Reglas de reenvío maliciosas en Exchange Online: la base del fraude del CEO

Casi todos los casos de fraude del CEO (Business Email Compromise) que investigamos comparten un mismo elemento técnico: una regla de reenvío o de bandeja de entrada creada por el atacante tras comprometer una cuenta de Exchange Online, que le permite vigilar las conversaciones de facturación durante semanas antes de intervenir en el momento oportuno.

Cómo se construye un fraude BEC sobre una regla de reenvío

Tras comprometer una cuenta de correo —normalmente vía phishing AiTM o consentimiento OAuth ilícito—, el atacante no actúa de inmediato. Crea una regla de bandeja de entrada que reenvía en silencio (o mueve a una carpeta oculta) los correos relacionados con facturas, pagos o negociaciones en curso. Durante semanas, observa el patrón de comunicación real entre la víctima y sus proveedores o clientes: importes habituales, tono de los correos, momentos de mayor actividad. Cuando detecta una transacción de valor elevado, interviene con un correo que imita el estilo real de la conversación, pidiendo un cambio de cuenta bancaria de última hora.

Por qué las reglas maliciosas son difíciles de detectar a simple vista

Una regla de reenvío o de movimiento a carpeta no genera ninguna alerta visible para el usuario en su experiencia normal de correo: no hay notificación, no cambia el aspecto del buzón, y muchas veces se nombra de forma discreta o incluso se oculta usando reglas que mueven directamente a la carpeta de elementos eliminados los correos de alerta de seguridad de Microsoft. El usuario sigue viendo y respondiendo correo con normalidad, sin saber que una copia —o el original— está siendo desviada.

Reglas de transporte a nivel de organización: el vector menos vigilado

Además de las reglas a nivel de buzón individual, Exchange Online permite reglas de flujo de correo (transport rules) a nivel de organización. Un atacante con privilegios administrativos comprometidos puede crear una regla de transporte que afecte a todos los usuarios o a un grupo específico —por ejemplo, reenviando copia oculta de todo el correo del departamento financiero a una dirección externa—, con un impacto mucho mayor que una regla de buzón individual y, precisamente por eso, con menos frecuencia de revisión en las auditorías habituales.

Cómo detectar y prevenir este vector

Las medidas más efectivas son: desactivar el reenvío automático externo a nivel de tenant y exigir aprobación explícita para excepciones; auditar periódicamente tanto las reglas de bandeja de entrada de cada buzón como las reglas de transporte de la organización, buscando reenvíos a dominios externos o nombres de regla sospechosos; activar alertas del Unified Audit Log cuando se crea una nueva regla de reenvío; y, tras cualquier incidente de compromiso de cuenta, revisar explícitamente las reglas como parte del proceso de contención, no solo cambiar la contraseña.

FAQ

¿El MFA me protege del fraude del CEO basado en reglas de reenvío?

Ayuda a evitar el compromiso inicial de la cuenta, pero no es infalible: el phishing AiTM puede robar la sesión saltándose el MFA, y el consentimiento OAuth ilícito ni siquiera requiere la contraseña. Por eso la detección de reglas de reenvío anómalas es una capa de defensa independiente y necesaria.

¿Cómo distingo una regla de reenvío legítima de una maliciosa?

Las reglas legítimas suelen reenviar a direcciones corporativas conocidas por un motivo documentado (baja temporal, delegación). Cualquier regla que reenvíe a un dominio externo desconocido, que oculte o elimine automáticamente correos de alerta, o que se haya creado sin conocimiento del usuario, debe tratarse como sospechosa y revisarse de inmediato.