Microsoft ha alertado a sus clientes empresariales sobre la pérdida parcial de logs críticos de seguridad durante casi un mes, lo que podría poner en riesgo a las organizaciones que dependen de estos datos para detectar actividades no autorizadas. Este problema afectó a varias de sus plataformas y servicios clave, lo que ha generado preocupación en el ámbito de la ciberseguridad.
Periodo afectado y servicios comprometidos
La interrupción en la recolección de logs se produjo entre el 2 y el 19 de septiembre de 2024, según informó Business Insider a principios de este mes. Microsoft ha confirmado que los servicios impactados incluyen Microsoft Entra, Azure Logic Apps, Azure Healthcare APIs, Microsoft Sentinel, Azure Monitor, Azure Trusted Signing, Azure Virtual Desktop y Power Platform. Estos servicios experimentaron diferentes niveles de interrupción, con algunos problemas que se prolongaron hasta el 3 de octubre.
Entre los datos perdidos se encuentran registros de seguridad esenciales para monitorizar intentos de inicio de sesión, comportamientos sospechosos y tráfico irregular en redes corporativas, lo que aumentó el riesgo de que ataques cibernéticos pudieran pasar desapercibidos.
Causas del incidente
El error fue causado por una modificación en el servicio de recopilación de logs de Microsoft, diseñada inicialmente para corregir otro problema. Sin embargo, esta actualización introdujo una condición de interbloqueo en el agente responsable de cargar los datos de telemetría, lo que impidió que los logs se enviaran correctamente. Como resultado, los datos acumulados que superaron el límite de caché local del agente se perdieron de forma irrecuperable.
Según el informe preliminar del incidente compartido por Microsoft, un reinicio del agente o del sistema operativo solucionaba el problema, permitiendo que los logs almacenados localmente fueran enviados. No obstante, los datos más antiguos que no cabían en la caché se sobrescribieron y no pudieron ser recuperados.
Impacto en la ciberseguridad
Este fallo es especialmente preocupante, ya que los logs de seguridad son fundamentales para que las empresas detecten amenazas en sus redes, analicen patrones de comportamiento inusuales y generen alertas de seguridad. La interrupción de este servicio aumenta el riesgo de que actividades maliciosas no sean identificadas a tiempo, lo que podría derivar en incidentes de seguridad graves.
El incidente cobra mayor relevancia considerando que hace apenas un año Microsoft enfrentó críticas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y legisladores por no ofrecer log data suficiente para detectar brechas de seguridad de manera gratuita. En 2023, hackers chinos explotaron la falta de registros avanzados, que en ese momento solo estaban disponibles para los clientes que pagaban por el servicio Microsoft Purview Audit Premium.
Soluciones implementadas
Microsoft ha asegurado que el error ha sido corregido y que todos los clientes han sido notificados. Sin embargo, algunos expertos en ciberseguridad, como Kevin Beaumont, han expresado que conocen al menos dos empresas que no fueron informadas sobre la pérdida de sus logs.
Este incidente subraya la importancia crítica de los logs de seguridad en la detección y respuesta a ciberamenazas, así como la necesidad de garantizar que las empresas tengan acceso a estos datos sin restricciones de costo.
Conclusión
La pérdida de logs de seguridad durante casi un mes representa un riesgo significativo para las empresas que dependen de estos registros para mantener la seguridad de sus redes. Aunque Microsoft ha solucionado el problema, el incidente sirve como recordatorio de la importancia de contar con sistemas de logging robustos y confiables que permitan la detección temprana de amenazas cibernéticas.
