Auditoría de seguridad de Microsoft Exchange Online

Por el equipo de QuantumSec

El correo corporativo es, a la vez, el canal de comunicación más usado de la empresa y uno de los objetivos favoritos de los atacantes: por ahí pasa el fraude del CEO, el phishing dirigido y buena parte del movimiento lateral tras un compromiso de cuenta. Una auditoría de Exchange Online va más allá de revisar si hay MFA activado: analiza permisos delegados, reglas de transporte, conectores y registros de auditoría para confirmar qué podría hacer realmente un atacante con acceso a un buzón.

Qué cubre una auditoría de seguridad de Exchange Online

  • Permisos delegados sobre buzones: quién tiene acceso Full Access, Send As o Send on Behalf sobre qué buzones, y si esos permisos siguen siendo necesarios.
  • Reglas de transporte y conectores: reglas que reenvían, copian o modifican correo de forma automática, y conectores mal configurados que permiten envío no autenticado.
  • Autenticación de dominio: configuración de SPF, DKIM y DMARC para evitar suplantación del dominio corporativo.
  • Registro de auditoría de buzones (Mailbox Audit Logging): qué se registra, durante cuánto tiempo y si permitiría reconstruir un incidente.
  • Acceso condicional y MFA aplicados específicamente al acceso a Exchange, incluyendo protocolos heredados (POP, IMAP, SMTP AUTH) que a menudo quedan fuera del control de acceso condicional.
  • Dominios aceptados y remitentes de confianza mal configurados.

Reglas de reenvío maliciosas: el vector más habitual de persistencia

Una de las técnicas de persistencia más comunes tras comprometer una cuenta de correo es crear una regla de reenvío silenciosa hacia una dirección externa. El atacante mantiene visibilidad sobre la correspondencia incluso después de que la víctima cambie su contraseña. Cubrimos este vector en detalle, con ejemplos concretos, en nuestro recurso dedicado a reglas de reenvío y fraude BEC.

Acceso delegado y permisos de buzón: el riesgo que casi nadie revisa

Los permisos Full Access y Send As se acumulan con el tiempo: un asistente que ya cambió de puesto, un consultor externo cuyo proyecto terminó hace meses, un buzón compartido con demasiadas personas con acceso completo. Cada uno de esos permisos es una vía de acceso a correspondencia sensible que rara vez se revisa después de concederse.

Conectores y dominios aceptados: el riesgo de convertirse en un relay abierto

Un conector mal configurado —pensado originalmente para permitir el envío desde un dispositivo o aplicación interna sin autenticación— puede acabar permitiendo que cualquiera en la red, o en algunos casos desde fuera, envíe correo suplantando el dominio corporativo. Es uno de los hallazgos que con más frecuencia sorprende a los equipos de IT cuando se revisa a fondo.

En qué se diferencia de una auditoría general de Microsoft 365

Una auditoría de Microsoft 365 cubre Exchange como uno de varios componentes, junto a Entra ID, SharePoint, Teams y OneDrive. Una auditoría centrada en Exchange profundiza específicamente en el correo: permisos de buzón, reglas de transporte, conectores y autenticación de dominio con un nivel de detalle que una revisión general del tenant no siempre alcanza. Tiene sentido como pieza independiente cuando el correo es el sistema de mayor criticidad o cuando ya se ha detectado actividad sospechosa relacionada con el correo.

FAQ

¿Necesitáis acceso de administrador global para auditar Exchange?

No. Basta con un rol de administrador de Exchange de solo lectura o un rol delegado con permisos de auditoría. Para pruebas activas concretas se acuerda el alcance de antemano.

¿Esta auditoría sustituye a la auditoría general de Microsoft 365?

No, la complementa. Si nunca habéis auditado el tenant, recomendamos empezar por la auditoría general de Microsoft 365. Esta auditoría centrada en Exchange tiene sentido como pieza independiente cuando el correo es especialmente crítico o tras un incidente relacionado con el correo.

¿Puede detectar si ya hay una regla de reenvío maliciosa activa?

Sí. La revisión de reglas de transporte y de buzón forma parte del alcance estándar, precisamente porque es una de las técnicas de persistencia más habituales tras un compromiso de cuenta.