Los ciberdelincuentes abusan cada vez más de las reglas de buzón de Microsoft 365 para establecer mecanismos de persistencia sigilosos tras el compromiso de una cuenta. Según Proofpoint, esta táctica les permite exfiltrar datos, cometer fraudes en nóminas y ejecutar sofisticados ataques de compromiso de correo electrónico empresarial (BEC).
Una vez que los atacantes obtienen acceso inicial a un entorno de Microsoft 365, normalmente a través de phishing de credenciales o abuso de consentimiento OAuth, su prioridad es la persistencia y la discreción, manipulando las funcionalidades legítimas del buzón, en vez de instalar malware. “Los ciberdelincuentes eliminan, ocultan, reenvían o marcan mensajes como leídos para controlar el flujo de correo sin alertar a la víctima”, explican desde Proofpoint.
Las reglas de buzón ofrecen a los atacantes una combinación potente de discreción, automatización y persistencia. Esto les permite realizar una exfiltración encubierta de datos de alto valor mediante el reenvío automático de copias de emails con palabras clave como “factura”, “transferencia” o “contrato” a buzones externos bajo su control. También pueden reubicar alertas de seguridad, correos de restablecimiento de contraseña, notificaciones de autenticación multifactor (MFA) o respuestas sospechosas que podrían delatar su actividad, lo que les da un tiempo crucial para afianzar su acceso y completar acciones fraudulentas.
Al desviar la correspondencia a carpetas ocultas, los atacantes pueden interceptar mensajes de proveedores o clientes antes de que la víctima los vea, suplantar al propietario del buzón o meterse en conversaciones existentes. Asimismo, mientras una regla exista, la información sigue filtrándose, creando un mecanismo de persistencia nativo en la nube. Los investigadores subrayan la importante brecha en la seguridad de la nube, ya que los atacantes se aprovechan de las características nativas de esta plataforma para eludir las defensas tradicionales.
El análisis de Proofpoint indica que estos abusos no son un caso aislado: alrededor de un 10% de las cuentas de Microsoft 365 comprometidas tenía al menos una regla de buzón maliciosa creada en segundos tras el acceso inicial. Los ciberdelincuentes rara vez usan nombres descriptivos para estas reglas, optando por símbolos como «.«, «…» o «;«. Esta falta de esfuerzo en el nombramiento sugiere un exceso de confianza dada la baja tasa de detección.
Cuando se identifican reglas de buzón maliciosas, la respuesta debe centrarse en la contención, erradicación y revocación del acceso. Los expertos en ciberseguridad aconsejan suprimir todas las reglas de bandeja de entrada no autorizadas y verificar que no existan reglas ocultas o condicionales adicionales, invalidar sesiones activas y refrescar tokens para eliminar el acceso persistente que sobrevive a los cambios de contraseña, revisar la actividad de inicio de sesión en busca de pistas anómalas o sospechosas y auditar aplicaciones OAuth. “Estos pasos son fundamentales, incluso si las reglas de buzón son el único indicador visible de compromiso, para salvaguardar la información y la integridad de las comunicaciones empresariales”, afirman los expertos de Proofpoint.
