Logotipo de DOS.CINCO, empresa de ciberseguridad
Chatea con nosotros en WhatsApp
Volver arriba

Nuestro Blog Detalle

By Admin
Publicando 29 ene 2025

Cuentas comprometidas: reglas de reenvío para exfiltrar correos

Cuando un atacante compromete una cuenta de correo, su objetivo no siempre es enviar spam. Con frecuencia configura reglas de reenvío para exfiltrar información de forma silenciosa: copias ocultas de facturas, aprobaciones, contratos o códigos de verificación que terminan en un buzón bajo su control.

Estas reglas pueden reenviar todos los mensajes, solo los que cumplen ciertos criterios (palabras clave, remitentes clave, adjuntos) o mover correos a carpetas poco visibles. Sin una telemetría adecuada de correo e identidad, pueden pasar desapercibidas durante meses mientras el atacante monitorea a distancia.

Por qué las reglas de reenvío son tan peligrosas

  • Persistencia discreta: el atacante puede perder la contraseña, pero seguir recibiendo copias.
  • Visibilidad baja: muchos usuarios nunca revisan sus reglas o delegaciones.
  • Exfiltración selectiva: reenvío solo de correos “sensibles” (pagos, nómina, proveedores).
  • Apoyo a BEC: el atacante estudia flujos de pago y estilos de escritura para fraudes futuros.
  • Uso combinado con filtros: correos marcados como leídos o movidos a carpetas ocultas.

“Si no monitoreas reglas de reenvío, delegaciones y inicios de sesión anómalos, estás regalando tu bandeja de entrada al atacante.”

Vectores típicos de compromiso de cuenta

  1. Phishing de credenciales: páginas falsas de O365/Google/OWA.
  2. Contraseñas reutilizadas: credenciales filtradas en otros servicios.
  3. Acceso desde apps heredadas: IMAP/POP/SMTP sin MFA.
  4. Tokens de sesión robados: malware, navegadores no seguros o dispositivos compartidos.

Controles preventivos y de detección

  • MFA resistente a phishing: FIDO/WebAuthn para cuentas de correo y paneles de administración.
  • Bloqueo de reenvío externo por defecto: solo excepciones justificadas y aprobadas.
  • Alertas de nuevas reglas: detectar creación/cambio de reglas de reenvío y auto-reply.
  • Monitoreo de delegaciones: avisos ante nuevas delegaciones o cambios de permisos.
  • Políticas de acceso condicional: bloquear logins desde países o riesgos altos.

Señales prioritarias en correo e identidad

  • Reglas nuevas que reenvían a dominios externos no autorizados.
  • Cambios en reglas existentes sin ticket o justificación.
  • Delegaciones recién creadas hacia cuentas genéricas o personales.
  • Inicios de sesión desde ubicaciones inusuales seguidos de cambios de reglas.
  • Aumento de correos reenviados a un mismo dominio/clave en poco tiempo.

Playbook de respuesta ante reenvío malicioso

  1. Contener: deshabilitar la cuenta si es necesario, cerrar todas las sesiones activas.
  2. Eliminar reglas: borrar reglas de reenvío/filtros maliciosos y revisar delegaciones.
  3. Reasegurar identidad: rotar credenciales, forzar MFA FIDO y revisar recuperación de cuenta.
  4. Investigar alcance: determinar qué correos pudieron exfiltrarse y a qué destinatarios.
  5. Notificar y remediar: avisar a áreas afectadas, ajustar políticas y actualizar runbooks.

Métricas que debes observar

  • Tiempo de detección de reglas de reenvío no autorizadas.
  • Número de cuentas con reenvío externo habilitado vs. total de usuarios.
  • % de cuentas con MFA FIDO y bloqueo de autenticación heredada.
  • Incidentes BEC/exfiltración relacionados con reenvío por trimestre.
  • Tasa de revisión de reglas de correo en auditorías periódicas.

Checklist rápido (esta semana)

  • Inventariar reglas de reenvío externas y validar cuáles son legítimas.
  • Bloquear por política el reenvío externo masivo y exigir justificación para excepciones.
  • Configurar alertas en SIEM/MDR para reglas nuevas y delegaciones de correo.
  • Subir MFA a FIDO/WebAuthn para cuentas críticas y paneles de administración.
  • Ejecutar una campaña corta de concientización sobre BEC y cuentas comprometidas.

En DOS.CINCO te ayudamos a endurecer tu entorno de correo, monitorear reglas de reenvío, detectar cuentas comprometidas y ejecutar playbooks de contención con EDR/MDR+SIEM para minimizar el impacto de la exfiltración.

BOLETÍN

Simplificamos lo complejo
de la ciberseguridad

Copyright © 2026 Dos.Cinco, S.A. de C.V. | Diseñado por MX PROTON