El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido una nota informativa sobre el incidente de sistemas de información que está afectando a diferentes organizaciones a nivel mundial. La entidad pública española asegura que los primeros logs en los reportes se empiezan a detectar en la red de vigilancia a las 10.20 de la noche de ayer.
Y confirma que el problema es generado por una actualización defectuosa del software propiedad de la empresa de ciberseguridad CrowdStrike, que ha causado un fallo masivo en equipos con sistema operativo Windows. Y que no se trata de un ciberataque.
Dicha actualización ha provocado que diversos sistemas estén atrapadas en un ciclo de arranque, también conocido en el sector como la “pantalla azul de la muerte” (BSOD), afectando a servicios aeroportuarios, aerolíneas, redes ferroviarias, medios de comunicación y otras organizaciones en todo el mundo.
Crowdstrike está ya aplicando medidas de mitigación y recuperación en los sistemas y clientes afectados, logrando ya levantar varios de estos sistemas. En paralelo están trabajando en una nueva actualización que sustituya la que está dando problemas para no impactar en nuevos servicios.
Índice de temas
Medidas de corrección que propone INCIBE
Las medidas de mitigación y corrección que se están recomendando desde INCIBE son las siguientes:
- La actualización de componentes de CrowdStrike que están provocando bucles de pantalla azul.
- Se recomienda no ejecutar la actualización del agente CrowdStrike hasta que esté disponible una solución verificada.
- El archivo de canal defectuoso se ha revertido y desde el fabricante se espera que esto mitigue una mayor expansión. Para los sistemas que ya fallan, algunos se reinician a un estado de funcionamiento normal y se considera que deberían elegir el nuevo archivo del componente que no da problemas frente al que da problemas. Algunos sistemas simplemente fallan en bucle y pueden necesitar una intervención manual.
- Si los sistemas fallan y es por tanto necesaria una intervención manual se está recomendando seguir los siguientes pasos:
- Se debe de iniciar Windows en modo seguro.
- Se debe de acceder al directorio C:\Windows\System32\drivers\CrowdStrike en el Explorador.
- Hacer la búsqueda del archivo “C-00000291*.sys” y eliminarlo.
- Iniciar el sistema normalmente.
INCIBE está en contacto con las entidades referidas y con los operadores críticos y estratégicos para alertarles y ofrecerles apoyo con la adopción de estas medidas de mitigación.
Líneas de soporte de INCIBE
Si alguna persona o empresa necesita asesoramiento sobre ésta cuestión, puede contactar con nuestro servicio Tu Ayuda en Ciberseguridad todos los días del año desde las 8 de la mañana hasta las 11 de la noche a través del teléfono 017 o mediante los canales de Whatsapp (900116117) o Telegram (@INCIBE017) así como a través de formulario. Se ha implementado un protocolo de atención especial con la información correspondiente.
