Excel 2016/365: guardado lento de libros con macros en red (CrowdStrike DOW) — Causa y solución

¿Excel 2016/365 tarda “una eternidad” al guardar libros con macros en una unidad de red desde el 02‑feb‑2024? No es tu red ni es Office: la causa suele ser el escaneo “Detect on Write (DOW)” añadido por el sensor de CrowdStrike. Aquí tienes el diagnóstico, la solución definitiva y mitigaciones seguras.

Índice

Resumen del problema

Desde el 2 de febrero de 2024, guardar archivos de Excel con macros (.xlsm / .xlsb) en recursos compartidos de red muestra una barra de progreso prolongada y tiempos de guardado muy superiores a los habituales. El comportamiento no afecta a archivos sin macros (.xlsx) ni a otras aplicaciones como Notepad, PDF o Word (si no usan macros).

Diagnóstico de causa raíz

La latencia aparece por un análisis adicional de Machine Learning “Detect on Write (DOW)” introducido en una actualización del sensor de CrowdStrike para archivos de Microsoft Office y, en particular, para libros con macros. Ese análisis al escribir en disco añade retraso notable en el guardado, con impacto especialmente visible al escribir en recursos de red. En algunos entornos el efecto también se observó en el guardado local.

Señales inequívocas de que estás ante este caso

La lentitud sólo ocurre con .xlsm/.xlsb; .xlsx guarda rápido.
El mismo libro guardado en local puede ir más rápido, pero al guardar en red se ralentiza claramente.
Deshabilitar temporalmente DOW en el endpoint o en el servidor de archivos hace que los guardados vuelvan a tiempos normales.

Solución recomendada (definitiva)

Actualiza el sensor de CrowdStrike a una versión corregida (por ejemplo, 7.07.17807.0 o posterior). Una vez actualizado el sensor en los equipos y/o en el servidor de archivos afectado, los guardados de libros con macros vuelven a su rendimiento normal sin acciones adicionales.

Cómo verificar la versión del sensor

Desde la consola de CrowdStrike: revisa el inventario de hosts y la columna de versión del sensor para los equipos/servidores afectados.
En Windows: en Aplicaciones y características busca “CrowdStrike Windows Sensor” y comprueba el número de versión; o bien usa PowerShell para obtener la versión del controlador.

# Ejemplo (PowerShell elevado)
Get-Item "C:\Windows\System32\drivers\CrowdStrike\csagent.sys" | 
  Select-Object Name, @{n="Version";e={$_.VersionInfo.FileVersion}}

Mitigación temporal (si aún no puedes actualizar)

Si la actualización no está disponible de inmediato en tu entorno, aplica una mitigación acotada para los equipos/servidores impactados.

Desactivar “Detect on Write (DOW)” para los hosts afectados

Ruta en consola: Endpoint Security → Prevention Policies → Type: Next‑Gen Antivirus → Category: On Write → desactiva Detect on Write.
Efecto esperado: no suele requerir reinicio; el cambio se propaga en minutos y los guardados vuelven a ser casi instantáneos.
Ámbito: limita la política a los hosts/servidores que sufren el problema. Mantén activas el resto de capas de protección.

Aplicar mitigación en el servidor de archivos

Si la latencia se observa sobre todo al guardar en red, desactiva DOW también en el servidor de archivos que aloja los recursos compartidos, además (o en lugar) del cliente. En entornos con análisis del lado servidor, desinstalar o pausar el sensor en el cliente sin ajustar la política en el servidor puede no ser suficiente.

Workarounds funcionales puntuales

Si el libro no requiere macros, guardar como .xlsx evita el análisis extra (y el retraso).
Ten en cuenta que si el archivo tuvo macros y vuelves a .xlsm más tarde, la lentitud puede reaparecer. No es solución estable si necesitas macros.
Trabajar en local o caché temporal y subir al final puede mitigar mientras se despliega la corrección.

Qué no ayuda (comprobado en pruebas)

Reparar o retroceder Office, o cambiar de compilación de Excel, no elimina la causa: el origen no está en Office sino en la capa EDR.
Desinstalar el sensor en el cliente sin tocar la política del servidor de archivos puede no resolver si el análisis se realiza en el servidor.

Procedimiento recomendado paso a paso

Diagnóstico rápido:
- Deshabilita temporalmente CrowdStrike (o sólo DOW) en el servidor de archivos y prueba un guardado .xlsm en la red.
- Si el guardado vuelve a tiempos normales, has confirmado la causa.
Contención:
- Crea una política temporal con DOW desactivado y asígnala sólo a los hosts afectados (clientes y/o servidor de archivos).
Remediación:
- Actualiza el sensor de CrowdStrike a la versión corregida (p. ej., 7.07.17807.0 o superior).
- Valida con una prueba de guardado y, si es satisfactorio, reactiva DOW para restaurar la postura de seguridad.
Comunicación al usuario:
- Explica que los guardados de macro‑libros pueden tardar hasta completar el despliegue del sensor corregido.
- Ofrece workaround: trabajar en local y subir, o usar .xlsx cuando sea viable.

Checklist de verificación para administradores

Tarea	Cómo hacerlo	Resultado esperado
Confirmar el síntoma	Guardar un `.xlsm` en red y cronometrar; comparar con `.xlsx`.	`.xlsm` tarda significativamente más que `.xlsx`.
Probar mitigación	Desactivar DOW en la política del host y/o servidor, esperar propagación y repetir prueba.	El tiempo de guardado mejora de forma inmediata o en pocos minutos.
Plan de actualización	Programar despliegue del sensor corregido y ventanas de mantenimiento.	Hosts actualizados a 7.07.17807.0 o posterior.
Reforzar seguridad	Reactivar DOW tras validar que el problema desapareció.	Postura de seguridad normalizada sin penalización de rendimiento.

Cómo medir y documentar la mejora

Para evidenciar el impacto y la posterior mejora, captura tiempos de guardado antes y después de la mitigación/actualización. Puedes utilizar un pequeño script en VBA que guarde una copia del libro hacia la ruta de red problemática y mida la duración.

' Medir tiempo de guardado de una copia en red
Sub MedirGuardadoRed()
    Dim t As Double, ruta As String, nombre As String
    ruta = "\\servidor\compartido\pruebas\"
    nombre = "prueba" & Format(Now, "yyyymmddhhnnss") & ".xlsm"
    Application.DisplayAlerts = False
    t = Timer
    ThisWorkbook.SaveCopyAs ruta & nombre
    Application.DisplayAlerts = True
    MsgBox "Tiempo de guardado: " & Format(Timer - t, "0.00") & " s"
End Sub

Consejo: ejecuta la macro tres veces y calcula el promedio. Repite tras desactivar DOW y, por último, tras actualizar el sensor. Así tendrás un registro claro para auditoría y para comunicar a usuarios/stakeholders.

Impacto y alcance observados

En algunos entornos el retraso afectó también a otros archivos de Office, no sólo a .xlsm/.xlsb.
El efecto se observó en local y en red, con mayor impacto al escribir en recursos compartidos.
La pérdida de rendimiento se detectó de forma repentina a partir del 02‑feb‑2024, coincidiendo con el despliegue del sensor afectado.

Buenas prácticas de seguridad durante la mitigación

Limitar el alcance: aplica la desactivación de DOW sólo en sistemas impactados y por el tiempo estrictamente necesario.
Mantener otras capas: deja activas AMSI, SmartScreen, firmas AV, bloqueo de macros desde Internet, políticas de endurecimiento de Office y reglas ASR que uses.
Monitorizar: revisa alertas y telemetría durante el periodo con DOW desactivado para detectar comportamientos anómalos.

Preguntas frecuentes (FAQ)

¿Por qué .xlsx guarda rápido pero .xlsm/.xlsb no?
Porque el análisis DOW presta especial atención al contenido ejecutable de macros, que no existe en .xlsx.

¿Bajar de versión de Office ayuda?
No. La causa está en el sensor EDR, no en Office.

¿Puedo desinstalar el sensor en el cliente y listo?
No necesariamente. Si el escaneo se realiza también en el servidor de archivos, la latencia persistirá. Ajusta la política en el servidor.

¿Es seguro desactivar DOW?
Es una reducción de defensa en profundidad. Úsala sólo como mitigación temporal, limitada a los hosts afectados, y regrésala tras actualizar el sensor.

¿Qué versión debo instalar?
Una versión corregida del sensor, como 7.07.17807.0 o posterior.

Guía de comunicación a usuarios

Para minimizar tickets duplicados y aclarar expectativas, envía un aviso breve:

Asunto: Guardado lento de Excel con macros
Mensaje: Desde el 02‑feb‑2024 puede percibirse lentitud al guardar libros .xlsm/.xlsb en unidades de red. Es un efecto de una actualización de seguridad. Estamos desplegando un ajuste/actualización del sensor. Mientras tanto, si no necesitas macros, guarda como .xlsx o trabaja en local y sube al finalizar.

Plan de acción recomendado (RACI)

Actividad	Responsable	Apoyo	Plazo sugerido
Confirmar versión de sensor en hosts críticos	Equipo de Endpoint	Soporte de escritorio	24–48 h
Aplicar política temporal sin DOW a afectados	Equipo de Endpoint	Gestión de cambios	Inmediato
Actualizar sensor a versión corregida	Equipo de Endpoint	Infraestructura/Servidores	Según ventana
Validar mejora y reactivar DOW	Equipo de Endpoint	Service Desk	Tras actualización
Comunicación a usuarios y cierre	Service Desk	Gestión de cambios	Tras validación

Plantilla de informe post‑incidente

Resumen: guardados lentos de Excel con macros en red desde 02‑feb‑2024.
Causa raíz: latencia por DOW en sensor de CrowdStrike.
Impacto: usuarios de Excel 2016/Microsoft 365 en unidades compartidas; operaciones demoradas al guardar.
Mitigación: desactivar DOW en hosts/servidores afectados.
Solución: actualización de sensor a 7.07.17807.0 o posterior.
Acciones preventivas: piloto controlado de nuevas políticas y validación de rendimiento en cargas con macros antes de despliegues masivos.

Glosario rápido

DOW (Detect on Write): tecnología que inspecciona archivos al momento de escribirlos en disco para detectar amenazas.
EDR: Endpoint Detection and Response, capa de seguridad que monitoriza y responde a amenazas en endpoints.
Libro con macros: archivo de Excel .xlsm o .xlsb que contiene código VBA.

Conclusión

Si Excel 2016/Microsoft 365 guarda lentísimo los .xlsm/.xlsb en red a partir del 02‑feb‑2024, el origen más probable es el escaneo DOW del sensor de CrowdStrike. La solución definitiva es actualizar el sensor a una versión corregida (p. ej., 7.07.17807.0+). Mientras llega la actualización, puedes desactivar DOW temporalmente en los hosts/servidores afectados y aplicar workarounds funcionales limitados, asegurando siempre mantener el resto de defensas activas. Tras validar el arreglo, reactiva DOW y documenta la mejora con métricas. Con este enfoque, recuperas el rendimiento sin comprometer la seguridad a largo plazo.

Notas útiles del caso

En algunos entornos, el retraso afectó a todos los archivos de Office, no sólo a .xlsm/.xlsb.
El efecto se observó tanto en red como local, pero con mayor impacto al guardar en recursos compartidos.
La pérdida de rendimiento se detectó de forma repentina a partir del 02‑feb‑2024, coincidiendo con el despliegue del sensor afectado.