CrowdStrike, la empresa de ciberseguridad que colapsó a Microsoft, bancos y aerolineas

Muchísimas personas iniciaron el día con la sorpresa de ver el pantallazo azul de la muerte al iniciar tu PC con Windows, sobre todo usuarios del sector bancario y aerolineas en varios paises. Enterder el problema pasa por descubrir que seguro, nunca antes escuchaste de CrowdStrike, te adelanto que es una de esas cosas que no sabes que existe hasta que te pudre la vida.

Como todo, en si misma no es nada malo hasta que falla. Resulta que CrowdStrike es una empresa de ciberseguridad especializada en la detección y prevención de amenazas cibernéticas. Son conocidos por FALCON, una plataforma que utiliza Inteligencia Artificial y Machine Learning para detectar y neutralizar amenazas en tiempo Real.

Hace tiempo que Microsoft y CrowdStrike mantienen una asociación estratégica que fortalece a ambas empresas en esta área, gracias a esta relación, se implementan correcciones y mejoras de seguridad en Windows que luego llegan a ti en forma de actualizaciones.

Alcance del problema generado por CrowdStrike

Microsoft y miles de sus usuarios son solo algunos de los afectados, y más, considerando la cantidad de computadoras que usan Windows. El daño se ha producido en una gran cantidad de los clientes de CrowdStrike, que dicho sea de paso, son empresas o entidades enormes.

Entre los sectores más comprometido con este fallo, están las aerolineas y bancos de varios paises.

Las acciones en bolsa tanto de Microsoft y CrowdStrike, así como las del sector turismo y viajes sufrieron una importante caida durante las primeras horas del apagón (falla).

Según la empresa, «podría pasar algun tiempo» para que todo vuelva a la normalidad.

¿Y qué falló?

El Director de CrowdStrike, George Kurtz, comentó en un comunicado, que la casusa del problema fué un defecto en una actualización de contenido para los dispositivos basados en Windows. De hecho, ningún otro sistema operativo se ha visto afectado. Declaro enfáticamente que «Esto no ha sido un incidente de seguridad ni un ciberataque«.

Aquellos computadores con Windows que en horas recientes descargaron esta actualización, se encontraron que simplemente, su Windows no arranca y les hace ver el temido y famoso Pantallazo Azul de la Muerte. Esto, porque una actualización de Windows rompió cosas importantes del sistema.

Solución

Aunque tu Window se haya visto afectado por el problema, puedes estar tranquilo, no vas a perder la información, y tampoco tienes que volver a instalar Windows y los demás programas.

Seguidamente te ofrecemos los pasos a seguir en caso de que los necesites:

• Descarga el script CrowdStrike-rollback de la página de GitHub
  • Link: https://github.com/panxos/CrowdStrike-rollback/blob/main/CrowdStrike-rollback.ps1
• Asegurate de tener los privilegios de administrador de tu windows cuando vayas a ejecutar este script.
• Reinicia tu máquina en modo seguro o entorno de recuperación segun te aplique.
• Para entrar en Modo Seguro, mantén presionada la tecla Shift mientras haces clic en «Reiniciar» y luego selecciona:
  • «Solucionar problemas»
  • «Opciones avanzadas»
  • «Configuración de inicio»
  • «Reiniciar»
  • Después, selecciona la opción para Modo Seguro.
• Para entrar en el Entorno de Recuperación de Windows, sigue un proceso similar y selecciona:
  • «Solucionar problemas»
  • «Opciones avanzadas»
  • «Símbolo del sistema».
• Ahora, abre el PowerShell como administrador, busca la carpeta donde guardaste el script y ejecútalo escribiendo:  .\CrowdStrike-rollback.ps1

Esto deshace todo lo que la actualización corrupta dañó en tu computador. Ahora solo reinicia tu PC de forma normal.

El Script CrowdStrike-rollback.ps1 por dentro

Si eres de los que requiere ver el código que se ejecuta en tu pc, pues es el siguiente:

# Fuente: Github
# Comprobar si se ejecuta en modo seguro
function Test-SafeMode {
    $regkey = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SafeBoot" -ErrorAction SilentlyContinue
    return $regkey -ne $null
}

if (-not (Test-SafeMode)) {
    Write-Host "El sistema no está en modo seguro. Por favor, reinicia en modo seguro o en el entorno de recuperación de Windows." -ForegroundColor Red
    exit
}

# Ruta al directorio de CrowdStrike
$directoryPath = "C:\Windows\System32\drivers\CrowdStrike"

# Verificar si el directorio existe
if (Test-Path -Path $directoryPath) {
    # Buscar y eliminar el archivo que coincide con el patrón
    $files = Get-ChildItem -Path $directoryPath -Filter "C-00000291*.sys"
    if ($files.Count -gt 0) {
        foreach ($file in $files) {
            Remove-Item -Path $file.FullName -Force
            Write-Host "Archivo eliminado: $($file.FullName)" -ForegroundColor Green
        }
    } else {
        Write-Host "No se encontraron archivos que coincidan con el patrón C-00000291*.sys" -ForegroundColor Yellow
    }
} else {
    Write-Host "El directorio $directoryPath no existe." -ForegroundColor Red
}