Fallo de Microsoft pone en riesgo la seguridad de al menos 8 dependencias del gobierno mexicano

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

En días recientes, Microsoft reconoció que, debido a un error, no logró recopilar registros de seguridad esenciales durante casi un mes, dejando a varios de sus clientes expuestos a posibles ciberataques.

El incidente, ocurrido entre el 2 de septiembre y el 3 de octubre de 2024, afectó la recolección de datos cruciales para monitorear actividades sospechosas, como inicios de sesión no autorizados y comportamientos anómalos en la red. Los servicios impactados incluyeron Microsoft Entra, Azure Logic Apps, Microsoft Sentinel y Azure Monitor.

El incidente impidió la carga continua de registros de seguridad, generando datos incompletos que muchas organizaciones utilizan para identificar posibles amenazas.

Microsoft introdujo el error de manera accidental mientras intentaba resolver un problema independiente en su servicio de recopilación de registros. Durante el proceso de corrección, se desencadenó un fallo no relacionado en el agente de monitoreo interno, lo que impidió que un grupo específico de agentes cargara datos de eventos de registro.

Microsoft informó que un error en su sistema de recopilación de registros provocó una “condición de bloqueo”, impidiendo la carga de registros en sus servidores. Aunque el agente de telemetría seguía almacenando datos localmente, la memoria caché se llenaba, sobrescribiendo registros antiguos y causando pérdidas permanentes de información. Este fallo afectó a varios servicios clave, como Microsoft Sentinel, Azure Monitor, Microsoft Entra y Azure Logic Apps, lo que comprometió la capacidad de los clientes para monitorear eventos de seguridad y detectar amenazas.

Es relevante destacar que la falta de registros críticos indica una ligera posibilidad de acceso no autorizado, y existe el riesgo de que se hayan generado daños que podrían descubrirse en el transcurso de los siguientes días.

A pesar de que Microsoft ha implementado medidas para mejorar la transparencia de los registros y facilitar el acceso a sus herramientas avanzadas, este último error resalta la importancia crucial que tienen los registros en la ciberseguridad. El incidente recuerda la relevancia de los datos de registro para detectar accesos no autorizados y pone de manifiesto los desafíos que enfrentan las organizaciones cuando esta información se ve comprometida, como es el caso de las dependencias del gobierno mexicano que podrían verse afectadas por este incidente, tales como:

- Portal de Finanzas Públicas del Gobierno de Sonora
- Secretaría de Hacienda del Gobierno de Sonora
- CorreosClic, plataforma de comercio electrónico del Servicio Postal Mexicano
- Instituto Superior de Auditoría y Fiscalización del Gobierno de Sonora
- Agencia Nacional de Aduanas de México
- Municipio de San Juan del Río, Querétaro
- Plataforma Integral de Información de la Secretaría de Educación y Cultura del Gobierno del Estado de Colima
- Secretaría de Educación del Gobierno del Estado de Colima

Por lo tanto, se recomienda a dichas dependencias revisar sus sistemas y aplicar los controles de seguridad adecuados para prevenir daños adicionales.

Para más información, visite: https://www.silikn.com/