AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Actualización de Windows 11 en marzo provoca fallos de inicio de sesión en Teams y OneDrive**

admin

### Introducción

La última actualización de Windows 11, liberada en marzo de 2024, ha generado una oleada de incidencias relacionadas con los procesos de autenticación en servicios clave del ecosistema Microsoft. Administradores de sistemas, analistas SOC y responsables de ciberseguridad han reportado fallos generalizados en el inicio de sesión mediante cuentas Microsoft, afectando aplicaciones críticas como Teams y OneDrive. Este artículo desgrana el contexto, detalles técnicos y consecuencias de esta disrupción, proporcionando un análisis detallado para profesionales del sector.

### Contexto del Incidente

El martes 12 de marzo de 2024, Microsoft liberó la actualización acumulativa KB5035853 para Windows 11 (versiones 22H2 y 23H2), como parte de su ciclo habitual de parches mensuales. Poco después, múltiples foros técnicos, incluidos TechNet y Reddit, así como canales de soporte oficial, comenzaron a registrar incidencias en la autenticación de cuentas Microsoft. Los problemas afectan especialmente a los intentos de iniciar sesión en aplicaciones integradas, entre las que destacan Microsoft Teams, OneDrive y Outlook, tanto en entornos corporativos como personales.

Microsoft reconoció oficialmente el fallo el 14 de marzo a través de su portal de salud, señalando que el problema afecta a los dispositivos tras la instalación de la mencionada actualización, independientemente de si están gestionados por políticas de empresa (Intune, GPO) o no.

### Detalles Técnicos

La raíz del problema se localiza en el proceso de autenticación basado en cuentas Microsoft (MSA). Técnicamente, tras la instalación de la KB5035853, se observa que la capa de autenticación OAuth 2.0 falla al intercambiar tokens de acceso, impidiendo la renovación o validación de credenciales en las aplicaciones afectadas. Este comportamiento es consistente tanto en autenticaciones interactivas como en renovaciones silenciosas (token refresh), lo que sugiere un problema en la integración de la API de identidad de Microsoft.

El vector de ataque, aunque en este caso no se trata de una explotación maliciosa, sí abre la puerta a posibles escenarios de denegación de servicio (DoS) por imposibilidad de acceso a recursos críticos. Los TTPs (Tactics, Techniques and Procedures) asociados, según el framework MITRE ATT&CK, se ubicarían en la fase de «Initial Access» y «Persistence», concretamente en técnicas como Valid Accounts (T1078) y Account Manipulation (T1098), aunque aquí el fallo es accidental y no consecuencia de una amenaza activa.

Por el momento, no se ha identificado un CVE específico asociado a esta incidencia, aunque se han reportado intentos de explotación secundaria por parte de actores de amenazas que intentan aprovechar la confusión para llevar a cabo campañas de phishing y suplantación de identidad.

Indicadores de Compromiso (IoC) destacados:
– Mensajes de error de inicio de sesión en Teams y OneDrive: «We couldn’t sign you in. Try again.»
– Fallos en la obtención de tokens OAuth (error AADSTS50076, AADSTS50079).
– Logs de eventos: ID de evento 1202 y 7000 en el visor de sucesos de Windows.

### Impacto y Riesgos

El impacto principal es la imposibilidad de acceso a servicios esenciales para la colaboración y el almacenamiento cloud, lo que puede suponer una parada operativa en empresas fuertemente integradas con el ecosistema Microsoft 365. Según estimaciones basadas en telemetría de Microsoft, hasta un 15% de dispositivos empresariales gestionados podrían estar afectados, especialmente en entornos donde la autenticación multifactor (MFA) es obligatoria.

Desde el punto de vista de riesgos, la desconexión de OneDrive puede provocar pérdida temporal de sincronización de archivos, mientras que la inaccesibilidad a Teams afecta a la comunicación interna y externa. Además, la situación puede incrementar la superficie de ataque: empleados que buscan soluciones alternativas pueden caer en campañas de phishing, y la desactivación de MFA para mitigar el problema podría abrir puertas a accesos no autorizados.

El coste económico de una parada de productividad puede ser significativo, con cifras que, según la consultora Gartner, pueden alcanzar hasta 400.000 euros por hora en grandes organizaciones.

### Medidas de Mitigación y Recomendaciones

Microsoft ha publicado una solución temporal: desinstalar la actualización KB5035853 restaura el funcionamiento normal de los procesos de autenticación. Alternativamente, se recomienda realizar un «roll back» mediante políticas de actualización gestionadas (WSUS, Intune) en entornos empresariales. Es fundamental monitorizar los logs de autenticación y reforzar la alerta ante intentos de acceso no legítimos, dada la posible explotación secundaria de la situación.

Se recomienda:
– No desactivar la autenticación multifactor salvo en casos estrictamente controlados.
– Extremar la comunicación interna para prevenir respuestas impulsivas a correos de “soporte técnico”.
– Vigilar la publicación de un parche oficial o workaround definitivo por parte de Microsoft.
– Documentar los procedimientos de restauración para futuras incidencias similares.

### Opinión de Expertos

Especialistas en ciberseguridad, como Javier Candau (CCN-CERT), subrayan la importancia de mantener una política de despliegue controlado de actualizaciones. “Los ciclos de actualización acelerada pueden exponer gravemente la continuidad operativa si no se hacen pruebas en entornos pre-productivos”, indica. Desde la comunidad Red Team, se advierte que situaciones como esta pueden ser aprovechadas por actores de amenazas para campañas de ingeniería social dirigidas a administradores y usuarios con privilegios.

### Implicaciones para Empresas y Usuarios

La incidencia pone en evidencia la dependencia crítica de los servicios cloud y la necesidad de estrategias de resiliencia digital. Para las empresas sujetas a la normativa NIS2 o el RGPD, el fallo podría traducirse en incumplimientos si afecta a la disponibilidad de datos personales o servicios esenciales. La gestión proactiva de incidentes, junto con la formación continua del usuario final, se consolida como pilar fundamental de la ciberseguridad moderna.

### Conclusiones

El incidente ocasionado por la actualización de marzo de Windows 11 es un recordatorio contundente de la importancia de los controles de calidad y los planes de contingencia en la gestión de software crítico. Más allá de la restauración técnica, la gestión de la comunicación y la mitigación de riesgos colaterales serán clave para minimizar el impacto y fortalecer la postura de seguridad en el futuro inmediato.

(Fuente: www.bleepingcomputer.com)