Responder a una cuenta de correo electrónico en peligro

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Las credenciales de usuario controlan el acceso a las cuentas de Microsoft Entra ID, que son fundamentales para poner en peligro las investigaciones. Una vez que un atacante obtiene acceso a la cuenta, puede acceder al buzón de Microsoft 365 asociado, a las carpetas de SharePoint o a los archivos de OneDrive del usuario. La corrección y la investigación de un usuario en peligro se centra en la cuenta afectada y en los servicios asociados a la cuenta.

Los atacantes suelen usar el buzón de correo de un usuario en peligro para enviar a los destinatarios dentro y fuera de la organización. Business Email Compromise (BEC) es un tipo prolífico de ataque y se aborda en este artículo.

En este artículo se abordan los síntomas del riesgo de la cuenta (en concreto, el buzón de correo) y cómo recuperar el control de la cuenta en peligro.

Importante

El botón siguiente le permite probar e identificar la actividad sospechosa de la cuenta. Use esta prueba con las instrucciones de este artículo para obtener información sobre las cuentas potencialmente en peligro y determinar las acciones de corrección necesarias.

Ejecutar pruebas: cuentas en peligro

Síntomas comunes de una cuenta de correo electrónico de Microsoft 365 en peligro

Una o varias de las actividades siguientes pueden indicar que una cuenta asociada a un buzón de Microsoft 365 está en peligro:

• El buzón de correo no puede enviar correo electrónico.
• Actividad sospechosa. Por ejemplo, falta o elimina correo electrónico.
• Reglas de bandeja de entrada sospechosas. Por ejemplo:
  • Reglas que reenvía automáticamente el correo electrónico a direcciones desconocidas.
  • Reglas que mueven mensajes a las carpetas Notas, Email no deseado o Suscripciones RSS.
• Las carpetas Elementos enviados o Elementos eliminados contienen mensajes sospechosos. Por ejemplo, "Estoy atascado en Londres, envío dinero".
• Cambios en el contacto del usuario en la lista global de direcciones (GAL). Por ejemplo, nombre, número de teléfono o código postal.
• Cambios frecuentes de contraseña o bloqueos de cuentas inexploados.
• Se ha agregado recientemente el reenvío de correo electrónico externo.
• Firmas de mensajes de correo electrónico sospechosas. Por ejemplo, una firma bancaria falsa o una firma de medicamentos recetados.

Si el buzón de correo muestra cualquiera de estos síntomas, siga los pasos de la sección siguiente para recuperar el control de la cuenta.

Protección y restauración de Email Función en una cuenta habilitada para correo de Microsoft 365 en peligro

Una vez que el atacante obtiene acceso a una cuenta, debe bloquear el acceso a la cuenta lo antes posible.

Los pasos siguientes abordan métodos conocidos que podrían permitir al atacante mantener la persistencia y recuperar el control de la cuenta más adelante. Asegúrese de abordar cada paso.

Paso 1: Deshabilitar la cuenta de usuario afectada

• Se prefiere deshabilitar la cuenta en peligro y se recomienda encarecidamente hasta completar la investigación.

  1. Si es necesario, ejecute el siguiente comando para instalar el módulo de PowerShell de Microsoft Graph en PowerShell:

     Install-Module -Name Microsoft.Graph -Scope CurrentUser
     

  2. Conéctese a Microsoft Graph mediante la ejecución del siguiente comando:

     Connect-MgGraph -Scopes "User.ReadWrite.All"
     

  3. Para almacenar los detalles de la cuenta de usuario en la variable denominada $user, reemplace UPN> por <el nombre de cuenta del usuario (nombre principal de usuario o UPN) y, a continuación, ejecute el siguiente comando:

     $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
     

     Por ejemplo:

     $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
     

  4. Ejecute el siguiente comando para deshabilitar la cuenta de usuario:

     Update-MgUser -UserId $user.Id -AccountEnabled $false
     

  Para obtener información detallada sobre la sintaxis y los parámetros, consulte Update-MgUser.

• Si no puede deshabilitar la cuenta, el siguiente mejor paso es restablecer la contraseña. Para obtener instrucciones, consulte Restablecer contraseñas en Microsoft 365 para empresas.

  • Asegúrese de usar una contraseña segura: letras mayúsculas y minúsculas, al menos un número y al menos un carácter especial.
  • No envíe la nueva contraseña al usuario por correo electrónico, ya que el atacante podría tener acceso al buzón en este momento.
  • Use una contraseña única que el atacante no pueda adivinar. Incluso si el requisito de historial de contraseñas lo permite, no reutilice ninguna de las cinco últimas contraseñas.
  • Si la cuenta se sincroniza desde Active Directory, restablezca la contraseña en Active Directory y restablezcala dos veces para mitigar el riesgo de ataques de paso a hash . Para obtener instrucciones, consulte Set-ADAccountPassword.
  • Si la identidad del usuario está federada con Microsoft 365, debe cambiar la contraseña de la cuenta en el entorno local y, a continuación, notificar al administrador el peligro.
  • Asegúrese de actualizar las contraseñas de aplicación. Las contraseñas de aplicación no se revocan automáticamente al restablecer la contraseña. El usuario debe eliminar las contraseñas de aplicación existentes y crear otras nuevas. Para obtener más información, consulte Administración de contraseñas de aplicación para la verificación en dos pasos.

• Se recomienda encarecidamente habilitar y aplicar la autenticación multifactor (MFA) para la cuenta. MFA protege eficazmente contra el riesgo de la cuenta y es esencial para las cuentas con privilegios de administrador.

  Para más información, consulte los siguientes artículos:

  • Configurar la autenticación de varios factores
  • Requerir MFA resistente a la suplantación de identidad para administradores

Paso 2: Revocar el acceso de usuario

Este paso invalida inmediatamente cualquier acceso activo con las credenciales robadas e impide que el atacante acceda a datos más confidenciales o realice acciones no autorizadas en la cuenta en peligro.

1. Ejecute el siguiente comando en una ventana de PowerShell con privilegios elevados (una ventana de PowerShell que abra; para ello, seleccione Ejecutar como administrador):

   Set-ExecutionPolicy RemoteSigned
   

2. Si es necesario, ejecute los siguientes comandos para instalar los módulos necesarios para PowerShell de Microsoft Graph:

   Install-Module Microsoft.Graph.Authentication
   
   Install-Module Microsoft.Graph.Users.Actions
   

3. Conéctese a Microsoft Graph mediante la ejecución del siguiente comando:

   Connect-MgGraph -Scopes User.RevokeSessions.All
   

4. Para almacenar los detalles de la cuenta de usuario en la variable denominada $user, reemplace UPN> por <la cuenta del usuario (nombre principal de usuario o UPN) y, a continuación, ejecute el siguiente comando:

   $user = Get-MgUser -Search UserPrincipalName:'<UPN>' -ConsistencyLevel Eventual
   

   Por ejemplo:

   $user = Get-MgUser -Search UserPrincipalName:'jason@contoso.onmicrosoft.com' -ConsistencyLevel Eventual
   

5. Para revocar las sesiones de inicio de sesión del usuario, ejecute el siguiente comando:

   Revoke-MgUserSignInSession -UserId $user.Id
   

Para obtener más información, consulte Revocación del acceso de usuario en caso de emergencia en Microsoft Entra ID.

Paso 3: Revisión de los dispositivos registrados de MFA para el usuario afectado

Identifique y quite los dispositivos sospechosos agregados por un atacante. Además, asegúrese de que se quitan los métodos mfa no reconocidos para proteger la cuenta del usuario.

Para obtener instrucciones, consulte Métodos de MFA quitados

Paso 4: Revisar la lista de aplicaciones con consentimiento del usuario

Quite y revoque las aplicaciones que no se deben permitir.

Para obtener instrucciones, consulte Revisión de la aplicación.

Paso 5: Revisión de los roles administrativos asignados al usuario

Quite los roles que no se deben permitir.

Para más información, consulte los siguientes artículos:

• Enumerar las asignaciones de roles de Azure mediante el Azure Portal
• Enumerar Microsoft Entra asignaciones de roles
• Permisos en el portal de cumplimiento de Microsoft Purview
• permisos de Microsoft Defender para Office 365 en el portal de Microsoft Defender

Paso 6: Revisar reenviadores de correo

Quite cualquier reenvío de buzón sospechoso que haya agregado el atacante.

1. Conéctese al PowerShell de Exchange Online.

2. Para ver si el reenvío de buzones (también conocido como reenvío SMTP) está configurado en el buzón, reemplace Identity> por <el nombre, la dirección de correo electrónico o el nombre de cuenta del buzón y, a continuación, ejecute el siguiente comando:

   Get-Mailbox -Identity \<Identity\> | Format-List Forwarding*Address,DeliverTo*
   

   Por ejemplo:

   Get-Mailbox -Identity jason@contoso.com | Format-List Forwarding*Address,DeliverTo*
   

   Observe los valores de las siguientes propiedades:

   • ForwardingAddress: un valor no blanco significa que el correo electrónico se reenvía al destinatario interno especificado.
   • ForwardingSmtpAddress: un valor no blanco significa que el correo electrónico se reenvía al destinatario externo especificado. Si se configuran ForwardingAddress y ForwardingSmtpAddress , el correo electrónico solo se reenvía al destinatario interno de ForwardingAddress .
   • DeliverToMailboxAndForward: controla cómo se entregan y reenvía los mensajes a los destinatarios especificados por ForwardingAddress o ForwardingSmtpAddress:
     • True: los mensajes se entregan a este buzón y se reenvía al destinatario especificado.
     • False: los mensajes se reenvía al destinatario especificado. No se entregan los mensajes en este buzón.

3. Para ver si alguna regla de bandeja de entrada está reenviando correo electrónico desde el buzón de correo, reemplace Identity> por <el nombre, la dirección de correo electrónico o el nombre de cuenta del buzón y, a continuación, ejecute el siguiente comando:

   Get-InboxRule -Mailbox <Identity> -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Por ejemplo:

   Get-InboxRule -Mailbox jason@contoso.com -IncludeHidden | Format-List Name,Enabled,RedirectTo,Forward*,Identity
   

   Observe los valores de las siguientes propiedades:

   • Habilitado: indica si la regla está habilitada (True) o deshabilitada (False).

   • RedirectTo: un valor no blanco significa que el correo electrónico se redirige a los destinatarios especificados. No se entregan los mensajes en este buzón.

   • ForwardTo: un valor no blanco significa que el correo electrónico se reenvía a los destinatarios especificados.

   • ForwardAsAttachmentTo: un valor no blanco significa que el correo electrónico se reenvía a los destinatarios especificados como datos adjuntos de correo electrónico.

   • Identidad: valor único global de la regla. Para ver los detalles completos de la regla, reemplace Identity> por <el valor Identity y, a continuación, ejecute el siguiente comando:

     Get-InboxRule -Identity "<Identity>" -IncludeHidden | Format-List
     

     Por ejemplo:

     Get-InboxRule -Identity "jason\10210541742734704641" -IncludeHidden | Format-List
     

Para obtener más información, consulte Configuración y control del reenvío de correo electrónico externo en Microsoft 365.

Realizar una investigación

Cuando un usuario informa de síntomas inusuales, es fundamental llevar a cabo una investigación exhaustiva. El Centro de administración Microsoft Entra y el portal de Microsoft Defender proporcionan varias herramientas para ayudar a examinar la actividad sospechosa en las cuentas de usuario. Asegúrese de revisar los registros de auditoría desde el inicio de la actividad sospechosa hasta completar los pasos de corrección.

• Microsoft Entra registros de inicio de sesión y otros informes de riesgo en el Centro de administración Microsoft Entra: Examine los valores de estas columnas:

  • Dirección IP
  • Ubicaciones de inicio de sesión
  • Tiempos de inicio de sesión
  • Error o éxito de inicio de sesión

  Para más información, consulte los siguientes artículos:

  • ¿Qué son los registros de auditoría de Microsoft Entra?
  • ¿Qué son los registros de inicio de sesión Microsoft Entra?

• Registros de auditoría de Azure: para obtener más información, consulte Registro y auditoría de seguridad de Azure.

• Registros de auditoría en el portal de Defender: filtre los registros de la actividad mediante un intervalo de fechas que se inicia inmediatamente antes de que se produzca la actividad sospechosa. No filtre actividades específicas durante la búsqueda inicial.

  Para obtener más información, vea Buscar en el registro de auditoría.

Mediante el análisis de los registros proporcionados, puede identificar el período de tiempo específico que requiere más atención. Una vez identificado, revise los mensajes enviados por el usuario durante este período para obtener más información.

• Seguimiento de mensajes en el portal de Defender: compruebe el contenido de la carpeta Elementos enviados de la cuenta en Outlook o Outlook en la Web.

  Para obtener más información, vea Seguimiento de mensajes en el portal de Microsoft Defender.

Una vez completada la investigación

1. Si deshabilitó la cuenta durante la investigación, restablezca la contraseña y, a continuación, habilite la cuenta como se describió anteriormente en este artículo.

2. Si la cuenta se usó para enviar correo no deseado o un gran volumen de correo electrónico, es probable que el buzón esté bloqueado para enviar correo. Quite el usuario de la página Entidades restringidas como se describe en Quitar usuarios bloqueados de la página Entidades restringidas.

Más recursos

Detectar y corregir las reglas de Outlook y ataques de inserciones de formularios personalizados en Microsoft 365

Detección y corrección de concesiones de consentimiento ilícitas

Informar de correo no deseado, no correo no deseado, suplantación de identidad (phishing), correo electrónico sospechoso y archivos a Microsoft