El Instituto Nacional de Ciberseguridad aseguró que la caída de operadores de sectores críticos y estratégicos sufrida este viernes se debe a un fallo de ‘software’ en los equipos con sistema operativo Windows, conocido como la Pantalla Azul de la Muerte, debido a una actualización defectuosa del ‘software’ propiedad de la empresa de ciberseguridad CrowdStrike, de forma que no se trata de ningún ciberataque.
Incibe detalló que el incidente de sistemas de información que está afectando a diferentes organizaciones a nivel mundial se comenzó a detectar a las 22.20 horas del día de ayer debido a una actualización de un componente de ciberseguridad de la empresa CrowdStrike, que está genera problemas en su interacción con plataformas de Microsoft. Dicha actualización está provocando problemas técnicos en los clientes de Microsoft, donde se está procediendo a realizar la actualización de dicho componente.
El problema se refleja en la generación de un pantallazo azul de bloqueo del sistema e impide su correcto funcionamiento, pero CrowdStrike aplica ya medidas de mitigación y recuperación en los sistemas y clientes afectados, logrando ya levantar varios de estos sistemas. En paralelo, trabaja en una nueva actualización que sustituya la que está dando problemas para no impactar en nuevos servicios.
Desde Incibe explicaron que la actualización de componentes de CrowdStrike están provocando bucles de pantalla azul, por lo que recomendaron no ejecutar la actualización del agente CrowdStrike hasta que esté disponible una solución verificada. No obstante, el archivo de canal defectuoso se ha revertido y desde el fabricante se espera que esto mitigue una mayor expansión, mientras que para los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y se considera que deberían elegir el nuevo archivo del componente que no da problemas frente al que da problemas. Algunos sistemas simplemente fallan en bucle y pueden necesitar una intervención manual.
Si los sistemas fallan es por tanto necesaria una intervención manual recomendaron iniciar Windows en modo seguro, acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el explorador, hacer la búsqueda del archivo “C-00000291*.sys” y eliminarlo e iniciar el sistema normalmente.
El Instituto Nacional de Ciberseguridad está en contacto con las entidades referidas y con los operadores críticos y estratégicos para alertarles y ofrecerles apoyo con la adopción de estas medidas de mitigación del incidente, lo que está permitiendo la recuperación progresiva de los sistemas. Además, ha implementado un protocolo de atención especial con la información correspondiente para ciudadanos y empresas a través del servicio 017 Tu Ayuda en Ciberseguridad.