Ciberdelincuentes han encontrado una forma silenciosa de infiltrarse en una cuenta corporativa de correo electrónico y leer todo lo que se envía y recibe, sin que el propietario de la cuenta lo sepa jamás. Los atacantes están abusando de una función integrada de Microsoft 365 llamada reglas de buzón para interceptar correos electrónicos empresariales de manera sigilosa, redirigir comunicaciones financieras y suprimir notificaciones de seguridad.

Los ciberdelincuentes han encontrado una forma silenciosa de infiltrarse en una cuenta corporativa de correo y leer todo lo que se envía y recibe, sin que el propietario de la cuenta lo sepa jamás.

Los atacantes están abusando de una función integrada de Microsoft 365 llamada reglas de buzón para interceptar correos electrónicos empresariales de manera sigilosa, redirigir comunicaciones financieras y suprimir notificaciones de seguridad, todo mientras permanecen completamente invisibles para la víctima.

Las reglas de buzón son una función estándar de productividad dentro de Microsoft 365 y Outlook que ayuda a los usuarios a ordenar, reenviar o eliminar automáticamente los mensajes entrantes.

Pero cuando los atacantes obtienen acceso no autorizado a una cuenta, convierten estas reglas en una herramienta de vigilancia persistente.

Una vez activas, una regla maliciosa se ejecuta en segundo plano y actúa sobre cada correo entrante según las condiciones que el atacante haya establecido: reenviando mensajes sensibles a direcciones externas, ocultando notificaciones de restablecimiento de contraseña o enterrando alertas de seguridad en carpetas que la víctima nunca revisa.

Investigadores de Proofpoint, Anna Akselevich, Pavel Asinovsky y Yaniv Miron, identificaron esta técnica como uno de los comportamientos post-explotación más consistentes observados en los secuestros de cuentas basadas en la nube.

Su análisis reveló que aproximadamente el 40% de las cuentas comprometidas de Microsoft 365 tenían al menos una regla de buzón maliciosa creada poco después de la brecha inicial.

El tiempo más corto registrado entre el compromiso de una cuenta y la creación de una regla fue de solo ocho segundos, lo que demuestra claramente lo deliberada y automatizada que se ha vuelto esta táctica.

En los entornos de Microsoft 365, los atacantes suelen obtener su primer acceso a través de phishing de credenciales, ataques de fuerza bruta (password spraying) o abuso del consentimiento de OAuth.

En lugar de desplegar malware o configurar infraestructura externa, confían en las funciones nativas de la plataforma para mantener el acceso y permanecer ocultos.

Esto hace que la detección sea significativamente más difícil, ya que toda la actividad maliciosa se ejecuta completamente dentro del entorno propio de Microsoft, utilizando funcionalidades legítimas integradas en lugar de herramientas externas sospechosas.

El impacto va mucho más allá de las cuentas individuales. Desde el fraude por compromiso de correo empresarial (BEC) hasta operaciones de spam a gran escala dirigidas a redes universitarias, los atacantes utilizan reglas de buzón ocultas para operar sin ser detectados dentro de las organizaciones durante semanas o incluso meses.

La técnica funciona en todos los sectores y explota el simple hecho de que la mayoría de los usuarios nunca revisan la configuración de sus reglas de buzón.

Cómo operan las reglas ocultas dentro de cuentas comprometidas

Una vez dentro de una cuenta comprometida, los atacantes siguen un proceso repetible y metódico. Crean reglas de buzón utilizando nombres cortos, genéricos o sin sentido —nada que un usuario real configuraría—, de modo que las reglas pasan desapercibidas en una revisión casual.

Estas reglas logran múltiples objetivos a la vez. Reenvían silenciosamente correos que contienen palabras clave financieras como “factura”, “transferencia” o “contrato” a direcciones externas controladas por los atacantes.

Ocultan alertas de autenticación multifactor (MFA), correos de restablecimiento de contraseña y advertencias de inicio de sesión sospechoso para que las víctimas nunca se den cuenta de que sus cuentas han sido vulneradas. Y como estas reglas sobreviven a los cambios de contraseña, mantienen el acceso persistente mucho después de que las credenciales hayan sido modificadas.

En un caso documentado de fraude de nómina, un atacante comprometió una cuenta e inmediatamente creó una regla para archivar cualquier correo con “Lista de Pagos” en el asunto.

Luego, el atacante utilizó una plataforma de correo de terceros llamada Zoho para registrar un dominio falso construido con caracteres homoglifos —letras diseñadas para parecer casi idénticas a las del dominio legítimo de la empresa—.

Como la regla de buzón ya estaba activa, cada correo de verificación de Zoho se movía automáticamente a una carpeta oculta, permitiendo que el atacante completara el registro sin que la víctima lo supiera.

Desde esta cuenta externa, se insertaron mensajes fraudulentos en hilos de correo existentes para manipular acciones de pago.

Los equipos de seguridad y las organizaciones deberían tomar varias medidas para limitar la exposición.

Desactivar el reenvío automático externo en Exchange Online elimina uno de los caminos de persistencia más abusados. Aplicar autenticación multifactor (MFA) con políticas de acceso condicional reduce el riesgo de compromiso inicial de la cuenta.

Monitorear los consentimientos de OAuth para detectar permisos de aplicaciones sospechosas, auditar las reglas de buzón de forma regular, revocar sesiones activas cuando se detecte una brecha y revisar los registros de inicio de sesión de Entra ID en busca de ubicaciones inusuales o eventos de autenticación riesgosos son acciones críticas para detectar y contener amenazas basadas en reglas a tiempo.