Microsoft se encuentra trabajando intensamente para mitigar un incidente crítico que ha limitado el acceso a múltiples funcionalidades dentro del portal Microsoft Defender XDR, afectando a clientes de todo el mundo durante más de 10 horas consecutivas. La compañía confirmó que el problema está relacionado con un pico anómalo de tráfico que provocó un alto consumo de CPU en componentes clave que soportan las capacidades del portal, generando bloqueos, lentitud y fallos en varias herramientas esenciales de seguridad.
La alerta oficial, registrada bajo el identificador DZ1191468 en el centro administrativo de Microsoft y revelada por diversos medios especializados, detalla que la interrupción impacta específicamente a usuarios que intentan acceder, consultar o ejecutar funciones dentro del portal Defender XDR, limitando así tareas fundamentales como la gestión de alertas, la supervisión de incidentes y la operación normal de flujos de seguridad.
Un incidente crítico que afecta la disponibilidad del portal Defender XDR
Microsoft confirmó que detectó la caída alrededor de las 06:10 UTC, momento en el cual catalogó el evento como un incidente activo, una clasificación reservada para problemas de servicio de alta gravedad que suelen implicar interrupciones visibles para el cliente y potencial impacto operativo.
Este tipo de incidentes en plataformas de seguridad unificada como Defender XDR resultan especialmente sensibles, ya que las empresas dependen del portal para:
-
Consultar y gestionar alertas en tiempo real
-
Realizar análisis avanzados de amenazas
-
Supervisar dispositivos y endpoints
-
Ejecutar automatizaciones de seguridad
-
Revisar telemetría crítica
La interrupción del acceso a estas herramientas puede afectar los tiempos de respuesta ante amenazas, la visibilidad del entorno y la continuidad operativa en equipos SOC y centros de monitoreo de seguridad.

Causa raíz: un pico masivo de tráfico y consumo extremo de CPU
Según la actualización publicada por Microsoft, la causa principal del problema está asociada a un pico de tráfico no previsto, que provocó un alto uso de CPU en varios componentes internos responsable de habilitar funciones del portal.
Aunque Microsoft no detalló si se trató de un error interno, un flujo inesperado de solicitudes legítimas o un patrón de tráfico anómalo, el resultado fue claro:
los componentes sobrecargados dejaron de responder, bloqueando el acceso a los servicios.
Este tipo de comportamientos pueden estar asociados a:
-
Sobrecarga en motores de procesamiento de telemetría
-
Cuellos de botella en servicios backend
-
Problemas de escalabilidad temporal
-
Carga acumulada por análisis en tiempo real
-
Fallos en la optimización de recursos en picos de demanda
Medidas de mitigación aplicadas por Microsoft
Tras reconocer el incidente, Microsoft declaró haber implementado acciones de mitigación inmediatas para restaurar el rendimiento del portal y aliviar la saturación de CPU. De acuerdo con una actualización emitida alrededor de las 08:00 UTC, diversos clientes afectados ya mostraban recuperación parcial de la disponibilidad, según la telemetría interna de la compañía.
Las medidas de mitigación incluyeron:
-
Optimización temporal de procesos internos
-
Ajustes en la asignación de recursos
-
Incremento del rendimiento de procesamiento
-
Redistribución de cargas entre componentes críticos
-
Supervisión activa del uso de CPU en todos los nodos implicados
A las pocas horas, Microsoft señaló que los indicadores de monitorización ya mostraban niveles de utilización del sistema dentro de los límites aceptables para la mayoría de usuarios.
Persisten problemas para un grupo reducido de clientes
Aunque la situación parece haber mejorado de forma significativa, Microsoft reconoce que un pequeño número de organizaciones continúa experimentando problemas al intentar acceder al portal o utilizar funcionalidades específicas. Entre las capacidades afectadas mencionadas por la compañía se encuentran:
-
Alertas avanzadas de caza de amenazas (Advanced Hunting), que podrían no aparecer o mostrar datos incompletos
-
Dispositivos ausentes en la consola, imposibilitando la supervisión de endpoints
-
Retrasos o fallos en la carga de paneles y telemetría
Para estas organizaciones, Microsoft mantiene una comunicación directa y solicita archivos HTTP Archive (HAR) y diagnósticos del lado del cliente con el fin de profundizar en el análisis del comportamiento anómalo.
Análisis en curso: recopilación de datos y evaluación del impacto global
La investigación continúa activa. Microsoft se encuentra recopilando trazos HAR enviados por los clientes afectados, lo que permite reconstruir:
-
patrones de tráfico en tiempo real
-
fallos específicos en el pipeline de servicios
-
eventos que desencadenan el bloqueo del portal
-
latencias y errores en endpoints internos de la plataforma
Este enfoque está orientado a identificar si existen factores externos adicionales o si ciertos entornos presentan particularidades que prolongan el impacto del incidente.
Recuperación progresiva, pero el monitoreo continúa
En la última actualización registrada, Microsoft informó que varias organizaciones han confirmado que la incidencia está completamente resuelta en sus entornos, mientras que los sistemas de monitoreo siguen verificando que el uso de CPU permanece estable.
Aun así, la compañía mantiene activos los procesos de análisis para garantizar una resolución completa y evitar futuras recurrencias. La naturaleza crítica de Defender XDR, una plataforma centralizada de detección y respuesta extendida, hace indispensable que la disponibilidad del portal se mantenga en niveles óptimos.
Un incidente que evidencia la importancia de la resiliencia en plataformas de seguridad
El incidente que afectó a Microsoft Defender XDR demuestra cómo incluso los proveedores más consolidados pueden enfrentar interrupciones inesperadas debido a picos de demanda, fallos de escalabilidad o comportamientos anómalos en sus sistemas internos. Aunque la mitigación ha avanzado rápidamente, la interrupción de más de 10 horas subraya la necesidad de contar con estrategias de continuidad operativa y visibilidad alternativa en ambientes críticos de ciberseguridad.
Fuente: Bleeping Computer
