Durante el fin de semana, múltiples organizaciones enfrentaron bloqueos inesperados en sus cuentas de Microsoft Entra, tras recibir alertas que indicaban posibles filtraciones de credenciales. Pero la causa no fue un ataque, sino un error interno de Microsoft.
¿Qué pasó realmente?
Según un aviso de la propia Microsoft, el problema se originó cuando la compañía registró por accidente tokens de actualización (refresh tokens) de usuarios, en lugar de solo sus metadatos, como dicta su política habitual de logging.
El incidente comenzó el viernes 18 de abril de 2025 y como medida de seguridad, Microsoft procedió a invalidar esos tokens mal registrados.
Lo que no anticiparon fue que esta acción activaría las alertas de protección en Entra ID, lo que derivó en el bloqueo automático de muchas cuentas.
“No hay indicios de acceso no autorizado a estos tokens”, aseguró Microsoft en un comunicado, agregando que si se encontrara evidencia de uso indebido, activarán sus protocolos de respuesta de seguridad.
¿Qué deben hacer los administradores?
Microsoft ha indicado que los administradores pueden restaurar el acceso a las cuentas bloqueadas usando la función “Confirm User Safe” dentro de Microsoft Entra. Además, se comprometieron a publicar un Post Incident Review (PIR) con todos los detalles una vez finalizada la investigación.
Mientras tanto, el incidente sirvió de recordatorio de cómo incluso errores internos pueden causar una ola de bloqueos masivos y falsas alarmas de seguridad en entornos empresariales críticos.