Cuentas comprometidas: reglas de reenvío para exfiltrar correos
Cuando un atacante compromete una cuenta de correo, su objetivo no siempre es enviar
spam.
Con frecuencia configura reglas de reenvío para exfiltrar información de
forma silenciosa:
copias ocultas de facturas, aprobaciones, contratos o códigos de verificación que terminan
en un buzón
bajo su control.
Estas reglas pueden reenviar todos los mensajes, solo los que cumplen
ciertos criterios
(palabras clave, remitentes clave, adjuntos) o mover correos a carpetas poco visibles. Sin
una
telemetría adecuada de correo e identidad, pueden pasar desapercibidas
durante meses
mientras el atacante monitorea a distancia.
Por qué las reglas de reenvío son tan peligrosas
- Persistencia discreta: el atacante puede perder la contraseña, pero
seguir recibiendo copias.
- Visibilidad baja: muchos usuarios nunca revisan sus reglas o
delegaciones.
- Exfiltración selectiva: reenvío solo de correos “sensibles” (pagos,
nómina, proveedores).
- Apoyo a BEC: el atacante estudia flujos de pago y estilos de escritura
para fraudes futuros.
- Uso combinado con filtros: correos marcados como leídos o movidos a
carpetas ocultas.
“Si no monitoreas reglas de reenvío, delegaciones y inicios
de sesión anómalos,
estás regalando tu bandeja de entrada al atacante.”
Vectores típicos de compromiso de cuenta
- Phishing de credenciales: páginas falsas de O365/Google/OWA.
- Contraseñas reutilizadas: credenciales filtradas en otros servicios.
- Acceso desde apps heredadas: IMAP/POP/SMTP sin MFA.
- Tokens de sesión robados: malware, navegadores no seguros o
dispositivos compartidos.
Controles preventivos y de detección
- MFA resistente a phishing: FIDO/WebAuthn para cuentas de correo y
paneles de administración.
- Bloqueo de reenvío externo por defecto: solo excepciones justificadas y
aprobadas.
- Alertas de nuevas reglas: detectar creación/cambio de reglas de reenvío
y auto-reply.
- Monitoreo de delegaciones: avisos ante nuevas delegaciones o cambios de
permisos.
- Políticas de acceso condicional: bloquear logins desde países o riesgos
altos.
Señales prioritarias en correo e identidad
- Reglas nuevas que reenvían a dominios externos no autorizados.
- Cambios en reglas existentes sin ticket o justificación.
- Delegaciones recién creadas hacia cuentas genéricas o personales.
- Inicios de sesión desde ubicaciones inusuales seguidos de cambios de reglas.
- Aumento de correos reenviados a un mismo dominio/clave en poco tiempo.
Playbook de respuesta ante reenvío malicioso
- Contener: deshabilitar la cuenta si es necesario, cerrar todas las
sesiones activas.
- Eliminar reglas: borrar reglas de reenvío/filtros maliciosos y revisar
delegaciones.
- Reasegurar identidad: rotar credenciales, forzar MFA FIDO y revisar
recuperación de cuenta.
- Investigar alcance: determinar qué correos pudieron exfiltrarse y a qué
destinatarios.
- Notificar y remediar: avisar a áreas afectadas, ajustar políticas y
actualizar runbooks.
Métricas que debes observar
- Tiempo de detección de reglas de reenvío no autorizadas.
- Número de cuentas con reenvío externo habilitado vs. total de usuarios.
- % de cuentas con MFA FIDO y bloqueo de autenticación heredada.
- Incidentes BEC/exfiltración relacionados con reenvío por trimestre.
- Tasa de revisión de reglas de correo en auditorías periódicas.
Checklist rápido (esta semana)
- Inventariar reglas de reenvío externas y validar cuáles son legítimas.
- Bloquear por política el reenvío externo masivo y exigir justificación para excepciones.
- Configurar alertas en SIEM/MDR para reglas nuevas y delegaciones de correo.
- Subir MFA a FIDO/WebAuthn para cuentas críticas y paneles de administración.
- Ejecutar una campaña corta de concientización sobre BEC y cuentas comprometidas.
En DOS.CINCO te ayudamos a endurecer tu entorno de correo, monitorear
reglas de reenvío,
detectar cuentas comprometidas y ejecutar playbooks de contención con
EDR/MDR+SIEM para
minimizar el impacto de la exfiltración.