Todo es cuestión de tokens: Microsoft revela detalles del caos informático ocurrido durante el fin de semana
Los administradores están tomando sedantes, aunque no hay motivos para preocuparse.
Microsoft explicó las causas de los bloqueos masivos de cuentas Entra, ocurridos el pasado fin de semana. El problema no estuvo relacionado con ataques externos, como muchos pudieron haber pensado, sino con un error interno de la propia empresa: un registro incorrecto de los tokens de actualización de usuario.
La mañana del sábado, numerosas organizaciones comenzaron a recibir alertas preocupantes de Entra ID: el sistema indicaba que las credenciales habían sido supuestamente comprometidas y bloqueaba automáticamente las cuentas. Algunos administradores supusieron que el problema estaba relacionado con la implementación de una nueva aplicación corporativa llamada MACE Credential Revocation, instalada poco antes del inicio del incidente.
Posteriormente, representantes de Microsoft reconocieron que el sistema había comenzado por error a registrar no solo los metadatos, sino también los propios tokens de actualización de corta duración de los usuarios —elementos que mantienen una sesión activa en el entorno corporativo—. Al detectar el error, el equipo de seguridad de Microsoft inició el proceso de revocación de estos tokens. Fue este procedimiento el que provocó el aumento de falsas alarmas en el sistema de protección Entra ID, lo que llevó al bloqueo de cuentas.
Según una notificación interna, publicada en Reddit por uno de los administradores, el fallo fue detectado el 18 de abril. El error de registro fue corregido rápidamente, pero entre las 4 y las 9 de la mañana del 20 de abril (UTC), el sistema interpretó automáticamente la revocación de tokens como una posible filtración de credenciales y emitió las alertas correspondientes.
Microsoft destaca que, hasta el momento, no hay indicios de acceso no autorizado a estos tokens. En caso de que surja dicha información, se activará el procedimiento estándar de respuesta ante incidentes. Para restablecer el acceso, se recomendó a las organizaciones marcar manualmente a los usuarios como seguros utilizando la función Confirm User Safe en la interfaz de Microsoft Entra.
La empresa prometió publicar un informe completo sobre lo ocurrido una vez finalizada la investigación y ponerlo a disposición de todos los clientes afectados. Las solicitudes de los medios de comunicación aún no han sido respondidas, pero la magnitud del incidente y la reacción de Microsoft reflejan la gravedad del fallo.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla