actualizó el código interno de la compañía y enviaron esa nueva versión de los controladores a los servidores de producción, lo que implica que todas las aplicaciones del sistema de seguridad en equipos con Windows tomaron la tomaron para funcionar.

Pero dado que había una falla, los dispositivos se bloquearon al detectarla para evitar iniciarse bajo exposición a amenazas o daños, lo que llevó a la aparición de las BSOD en computadores de empresas multinacionales.

El problema afectó a bancos, aerolíneas, cadenas de televisión y de supermercados y otras grandes compañías con operaciones en –al menos– Australia, Europa, Reino Unido y Estados Unidos. Sus sistemas quedaron bloqueados desde el Kernel de los equipos, es decir desde su núcleo operativo, por lo que la posibilidad de reiniciarlos de manera remota quedaba descartada.

El Blue Screen of Death que deja inutilizadas computadoras con Windows.

Horas después de que comenzaran a reportarse las fallas, CrowdStrike comunicó que se había identificado el problema y se había implementado una solución, pero aclaró que reparar las máquinas no dependía de ellos. La empresa revirtió la actualización defectuosa, pero las máquinas que se habían visto afectadas seguían paralizadas.

"CrowdStrike está trabajando activamente con clientes afectados por un defecto encontrado en una única actualización de contenido para hosts de Windows", publicó el director ejecutivo de CrowdStrike, George Kurtz, en su cuenta de X, y precisó: "Los hosts de Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque".

Para volver a funcionar, cada uno de los equipos debía reiniciarse manualmente, una solución lenta y costosa para las compañías y que ataba la rapidez de resolución a los recursos disponibles para acceder a los dispositivos afectados.

Reparación manual


 

Las indicaciones para resolver el problema llegaron primero por parte de administradores informáticos que comenzaron a publicar sus diagnósticos en Reddit. Allí indicaban que se debían iniciar las máquinas Windows afectadas en modo seguro, navegar hasta los archivos de CrowdStrike y eliminar uno en particular, que era el que dejaba trunco al sistema.

Para restaurar los dispositivos y poder volver a utilizarlos normalmente, se deben seguir los siguientes cuatro pasos: 

  • Reiniciar Windows en modo seguro. Para ello, se debe mantener presionada la tecla "Mayús" mientras se selecciona a la vez Inicio/Apagado, y reiniciar en la pantalla de inicio de sesión de Windows.
  • Luego hay que navegar por el directorio del disco rígido y buscar la ubicación "C:\Windows\System32\drivers\CrowdStrike". Para acceder a la unidad C del disco duro, se debe abrir el explorador de archivos y hacer clic en la opción "Este equipo". Tras esto, el usuario deberá localizar la unidad C y hacer doble clic sobre ella para abrir su contenido. También se puede acceder a esta unidad de manera rápida mediante el atajo de teclado CTRL + Alt + C.
  • Una vez localizada la carpeta, el usuario deberá buscar el archivo "C-00000291*.sys", seleccionarlo y eliminarlo. Para encontrar el archivo, puede insertar el nombre en buscador del directorio, o encontrarlo manualmente al seleccionar la carpeta System32. Allí, habrá otra denominada "drivers" y, ahí, otra más con el título CrowdStrike. Una vez localizado el archivo específico, seleccionarlo y apretar el botón derecho para elegir la opción Eliminar.
  • Una vez finalizados todos estos pasos, se debe reiniciar el equipo para que se registren los cambios.