{"id":171285,"date":"2026-01-20T07:42:15","date_gmt":"2026-01-20T15:42:15","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=171285"},"modified":"2026-02-03T06:05:37","modified_gmt":"2026-02-03T14:05:37","slug":"dos-attacks-and-azure-private-endpoint","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/","title":{"rendered":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?"},"content":{"rendered":"<h2><a id=\"post-171285-_heading=h.2yzpbbse9a6n\"><\/a>Resumen ejecutivo<\/h2>\n<p>Descubrimos un aspecto de la arquitectura del <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/private-endpoint-overview\" target=\"_blank\" rel=\"noopener\">endpoint privado<\/a> de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS). En este art\u00edculo, analizamos c\u00f3mo tanto los actos intencionados como los inadvertidos podr\u00edan dar lugar a un acceso limitado a los recursos de Azure a trav\u00e9s del mecanismo Azure Private Link. Descubrimos este problema mientras investig\u00e1bamos un comportamiento irregular en entornos de prueba de Azure.<\/p>\n<p>El riesgo se presenta en tres escenarios:<\/p>\n<ul>\n<li>Accidental, interno: Un administrador de red implementa endpoints privados para mejorar la seguridad de la red dentro de un entorno Azure.<\/li>\n<li>Accidental, proveedor: Un proveedor externo implementa endpoints privados como parte de su soluci\u00f3n, por ejemplo para permitir el escaneo de recursos por parte de un producto de seguridad.<\/li>\n<li>Malicioso, atacante: Un actor de amenazas que obtuvo acceso a un entorno Azure implementa intencionalmente endpoints privados como parte de un ataque de DoS.<\/li>\n<\/ul>\n<p>Nuestra investigaci\u00f3n indica que m\u00e1s del 5\u00a0% de las cuentas de almacenamiento de Azure operan actualmente con configuraciones que est\u00e1n sujetas a este problema de DoS. En la mayor\u00eda de los entornos, al menos un recurso de cada uno de los siguientes servicios es susceptible:<\/p>\n<ul>\n<li>Key Vault<\/li>\n<li>CosmosDB<\/li>\n<li>Registro de contenedores de Azure (ACR)<\/li>\n<li>Aplicaciones de funciones<\/li>\n<li>Cuentas de OpenAI<\/li>\n<\/ul>\n<p>Este problema puede afectar a las organizaciones de m\u00faltiples maneras. Por ejemplo, denegar el servicio a cuentas de almacenamiento podr\u00eda provocar que <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/azure-functions\/functions-overview\" target=\"_blank\" rel=\"noopener\">Azure Functions dentro de FunctionApps<\/a> y las actualizaciones posteriores de estas aplicaciones fallen. En otro caso posible, el riesgo podr\u00eda conducir a DoS a Key Vaults, lo que resultar\u00eda en un efecto domin\u00f3 en procesos que dependen de secretos dentro de la b\u00f3veda.<\/p>\n<p>Microsoft ofrece una <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/dns\/private-dns-fallback\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n alternativa a internet<\/a> que resuelve parcialmente este y otros <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-private-endpoints?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.json&amp;bc=%2Fazure%2Fstorage%2Fblobs%2Fbreadcrumb%2Ftoc.json#storage-access-constraints-for-clients-in-virtual-networks-with-private-endpoints\" target=\"_blank\" rel=\"noopener\">problemas conocidos<\/a> asociados con endpoints privados.<\/p>\n<p>Analizamos aqu\u00ed estos problemas, proporcionamos soluciones potenciales y sugerimos formas en que los defensores pueden escanear entornos en busca de recursos susceptibles a ataques de DoS.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas en este art\u00edculo gracias a los siguientes productos:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a><\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de la seguridad en la nube de Unit 42<\/a> es un servicio de evaluaci\u00f3n estrat\u00e9gica que revisa la infraestructura en la nube de su organizaci\u00f3n para identificar errores de configuraci\u00f3n y lagunas de seguridad, lo que permite a los equipos reforzar su postura frente a las amenazas basadas en la nube.<\/p>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 95.7386%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 299.01%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/microsoft-azure-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Microsoft Azure<\/b><\/a><b>, <\/b><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/cloud-cybersecurity-research-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Cloud Research<\/b><\/a><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-171285-_heading=h.4dyrp71f09j0\"><\/a>Componentes, conceptos y flujos clave de Azure Private Link<\/h2>\n<p>Como parte de la oferta de redes de Azure, Microsoft cre\u00f3 <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/private-link-overview\" target=\"_blank\" rel=\"noopener\">Azure Private Link<\/a>. Este mecanismo ofrece una forma privada y segura de <span style=\"font-weight: 400;\">acceder<\/span> a los recursos de Azure compatibles y a los servicios personalizados alojados en Azure mediante la red troncal de Azure.<\/p>\n<h3><a id=\"post-171285-_heading=h.gb6c9umw0cpt\"><\/a>Definiciones:<\/h3>\n<p>Para entender la soluci\u00f3n y el proceso de conexi\u00f3n segura de los recursos que la utilizan, definamos primero los componentes y los conceptos clave.<\/p>\n<ul>\n<li><strong>Servicio:<\/strong> Destino al que se establece la conexi\u00f3n.<\/li>\n<li><strong>Private Link<\/strong>: Implementaci\u00f3n de Azure que permite y gestiona las conexiones.<\/li>\n<li><strong>Endpoint privado<\/strong>: Interfaz de red dentro de la red virtual de un cliente que permite la conectividad con el servicio.<\/li>\n<li><strong>Zona de DNS privada<\/strong>: Servicio predeterminado del sistema de nombres de dominio (DNS) que se utiliza con los endpoints privados.<\/li>\n<li><strong>Enlace de red virtual<\/strong>: Enlace creado por defecto entre una zona de DNS privada y una red virtual.<\/li>\n<li><strong>Registro de DNS A<\/strong>: Registro de DNS que asigna un dominio o nombre de host a una direcci\u00f3n IP.<\/li>\n<li><strong>ACL de red<\/strong>: Las listas de control de acceso (ACL) a la red definen reglas que permiten o restringen el tr\u00e1fico a un servicio, independientes de la soluci\u00f3n Private Link.<\/li>\n<\/ul>\n<p>Los recursos de Azure exponen endpoints p\u00fablicos de forma predeterminada. Estos endpoints se resuelven a trav\u00e9s de la infraestructura de DNS est\u00e1ndar, ya sea el DNS p\u00fablico de Azure o los resolvedores de DNS gestionados por el cliente. Cuando un cliente consulta un nombre de servicio, como <span style=\"font-family: 'courier new', courier, monospace;\">mystorageaccount.blob.core.windows[.]net<\/span>, el resolvedor de DNS devuelve una direcci\u00f3n IP p\u00fablica propiedad de Microsoft. La direcci\u00f3n IP permite la conectividad a trav\u00e9s de la internet p\u00fablica o de los endpoints del servicio de Azure, seg\u00fan los controles de acceso a la red que se apliquen.<\/p>\n<p>Cuando se introduce Azure Private Link, el comportamiento de la resoluci\u00f3n de DNS cambia. Una zona de DNS privada \u2014por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">privatelink.blob.core.windows[.]net<\/span>\u2014 puede estar vinculada a una o m\u00e1s redes virtuales. Si una red virtual tiene un enlace a una zona de DNS privada para un tipo de servicio determinado, la l\u00f3gica de resoluci\u00f3n de DNS de Azure da prioridad a esa zona cuando resuelve nombres de servicio coincidentes. Si existe un registro coincidente, el nombre se resuelve a la direcci\u00f3n IP privada del endpoint privado, en lugar del endpoint p\u00fablico.<\/p>\n<p>Las organizaciones suelen implementar una de las siguientes arquitecturas:<\/p>\n<ul>\n<li><strong>Arquitectura de uso p\u00fablico. <\/strong>Se accede a los recursos utilizando sus endpoints p\u00fablicos y la resoluci\u00f3n de DNS est\u00e1ndar. Las ACL de red, los firewalls o los endpoints de servicio restringen el acceso.<\/li>\n<li><strong>Arquitectura privada. <\/strong>Todo acceso al recurso se produce a trav\u00e9s de endpoints privados. El acceso a la red p\u00fablica est\u00e1 deshabilitado, y la resoluci\u00f3n de DNS se controla totalmente a trav\u00e9s de zonas de DNS privadas.<\/li>\n<li><strong>Arquitectura h\u00edbrida (p\u00fablica y privada).<\/strong> Algunas redes virtuales o cargas de trabajo acceden al recurso a trav\u00e9s de endpoints privados, mientras que otras siguen utilizando el endpoint p\u00fablico. Este modelo se utiliza con frecuencia durante las migraciones, los lanzamientos por fases, las integraciones de terceros o los entornos de servicios compartidos.<\/li>\n<\/ul>\n<p>Utilizamos el ejemplo de las cuentas de almacenamiento para demostrar c\u00f3mo se utilizan los endpoints privados en la red de Azure. Sin embargo, los mismos conceptos se aplican a cualquier servicio compatible con Private Link. De forma predeterminada, cuando un administrador de red o un usuario con los permisos adecuados de control de acceso basado en roles (RBAC) de Azure crea un endpoint privado vinculado a un recurso, se crea una zona de DNS privada con un enlace de red virtual a la misma red virtual que el endpoint privado.<\/p>\n<p>El nombre de la zona de DNS tiene una estructura predeterminada que se basa en el <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/private-endpoint-dns\" target=\"_blank\" rel=\"noopener\">servicio de destino del endpoint privado<\/a> (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">privatelink.blob.core.windows[.]net<\/span> para almacenamiento de blobs). Adem\u00e1s, se crea un registro\u00a0A en la zona de DNS, vinculando el nombre del recurso de destino y la direcci\u00f3n IP del endpoint privado.<\/p>\n<p>Hay dos maneras de conectarse entre una m\u00e1quina virtual (VM) y una cuenta de almacenamiento con una ACL de red:<\/p>\n<ul>\n<li>Sin endpoint privado (utilizando endpoints p\u00fablicos o de servicio)<\/li>\n<li>Con un endpoint privado<\/li>\n<\/ul>\n<h3><a id=\"post-171285-_heading=h.mo2nahy7r1mt\"><\/a>Flujos de conexi\u00f3n<\/h3>\n<p>En la figura\u00a01, se muestra c\u00f3mo se establece una conexi\u00f3n con un recurso que no utiliza la soluci\u00f3n Private Link.<\/p>\n<figure id=\"attachment_170708\" aria-describedby=\"caption-attachment-170708\" style=\"width: 761px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-170708 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/2641_Azure-Private-Endpoints-Figures-3.png\" alt=\"Diagrama que muestra la arquitectura de la red con cuatro componentes principales: VNET1 que contiene a VM1, conectada a un resolvedor de DNS y a una cuenta de almacenamiento con una red de ACL que indica dos reglas: 1. Habilitar VNET1, 2. Denegar*. Las conexiones est\u00e1n numeradas para indicar el flujo de interacci\u00f3n.\" width=\"761\" height=\"416\" \/><figcaption id=\"caption-attachment-170708\" class=\"wp-caption-text\">Figura 1. Flujo de conexi\u00f3n sin la soluci\u00f3n Private Link.<\/figcaption><\/figure>\n<p>El flujo, en este caso, es el siguiente:<\/p>\n<ol>\n<li>Al intentar acceder a la cuenta de almacenamiento, la m\u00e1quina virtual intenta resolver el nombre de la cuenta en una direcci\u00f3n IP. Esto suele ocurrir a trav\u00e9s de un resolvedor de DNS externo, y el tr\u00e1fico atraviesa la internet p\u00fablica.<\/li>\n<li>Si el resolvedor tiene un registro para la cuenta de almacenamiento, devuelve la direcci\u00f3n IP correspondiente.<\/li>\n<li>Una vez obtenida la direcci\u00f3n, la m\u00e1quina virtual intenta conectarse a la cuenta de almacenamiento.<\/li>\n<li>A continuaci\u00f3n, la cuenta de almacenamiento eval\u00faa la direcci\u00f3n IP de la m\u00e1quina virtual compar\u00e1ndola con su ACL de red. Si se permite la conexi\u00f3n, la cuenta de almacenamiento responde con la informaci\u00f3n solicitada.<\/li>\n<\/ol>\n<p>En la figura\u00a02, se muestra c\u00f3mo se realiza la misma conexi\u00f3n cuando se utiliza un endpoint privado.<\/p>\n<figure id=\"attachment_170719\" aria-describedby=\"caption-attachment-170719\" style=\"width: 808px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-170719 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/2-2641_Azure-Private-Endpoints-Figures-4.png\" alt=\"Diagrama que muestra la comunicaci\u00f3n de red dentro de Azure. VNET1 se conecta a una VM1 y a una zona de DNS privada con el r\u00f3tulo \u201cprivatelink.blob.core.windows.net\u201d. Un endpoint privado interact\u00faa entre VM1 y una cuenta de almacenamiento. Se ilustra el flujo de datos mediante los n\u00fameros del 1 al 6, lo que indica la secuencia de comunicaci\u00f3n.\" width=\"808\" height=\"411\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/2-2641_Azure-Private-Endpoints-Figures-4.png 808w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/2-2641_Azure-Private-Endpoints-Figures-4-786x400.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/2-2641_Azure-Private-Endpoints-Figures-4-768x391.png 768w\" sizes=\"(max-width: 808px) 100vw, 808px\" \/><figcaption id=\"caption-attachment-170719\" class=\"wp-caption-text\">Figura 2. Flujo de conexi\u00f3n con la soluci\u00f3n Private Link.<\/figcaption><\/figure>\n<ol>\n<li>Inicialmente, la m\u00e1quina virtual intenta resolver el nombre de la cuenta en una direcci\u00f3n IP. Si existe un enlace de red virtual en la red virtual (VNET) a una zona de DNS privada que apunte a un servicio de Private Link, el mecanismo de Private Link de Azure fuerza la resoluci\u00f3n utilizando la zona de DNS privada. Esto ocurre cuando la conexi\u00f3n se establece a un servicio de Private Link del mismo tipo (por ejemplo, almacenamiento de blobs).<\/li>\n<li>Cuando el resolvedor de DNS identifica un registro\u00a0A coincidente, proporciona a la m\u00e1quina virtual la direcci\u00f3n IP correspondiente.<\/li>\n<li>A continuaci\u00f3n, la m\u00e1quina virtual se conecta a la direcci\u00f3n IP que pertenece al endpoint privado.<\/li>\n<li>El endpoint privado act\u00faa como interfaz de red para la cuenta de almacenamiento. Para ello, eval\u00faa el tr\u00e1fico y lo reenv\u00eda despu\u00e9s a la cuenta de almacenamiento.<\/li>\n<li>La cuenta de almacenamiento eval\u00faa la solicitud y proporciona una respuesta a trav\u00e9s de la soluci\u00f3n Private Link.<\/li>\n<li>La respuesta se presenta a la m\u00e1quina virtual, que esencialmente accede a la cuenta de almacenamiento utilizando la red troncal de Azure.<\/li>\n<\/ol>\n<h2><a id=\"post-171285-_heading=h.cd20z2df7u9x\"><\/a>Peligros potenciales de los DNS de Private Link<\/h2>\n<p>Como se ha indicado antes, las interacciones con un servicio Private Link desde una red virtual configurada con una zona de DNS privada para ese tipo de servicio solo pueden resolverse a trav\u00e9s de la zona de DNS privada.<\/p>\n<p>Supongamos un entorno en el que VM1 en VNET1 accede con \u00e9xito a una cuenta de almacenamiento utilizando su endpoint p\u00fablico. La resoluci\u00f3n de DNS se produce a trav\u00e9s de la infraestructura de DNS p\u00fablica predeterminada, y el acceso se permite mediante las ACL de red de la cuenta de almacenamiento. En esta fase, la carga de trabajo funciona con normalidad.<\/p>\n<p>M\u00e1s tarde, se crea un endpoint privado para la cuenta de almacenamiento en VNET2, ya sea intencionada o accidentalmente, o bien, por una implementaci\u00f3n de terceros. Como parte de este proceso, una zona de DNS privada para el almacenamiento de blobs (<span style=\"font-family: 'courier new', courier, monospace;\">privatelink.blob.core.windows[.]net<\/span>) se vincula a VNET1 o se comparte a trav\u00e9s de redes virtuales.<\/p>\n<p>Una vez vinculada esta zona de DNS, la l\u00f3gica de resoluci\u00f3n de DNS de Azure fuerza toda la resoluci\u00f3n de nombres de almacenamiento de blobs en VNET1 a trav\u00e9s de la zona de DNS privada. Sin embargo, como no existe ning\u00fan registro \u201cA\u201d en la zona para la cuenta de almacenamiento en el contexto de VNET1, la resoluci\u00f3n de DNS falla. VM1 ya no puede resolver el nombre de host de la cuenta de almacenamiento y no puede conectarse, aunque el endpoint p\u00fablico siga siendo accesible y no haya cambiado.<\/p>\n<p>Este cambio de configuraci\u00f3n crea efectivamente una condici\u00f3n de denegaci\u00f3n de servicio para cargas de trabajo en VNET1 que antes funcionaban correctamente. La interrupci\u00f3n se desencadena \u00fanicamente por un efecto secundario de resoluci\u00f3n de DNS introducido por la configuraci\u00f3n de Private Link, sin ning\u00fan cambio en el propio recurso de destino.<\/p>\n<p>En la figura\u00a03, se muestra este ejemplo.<\/p>\n<figure id=\"attachment_170730\" aria-describedby=\"caption-attachment-170730\" style=\"width: 939px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-170730 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/3-2641_Azure-Private-Endpoints-Figures-5.png\" alt=\"Diagrama que muestra dos redes virtuales, VNET1 y VNET2, conectadas por una cuenta de almacenamiento. VNET1 incluye una VM1 y una zona de DNS privada. La cuenta de almacenamiento se sit\u00faa entre ambas redes. Esta configuraci\u00f3n puede dar lugar a conexiones fallidas, como indican las cruces rojas en las rutas desde VM1 a la cuenta de almacenamiento. VNET2 contiene una zona de DNS privada y un endpoint privado vinculado.\" width=\"939\" height=\"427\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/3-2641_Azure-Private-Endpoints-Figures-5.png 939w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/3-2641_Azure-Private-Endpoints-Figures-5-786x357.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2026\/01\/3-2641_Azure-Private-Endpoints-Figures-5-768x349.png 768w\" sizes=\"(max-width: 939px) 100vw, 939px\" \/><figcaption id=\"caption-attachment-170730\" class=\"wp-caption-text\">Figura 3. Problema potencial causado por el uso de la soluci\u00f3n Private Link.<\/figcaption><\/figure>\n<p>La figura anterior muestra que VM1 intenta conectarse a la cuenta de almacenamiento. Esta cuenta de almacenamiento tiene un endpoint privado en VNET2, pero no tiene un endpoint privado en VNET1. Hipot\u00e9ticamente, VM1 podr\u00eda intentar conectarse utilizando el endpoint p\u00fablico de la cuenta de almacenamiento. Esto funcionar\u00eda si la red virtual de la m\u00e1quina virtual no tuviera una zona de DNS privada que resolviera al mismo tipo de recurso. En este caso, sin embargo, la zona de DNS privada y el servicio est\u00e1n registrados en Private Link, por eso, Private Link fuerza la resoluci\u00f3n a trav\u00e9s de la zona de DNS privada.<\/p>\n<p>El proceso que se muestra en la figura\u00a03 ocurre de la siguiente manera:<\/p>\n<ol>\n<li>Private Link reconoce la zona de DNS privada de almacenamiento de blobs en VNET1 e identifica que la cuenta de almacenamiento est\u00e1 registrada en Private Link. Private Link fuerza la resoluci\u00f3n de DNS a trav\u00e9s de la zona de DNS privada.<\/li>\n<li>La configuraci\u00f3n de la figura\u00a03 muestra que no se ha creado ning\u00fan registro para la cuenta de almacenamiento en la zona de DNS privada vinculada a VNET1. Como tal, la m\u00e1quina virtual no puede resolver el servicio.<\/li>\n<li>Debido al problema de resoluci\u00f3n de DNS en el paso\u00a02, los pasos siguientes \u2014en los que VM1 env\u00eda una solicitud a la cuenta de almacenamiento y recibe una respuesta de ella\u2014 no se producen.<\/li>\n<\/ol>\n<p>Esta situaci\u00f3n provoca una denegaci\u00f3n de servicio parcial: cualquier recurso en VNET1 que intente acceder a la cuenta de almacenamiento no podr\u00e1 hacerlo.<\/p>\n<p>Este riesgo tambi\u00e9n puede estar presente cuando se utilizan resolvedores de DNS locales, dependiendo de las configuraciones y los registros a\u00f1adidos. Adem\u00e1s, aunque nuestro ejemplo se refiere espec\u00edficamente al almacenamiento de blobs, cualquier servicio que admita <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/availability\" target=\"_blank\" rel=\"noopener\">Azure Private Link<\/a> est\u00e1 potencialmente en riesgo.<\/p>\n<h2><a id=\"post-171285-_heading=h.gkwhun8b2d9o\"><\/a>Mitigaciones y recomendaciones<\/h2>\n<p>Azure Private Link se concibi\u00f3 originalmente como una soluci\u00f3n binaria, que pod\u00eda habilitarse o deshabilitarse por completo. Cuando el servicio se implementa seg\u00fan lo previsto, los usuarios solo pueden acceder a los recursos que utilizan Private Link a trav\u00e9s de los endpoints privados de dichos recursos. Este m\u00e9todo elimina la necesidad de utilizar una combinaci\u00f3n de endpoints privados, p\u00fablicos y de servicio. Sin embargo, dado que m\u00e1s del 5\u00a0% de las cuentas de almacenamiento de Azure est\u00e1n configuradas de una manera que est\u00e1 sujeta a este problema, reconocemos que es necesario proporcionar soluciones que aborden los riesgos introducidos por estas implementaciones.<\/p>\n<h3><a id=\"post-171285-_heading=h.ena5rp9wcovv\"><\/a>Mitigaci\u00f3n<\/h3>\n<p>Microsoft reconoce que la naturaleza binaria de la soluci\u00f3n es un problema conocido y lo menciona en <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-private-endpoints?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.json&amp;bc=%2Fazure%2Fstorage%2Fblobs%2Fbreadcrumb%2Ftoc.json#storage-access-constraints-for-clients-in-virtual-networks-with-private-endpoints\" target=\"_blank\" rel=\"noopener\">su documentaci\u00f3n<\/a>. Microsoft tambi\u00e9n ofrece una soluci\u00f3n parcial: habilitar una <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/dns\/private-dns-fallback\" target=\"_blank\" rel=\"noopener\">soluci\u00f3n alternativa a internet<\/a> al crear un enlace de red virtual. Con esta soluci\u00f3n alternativa, cuando el resolvedor de DNS no puede encontrar un registro que coincida con el servicio solicitado, recurre a la internet p\u00fablica. Si bien esta soluci\u00f3n resuelve el problema, no coincide necesariamente con el concepto principal de Azure Private Link, que es atravesar la red troncal de Azure en lugar de la internet p\u00fablica.<\/p>\n<p>Una segunda soluci\u00f3n parcial consiste en a\u00f1adir manualmente un registro para el recurso afectado en la zona de DNS privada necesaria. Esta opci\u00f3n es menos apropiada para grandes entornos de producci\u00f3n, ya que genera una sobrecarga operativa adicional.<\/p>\n<p>Aunque ni la alternativa ni la adici\u00f3n manual de un registro son soluciones definitivas, la combinaci\u00f3n de los m\u00e9todos anteriores con un descubrimiento exhaustivo ayudar\u00e1 a mapear, encontrar y corregir las configuraciones afectadas.<\/p>\n<h3><a id=\"post-171285-_heading=h.tsc17hnm3nlq\"><\/a>Descubrimiento y escaneo exhaustivos<\/h3>\n<p>Hay dos maneras de escanear e identificar los recursos que est\u00e1n potencialmente en riesgo:<\/p>\n<ol>\n<li>Escaneo de recursos con cada servicio por separado.<\/li>\n<li>Uso de <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/governance\/resource-graph\/\" target=\"_blank\" rel=\"noopener\">Azure Resource Graph Explorer<\/a>.<\/li>\n<\/ol>\n<p>El segundo m\u00e9todo de escaneo es m\u00e1s eficaz y puede modificarse f\u00e1cilmente para adaptarlo a la mayor\u00eda de los tipos de recursos. Creamos una consulta gr\u00e1fica que recupera una lista de todas las redes virtuales del entorno que est\u00e1n vinculadas a una zona de DNS privada de almacenamiento de blobs (<span style=\"font-family: 'courier new', courier, monospace;\">privatelink.blob.core.windows[.]net<\/span>). Estas redes virtuales se ven obligadas a resolver los recursos de almacenamiento de blobs a trav\u00e9s de sus endpoints privados cuando se comunican con recursos registrados en Private Link.<\/p>\n<pre class=\"lang:default decode:true\">resources\r\n| where type == \"microsoft.network\/privatednszones\/virtualnetworklinks\"\r\n| extend \r\n    zone = tostring(split(id, \"\/virtualNetworkLinks\")[0]),\r\n    vnetId = tostring(properties.virtualNetwork.id)\r\n| join kind=inner (\r\n    resources\r\n    | where type == \"microsoft.network\/privatednszones\"\r\n    | where name == \"privatelink.blob.core.windows.net\"\r\n    | project zoneId = id\r\n) on $left.zone == $right.zoneId\r\n| project vnetId\r\n<\/pre>\n<p>Adem\u00e1s, es importante identificar qu\u00e9 redes virtuales interact\u00faan con los recursos de almacenamiento de blobs que no tienen conexiones de endpoint privadas. Para ello, hemos creado la siguiente consulta. Esta consulta recupera las cuentas de almacenamiento que permiten el acceso a su endpoint p\u00fablico y no tienen una conexi\u00f3n de endpoint privado.<\/p>\n<pre class=\"lang:default decode:true\">Resources\r\n| where type == \"microsoft.storage\/storageaccounts\"\r\n| extend publicNetworkAccess = properties.publicNetworkAccess\r\n| extend defaultAction = properties.networkAcls.defaultAction\r\n| extend vnetRules = properties.networkAcls.virtualNetworkRules\r\n| extend ipRules = properties.networkAcls.ipRules\r\n| extend privateEndpoints = properties.privateEndpointConnections\r\n| where publicNetworkAccess == \"Enabled\"\r\n| where defaultAction == \"Deny\"\r\n| where (isnull(privateEndpoints) or array_length(privateEndpoints) == 0)\r\n| extend allowedVnets = iif(isnull(vnetRules), 0, array_length(vnetRules))\r\n| extend allowedIps = iif(isnull(ipRules), 0, array_length(ipRules))\r\n| where allowedVnets &gt; 0 or allowedIps &gt; 0\r\n| project id, name, vnetRules, ipRules<\/pre>\n<p>Esta consulta identifica las redes virtuales permitidas y tambi\u00e9n recupera los recursos que permiten direcciones IP espec\u00edficas. Esto es \u00fatil cuando hay visibilidad limitada en las configuraciones de DNS para redes virtuales, lo que dificulta determinar si las configuraciones est\u00e1n afectadas o no.<\/p>\n<p>Los defensores deben ser conscientes de que incluso los recursos que no tienen ACL de red podr\u00edan estar en riesgo. Sin embargo, no hay forma de utilizar las configuraciones para determinar qu\u00e9 redes virtuales, si hubiera alguna, intentan comunicarse con dichos recursos. Para hacer frente a este riesgo, utilice los registros de red para identificar las conexiones realizadas desde los rangos de red de Azure a los recursos susceptibles.<\/p>\n<p>Los defensores pueden cambiar y hacer coincidir el recurso y los detalles de la zona de DNS privada en la consulta de recursos anterior para detectar los recursos compatibles con Private Link que est\u00e1n en riesgo.<\/p>\n<h2><a id=\"post-171285-_heading=h.vvgvixxrmc1r\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Comprender en profundidad las limitaciones de Azure Private Link es vital para proteger las redes que dependen de \u00e9l. Con determinadas configuraciones de componentes y arquitectura, la naturaleza binaria de Azure Private Link puede provocar p\u00e9rdidas de conectividad y, en algunos casos, podr\u00eda permitir ataques de DoS.<\/p>\n<p>Dos de las posibles soluciones para proteger los endpoints privados contra este riesgo:<\/p>\n<ul>\n<li>Habilitar la resoluci\u00f3n de DNS p\u00fablica.<\/li>\n<li>A\u00f1adir manualmente registros de DNS para los recursos afectados.<\/li>\n<\/ul>\n<p>Para aumentar la eficacia de estas soluciones, los defensores pueden consultar los recursos, realizar un escaneo exhaustivo de la red para identificar los recursos en riesgo e implementar las protecciones necesarias.<\/p>\n<h3><a id=\"post-171285-_heading=h.ewu5c8s0yi53\"><\/a>Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/h3>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas en este art\u00edculo gracias a los siguientes productos:<\/p>\n<ul>\n<li>Los clientes de <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> est\u00e1n mejor protegidos contra el uso indebido de los endpoints privados de Azure analizados en este art\u00edculo mediante la ubicaci\u00f3n adecuada del <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Endpoint-protection\" target=\"_blank\" rel=\"noopener\">agente de endpoint de XDR<\/a> de Cortex Cloud y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-CLOUD\/Cortex-Cloud-Runtime-Security-Documentation\/Serverless-function-posture-security\" target=\"_blank\" rel=\"noopener\">agentes sin servidor<\/a> dentro de un entorno de nube. Cortex Cloud est\u00e1 dise\u00f1ado para proteger la postura y las operaciones en tiempo de ejecuci\u00f3n de una nube contra este tipo de amenazas. Ayuda a detectar y prevenir las operaciones maliciosas o las alteraciones de la configuraci\u00f3n o la explotaci\u00f3n analizada en este art\u00edculo.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/unit42\/assess\/cloud-security-assessment\" target=\"_blank\" rel=\"noopener\">Evaluaci\u00f3n de la seguridad en la nube de Unit 42<\/a> es un servicio de evaluaci\u00f3n estrat\u00e9gica que revisa la infraestructura en la nube de su organizaci\u00f3n para identificar errores de configuraci\u00f3n y lagunas de seguridad, lo que permite a los equipos reforzar su postura frente a las amenazas basadas en la nube.<\/p>\n<p>Si cree que podr\u00eda haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<p><strong>Recursos adicionales<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/private-endpoint-dns\" target=\"_blank\" rel=\"noopener\">Azure Private Endpoint private DNS zone values<\/a> (en ingl\u00e9s), documentaci\u00f3n de Microsoft<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/private-link\/availability\" target=\"_blank\" rel=\"noopener\">Azure Private Link availability<\/a> (en ingl\u00e9s), documentaci\u00f3n de Microsoft<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/governance\/resource-graph\/\" target=\"_blank\" rel=\"noopener\">Azure Resource Graph Explorer<\/a> (en ingl\u00e9s), documentaci\u00f3n de Microsoft<\/li>\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/storage\/common\/storage-private-endpoints?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.json&amp;bc=%2Fazure%2Fstorage%2Fblobs%2Fbreadcrumb%2Ftoc.json#storage-access-constraints-for-clients-in-virtual-networks-with-private-endpoints\" target=\"_blank\" rel=\"noopener\">\u200b\u200bStorage access constraints for clients in virtual networks with private endpoints<\/a> (en ingl\u00e9s), documentaci\u00f3n de Microsoft<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).<\/p>\n","protected":false},"author":366,"featured_media":142040,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8757,8838,8730],"tags":[9330,9903],"product_categories":[8932,8933,8890],"coauthors":[9886],"class_list":["post-171285","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dns-es-la","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","tag-microsoft-azure-es-la","tag-networking","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?<\/title>\n<meta name=\"description\" content=\"Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?\" \/>\n<meta property=\"og:description\" content=\"Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2026-01-20T15:42:15+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-02-03T14:05:37+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Golan Myers\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?","description":"Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/","og_locale":"es_LA","og_type":"article","og_title":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?","og_description":"Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/","og_site_name":"Unit 42","article_published_time":"2026-01-20T15:42:15+00:00","article_modified_time":"2026-02-03T14:05:37+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Golan Myers","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?","datePublished":"2026-01-20T15:42:15+00:00","dateModified":"2026-02-03T14:05:37+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/"},"wordCount":3365,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg","keywords":["Microsoft Azure","networking"],"articleSection":["DNS","Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/","name":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg","datePublished":"2026-01-20T15:42:15+00:00","dateModified":"2026-02-03T14:05:37+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Hemos identificado un aspecto de la arquitectura del endpoint privado de Azure que podr\u00eda exponer los recursos de Azure a ataques de denegaci\u00f3n de servicio (DoS).","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_DNS_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of Azure OpenAI DNS resolution issue. Futuristic cityscape illustration with luminous structures and floating cloud elements, showcasing advanced technology and a dynamic, digitally enhanced environment."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/dos-attacks-and-azure-private-endpoint\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"DNS durante DoS: \u00bfLos endpoints privados son demasiado privados?"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=171285"}],"version-history":[{"count":2,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171285\/revisions"}],"predecessor-version":[{"id":171553,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/171285\/revisions\/171553"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/142040"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=171285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=171285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=171285"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=171285"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=171285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}