Microsoft Entra ID, anteriormente conocido como Azure Active Directory, ha estado en el centro de una preocupante oleada de bloqueos de cuentas a gran escala. Administradores de sistemas en múltiples organizaciones han informado sobre la repentina desactivación de cuentas de usuario, aparentemente como resultado de falsos positivos generados por la nueva funcionalidad de detección de «credenciales filtradas», impulsada por la herramienta MACE (Microsoft Authenticator Credential Evaluation).
Los incidentes comenzaron a registrarse en la noche del lanzamiento de MACE, una aplicación empresarial integrada en Microsoft Entra que tiene como objetivo detectar y revocar automáticamente credenciales que han sido filtradas en la web oscura u otros repositorios maliciosos. Si bien la iniciativa busca fortalecer la seguridad de acceso en entornos corporativos, la implementación inicial ha tenido consecuencias inesperadas.
¿Qué está sucediendo con Microsoft Entra ID y MACE?
Administradores de Windows han reportado en foros como Reddit una avalancha de alertas indicando que varias cuentas de usuario fueron identificadas con posibles credenciales comprometidas. Como medida de seguridad, estas cuentas fueron automáticamente bloqueadas por la política de acceso condicional de Microsoft Entra.
Lo que ha llamado la atención es que muchas de estas cuentas cuentan con contraseñas únicas —no utilizadas en ningún otro servicio— y están protegidas con autenticación multifactor (MFA). Además, no se encontraron rastros de actividad sospechosa en los registros de inicio de sesión, lo que ha llevado a muchos profesionales de TI a sospechar que se trata de una detección errónea.
Uno de los reportes más representativos provino de un administrador de un proveedor de servicios administrados (MSP), quien señaló que aproximadamente un tercio de sus cuentas habían sido bloqueadas de forma repentina. Otros proveedores afirmaron haber recibido más de 20,000 alertas similares desde Microsoft durante la noche, lo que sugiere que el problema es global y no aislado.
¿Qué es MACE y cómo afecta a los administradores?
MACE, o Revocación de Credenciales de Microsoft Entra, es una aplicación relativamente nueva diseñada para identificar automáticamente credenciales filtradas y mitigar posibles compromisos de seguridad bloqueando cuentas afectadas. En teoría, esta función debería mejorar la protección de datos corporativos y evitar accesos no autorizados.
Sin embargo, en su despliegue inicial, parece haber generado una gran cantidad de falsos positivos. Según explicaciones no oficiales compartidas por algunos administradores que contactaron con ingenieros de soporte de Microsoft, el error fue causado por un mal manejo de políticas en el lanzamiento de MACE. La herramienta habría activado bloqueos masivos sin verificar adecuadamente si las credenciales eran realmente comprometidas.
El código de error vinculado con estos bloqueos, el 53003, está asociado con políticas de acceso condicional aplicadas por el sistema para prevenir inicios de sesión desde cuentas en riesgo.
Impacto operativo de los bloqueos y acciones recomendadas
El bloqueo inesperado de cuentas ha tenido un fuerte impacto en las operaciones de diversas organizaciones. Usuarios legítimos quedaron sin acceso a sus herramientas de trabajo, afectando la productividad y generando una carga adicional para los equipos de soporte técnico.
Hasta el momento, Microsoft no ha emitido una declaración oficial sobre el incidente, aunque varios administradores confirman que la aplicación MACE fue añadida a sus inquilinos justo antes de que comenzaran los problemas.
Dado el contexto, los expertos recomiendan a los administradores de TI realizar las siguientes acciones:
-
Verificar los registros de inicio de sesión y actividad sospechosa en las cuentas afectadas.
-
Confirmar la implementación de MACE en su entorno y revisar las políticas de acceso condicional asociadas.
-
Restablecer contraseñas solo si se confirma un compromiso real, ya que los falsos positivos podrían desencadenar acciones innecesarias.
-
Deshabilitar temporalmente la aplicación MACE si continúa generando bloqueos sin justificación.
-
Contactar con el soporte de Microsoft para obtener detalles específicos del comportamiento de la herramienta en cada entorno.
¿Está listo Microsoft Entra para una automatización completa?
La intención detrás de herramientas como MACE es claramente positiva: anticiparse a filtraciones de datos y actuar antes de que se produzcan intrusiones reales. Sin embargo, la automatización de decisiones críticas como el bloqueo de cuentas requiere un nivel de precisión altísimo. Los recientes errores han demostrado que una implementación apresurada puede causar más daño que beneficio.
Es probable que en los próximos días Microsoft publique un comunicado oficial con detalles técnicos y recomendaciones, además de ajustes en la configuración de MACE para evitar futuros bloqueos erróneos.
Mientras tanto, los administradores deben mantenerse atentos a nuevas alertas, revisar sus configuraciones de políticas y, sobre todo, mantener una comunicación abierta con sus usuarios para mitigar el impacto de estos errores.
Fuente: Bleeping Computer
