Microsoft ha confirmado que la causa de la interrupción del servicio del 30 de julio fue un ataque distribuido de denegación de servicio. Sin embargo, su aviso añadió que el problema se vio agravado por un «error en la implementación de sus defensas» durante un intento de mitigación. Los servicios en la nube de Azure se vieron afectados entre las 11:45 UTC y las 19:43 UTC aproximadamente tras verse inundados por el tráfico de Internet. Los profesionales de seguridad de Redmond afirman que los componentes Azure Front Door y Azure Content Delivery Network «funcionaban por debajo de los umbrales aceptables, lo que provocaba errores intermitentes, tiempos de espera y picos de latencia». Microsoft tiene mecanismos de protección DDoS que se activan automáticamente. Sin embargo, un error en su implementación «amplificó el impacto del ataque en lugar de mitigarlo». El equipo de seguridad realizó cambios de configuración de red y conmutaciones por error a rutas de red alternativas para proporcionar alivio a los sistemas principales. La mayor parte del impacto se mitigó en dos horas y media, pero era necesario realizar más trabajo a las 18:00 UTC para restablecer la disponibilidad para todos los usuarios. El incidente fue declarado finalizado a las 20:48 UTC. El responsable del DDoS aún no ha sido identificado. Sin embargo, el grupo hacktivista «SN_blackmeta» ha reivindicado la responsabilidad. Microsoft dice que publicará una revisión preliminar posterior al incidente antes de finales de semana y una revisión más profunda en 14 días. TechRepublic se ha puesto en contacto con Microsoft para solicitar comentarios. VER: Los piratas informáticos de sombrero blanco descubren la fuga de 38 TB de datos internos de Microsoft a través de Azure Storage La interrupción de Azure tuvo un alcance global, afectando a un subconjunto de clientes que intentaban conectarse a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy, el propio portal de Azure y un subconjunto de los servicios Microsoft 365 y Microsoft Purview. Muchas organizaciones diferentes hicieron declaraciones el martes, notificando a los usuarios que sus servicios se vieron interrumpidos como resultado del ataque DDoS de Azure. Entre ellas se incluyen el fabricante de Minecraft Mojang, CodeSpaces de GitHub, DocuSign, empresas de agua, tribunales y clubes de fútbol. Microsoft se disculpó más tarde por las molestias. Stephen Robinson, analista senior de inteligencia de amenazas en la empresa de seguridad WithSecure, dijo a TechRepublic en una declaración enviada por correo electrónico: “Los servicios en línea modernos se basan en capas apiladas de dependencias, y en una proporción significativa de pilas de servicios encontrará servicios de Microsoft. Uno de los servicios de Microsoft afectados, Entra, se utiliza para permitir que las personas inicien sesión en servicios y sitios web, y sin él, los usuarios no pueden iniciar sesión. “Como tal, si bien esta interrupción solo duró poco tiempo y afectó a un subconjunto de servicios, el impacto aún fue perceptible para muchas personas”. ¿Qué es un ataque de denegación de servicio? Un ataque de denegación de servicio (DoS) es una estrategia de ataque en la que un actor malintencionado intenta evitar que otros accedan a un servidor web, una aplicación web o un servicio en la nube inundándolo con solicitudes de servicio. Si bien un ataque DoS es esencialmente de un solo origen, un ataque de denegación de servicio distribuido (DDoS) utiliza una gran cantidad de máquinas en diferentes redes para interrumpir un proveedor de servicios en particular; esto es más difícil de mitigar ya que el ataque se libra desde múltiples fuentes. Cobertura de seguridad de lectura obligada Los ataques DDoS están en aumento Los ataques DDoS son cada vez más frecuentes. Cloudflare registró un aumento interanual del 20% en el segundo trimestre de 2024, después de un aumento del 50% en el primer trimestre. Hay indicios de que este aumento está relacionado con la geopolítica, con el servicio anti-DDoS Stormwall señalando una correlación con los períodos electorales y un aumento de los ataques a Israel desde la escalada del conflicto en Gaza. VER: Nuevo ataque DDoS rompe récord: HTTP/2 Rapid Reset Zero-Day reportado por Google, AWS y Cloudflare Los ataques DDoS significativos que afectan a los servicios de Microsoft son raros pero no inauditos. En junio de 2023, una serie de ataques dirigidos a Azure y otras plataformas en línea se atribuyeron a un grupo hacktivista llamado Anonymous Sudan, interrumpiendo servicios como Outlook y OneDrive. Microsoft también informó de un aumento de los ataques DDoS durante la temporada navideña de ese año, ya que los atacantes intentaron aprovechar la menor cantidad de personal. Sin embargo, este verano Microsoft ha sufrido interrupciones no relacionadas con ataques DDoS. El 19 de julio, decenas de miles de usuarios en Estados Unidos no pudieron acceder a los servicios de Microsoft 365 después de un cambio en la configuración de Azure. Esto ocurrió apenas horas después de que un error en una actualización del sensor Falcon de CrowdStrike afectara a 8,5 millones de dispositivos Windows en todo el mundo.