Los ciberdelincuentes están recurriendo cada vez más a una técnica discreta pero eficaz para mantener el control sobre cuentas comprometidas en Microsoft 365: el uso malicioso de reglas de buzón. Así lo advierte la compañía de ciberseguridad Proofpoint, que señala que esta estrategia permite a los atacantes robar información, ejecutar fraudes en nóminas y llevar a cabo ataques avanzados de compromiso de correo empresarial (BEC).
Una vez que los atacantes logran acceder a una cuenta —habitualmente mediante phishing de credenciales o el abuso de permisos OAuth—, su objetivo principal es pasar desapercibidos y mantener el acceso el mayor tiempo posible. En lugar de instalar software malicioso, optan por manipular funciones legítimas del correo electrónico. Entre otras acciones, eliminan mensajes, los ocultan, los redirigen o los marcan como leídos para controlar el flujo de información sin levantar sospechas.
El uso de reglas de buzón les proporciona automatización y persistencia, facilitando la exfiltración de datos sensibles. A través del reenvío automático de correos que contienen términos como “factura”, “transferencia” o “contrato”, los atacantes pueden enviar información crítica a direcciones externas bajo su control. Además, tienen la capacidad de desviar alertas de seguridad, correos de recuperación de contraseña o notificaciones de autenticación multifactor, lo que les permite actuar con mayor margen de tiempo sin ser detectados.
Otra de las prácticas habituales consiste en mover mensajes a carpetas ocultas, interceptando comunicaciones con proveedores o clientes antes de que el usuario legítimo pueda verlas. Esto facilita la suplantación de identidad y la manipulación de conversaciones en curso. Mientras estas reglas permanezcan activas, el flujo de información continúa filtrándose, convirtiéndose en un mecanismo de persistencia dentro del entorno en la nube.
Según el análisis de Proofpoint, aproximadamente un 10% de las cuentas comprometidas en Microsoft 365 presentaban al menos una regla maliciosa creada apenas segundos después del acceso inicial. Estas reglas suelen tener nombres poco descriptivos, como símbolos o caracteres simples, lo que refleja la baja tasa de detección de este tipo de ataques.
Ante esta amenaza, los expertos recomiendan actuar con rapidez en caso de detección. Entre las medidas clave se encuentran eliminar todas las reglas sospechosas, comprobar la existencia de configuraciones ocultas, cerrar sesiones activas, renovar credenciales y revisar la actividad de acceso en busca de comportamientos anómalos. Asimismo, insisten en la importancia de auditar las aplicaciones conectadas mediante OAuth.
Desde Proofpoint subrayan que estas acciones son esenciales para proteger la información corporativa y garantizar la integridad de las comunicaciones empresariales, incluso cuando las reglas de buzón sean el único indicio visible de un posible ataque.
