Bloqueos masivos en Microsoft Entra vinculados al Despliegue de nueva Función de Seguridad MACE

Noticias Hacking y Seguridad Informática / Datos Robados / 22 de octubre de 2025 / Por

Administradores de sistemas en todo el mundo están reportando bloqueos masivos de cuentas en Microsoft Entra ID (anteriormente Azure Active Directory), desencadenados por falsos positivos de una nueva función de seguridad llamada MACE Credential Revocation.

¿Qué está pasando? ⚠️

Desde la noche del viernes, numerosas organizaciones comenzaron a recibir alertas automáticas de que credenciales de sus usuarios habían sido encontradas como filtradas en la dark web u otras fuentes.

Como resultado, Microsoft Entra bloqueó automáticamente las cuentas afectadas.

Sin embargo, los administradores informan que:

  • Las cuentas tenían contraseñas únicas no reutilizadas en otros servicios.
  • Estaban protegidas con MFA.
  • No mostraban signos de actividad sospechosa.
  • Servicios como Have I Been Pwned no detectaron filtraciones asociadas.

Un administrador escribió en Reddit:

“Aproximadamente un tercio de nuestras cuentas fueron bloqueadas hace una hora. Somos un MSP, así que esto también está afectando a nuestros clientes.”

Un proveedor de servicios de detección y respuesta gestionada (MDR) afirmó haber recibido más de 20.000 alertas de Microsoft en una sola noche.

¿Qué es MACE?

MACE (Microsoft Entra Credential Revocation) es una nueva aplicación empresarial que detecta credenciales filtradas y bloquea automáticamente las cuentas afectadas como medida preventiva.

Administradores señalan que esta aplicación fue agregada automáticamente a sus entornos justo antes de que comenzaran los bloqueos.

En una conversación con soporte técnico de Microsoft, un ingeniero confirmó que se trataba de un problema con la implementación de MACE:

“Es un bloqueo de inquilino debido a este despliegue ninja de MACE. No hay señales de compromiso. Fue el código de error 53003 por una política de acceso condicional.”

¿Qué hacer si tu organización fue afectada? ️

  • No asumir compromiso sin evidencia: Estos bloqueos parecen ser falsos positivos relacionados con la implementación de MACE.
  • Revisar los registros de actividad para asegurar que no haya señales reales de intrusión.
  • Contactar al soporte de Microsoft para reclasificar el incidente de “compromiso” a “bloqueo preventivo”.
  • Monitorear el estado del tenant y mantener MFA habilitado en todas las cuentas.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA