El pasado lunes 26 de agosto de 2024, miles de administradores de sistemas y responsables de TI se enfrentaban a una situación inesperada: una avalancha de falsos positivos en las alertas de detección de malware generadas por Microsoft 365. Este fallo en el sistema afectó principalmente a la clasificación de correos electrónicos, provocando que numerosos mensajes legítimos fueran incorrectamente etiquetados como amenazas y enviados a cuarentena, lo que causó un caos temporal en las bandejas de entrada de los administradores.
El origen del problema: un fallo en la detección de malware
El problema comenzó a manifestarse alrededor de las 9:00 AM y fue rápidamente detectado por administradores de todo el mundo, quienes empezaron a notar un incremento inusual en las alertas de malware en Microsoft 365. Muchos usuarios se volcaron a foros y redes sociales para expresar su frustración por la falta de información y la dificultad para gestionar el creciente volumen de correos electrónicos clasificados erróneamente como amenazas.
Microsoft respondió al incidente publicando un aviso en su plataforma de redes sociales, Xitter (anteriormente conocida como Twitter), en el que reconocía el fallo y explicaba que algunos correos electrónicos de los usuarios estaban siendo incorrectamente marcados como malware y enviados a cuarentena. La compañía informó que estaban investigando el problema bajo el código de incidente EX873252 y que se había implementado una mitigación para desbloquear los correos afectados.
We’ve confirmed this issue is resolved after implementing a mitigation within the service. Telemetry shows over 99% of impacted emails have been unblocked and automatically replayed. Future information is available in the admin center under EX873252.
— Microsoft 365 Status (@MSFT365Status) August 26, 2024
https://platform.twitter.com/widgets.js
Impacto en los administradores de sistemas
Para los administradores de TI, la situación resultó especialmente importante. La cantidad de correos electrónicos legítimos mal clasificados como malware sobrecargó sus bandejas de entrada, generando un mar de notificaciones que debían ser revisadas manualmente. Este proceso de verificación requería un cuidadoso análisis para evitar liberar correos que pudieran contener malware real, lo que aumentó significativamente la carga de trabajo de los administradores y ralentizó las operaciones diarias en muchas organizaciones.
Además, la falta de una comunicación oportuna y clara por parte de Microsoft no puso nada fácil la situación a los usuarios. Varios administradores señalaron que el aviso en X llegó antes de la notificación oficial a través del Servicio de Alertas de Microsoft 365, y que la información sobre el incidente ya circulaba en plataformas como Reddit antes de que Microsoft emitiera un comunicado formal.
Solución y mitigación del problema
Microsoft informó a última hora del lunes que había logrado resolver el problema en el 99% de los casos afectados. Según la compañía, la telemetría mostraba que más del 99% de los correos electrónicos impactados habían sido desbloqueados y automáticamente reenviados a los destinatarios correspondientes. Sin embargo, para muchos administradores, el daño ya estaba hecho, y la experiencia de tener que lidiar con la incertidumbre y el aumento de la carga de trabajo dejó una impresión duradera.
Un factor adicional que complicó la situación fue la falta de detalles específicos sobre la naturaleza exacta del problema y cómo había afectado a la detección de malware en Microsoft 365. Algunos usuarios señalaron que la raíz del fallo podría estar relacionada con el Microsoft Defender Threat Explorer y el comando PowerShell Get-QuarantineMessage, aunque Microsoft no confirmó oficialmente esta información.
En muchos casos, las empresas afectadas por el fallo tuvieron que destinar recursos adicionales para gestionar la situación, revisando manualmente cientos o incluso miles de correos electrónicos en busca de falsos positivos. Esta interrupción de las operaciones normales también generó preocupación sobre la capacidad de Microsoft para manejar futuros incidentes de seguridad de manera más rápida y eficaz.