Volver al Blog
Toma de control de cuentas de correo en 2026: detenga el BEC con MFA y auditorías de reglas de bandeja de entrada

Toma de control de cuentas de correo en 2026: detenga el BEC con MFA y auditorías de reglas de bandeja de entrada

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store3/6/2026

TL;DR: En 2026, la toma de control de cuentas de correo es el punto de partida más común del compromiso de correo electrónico empresarial (BEC) porque le da al atacante una identidad confiable dentro de su flujo de trabajo. El conjunto de prevención más confiable es: MFA obligatorio (no opcional), controles de acceso condicional y auditorías recurrentes de reglas maliciosas de bandeja de entrada y reenvío de buzón, respaldadas por SPF/DKIM/DMARC para reducir la suplantación.

Por qué la toma de control del correo impulsa el compromiso de correo electrónico empresarial en 2026

Desde un punto de vista operativo, el BEC funciona porque apunta a la parte más frágil de la infraestructura de la mayoría de las pequeñas empresas: los flujos de aprobación que dependen de la confianza en el correo electrónico. Los atacantes no necesitan malware en cada PC si pueden controlar un buzón que pueda aprobar pagos, solicitar transferencias bancarias o “confirmar” cambios bancarios.

Este es el diagrama del sistema que tengo en mente cuando llego a una limpieza por BEC:

  1. Captura de credenciales (phishing, reutilización de contraseñas, robo de tokens o credenciales filtradas).
  2. Persistencia en el buzón (reglas de bandeja de entrada, reenvío, dispositivos agregados o contraseñas de aplicaciones cuando se permiten).
  3. Secuestro de conversaciones (responder dentro de hilos existentes para evitar sospechas).
  4. Redirección de pagos (instrucciones ACH/transferencia, tarjetas de regalo, edición de facturas).
  5. Encubrimiento (eliminar, mover, marcar como leído, ocultar alertas).

El punto único de falla es predecible: si un usuario puede iniciar sesión solo con una contraseña, o si el reenvío y las reglas no se supervisan, el atacante puede operar silenciosamente durante días.

Qué es lo que realmente falla en entornos reales

  • El MFA está “disponible” pero no se aplica a todos los usuarios, especialmente ejecutivos y buzones compartidos.
  • La autenticación heredada o rutas de inicio de sesión más débiles siguen habilitadas, creando una puerta trasera que evita los controles modernos.
  • No hay revisiones rutinarias de reglas de bandeja de entrada, direcciones de reenvío o acceso delegado al buzón.
  • Verificación débil de pagos a proveedores (cambios de datos bancarios solo por correo electrónico).
  • Suplantación de dominio (dominios similares y nombres para mostrar falsificados) no se mitiga con SPF/DKIM/DMARC.

Prevención de toma de control de correo: despliegue de MFA que cierra puntos de falla

Permítame explicar el porqué antes del cómo. El MFA no se trata de “seguridad extra”. Se trata de eliminar la vía más barata para el atacante: una contraseña que puede ser pescada (phishing), adivinada, reutilizada o comprada. Esto funciona bien hasta que deja de funcionar. Y cuando deja de funcionar, falla de forma contundente porque el correo electrónico es un plano de control para restablecimientos, facturas y aprobaciones.

Paso 1: Aplique MFA en cada buzón que importe

En la práctica, “cada buzón que importe” significa todos los usuarios, además de cualquier cuenta con permisos elevados, acceso a finanzas, buzones compartidos con comunicación externa y cualquier cuenta que pueda aprobar pagos.

Consecuencia de un MFA parcial: los atacantes no necesitan comprometer a todos. Solo necesitan a la persona que puede mover dinero o influir en quien puede hacerlo.

Paso 2: Use acceso condicional para eliminar inicios de sesión “en modo fácil”

El acceso condicional es la forma de reducir la cantidad de maneras válidas de entrar al entorno. Piénselo como reducir la superficie de ataque de la identidad.

Controles que reducen el riesgo de toma de control de cuentas:

  1. Bloquee la autenticación heredada cuando sea posible. Los protocolos antiguos se abusan con frecuencia porque no pueden aplicar controles modernos fuertes de forma consistente.
  2. Exija MFA para todos los usuarios, con requisitos más estrictos para administradores.
  3. Restrinja inicios de sesión según señales de riesgo cuando su licencia y plataforma lo permitan (por ejemplo, desafiar o bloquear inicios de sesión anómalos).
  4. Exija dispositivos compatibles o administrados para acceder a buzones sensibles cuando sea viable.

Si el tiempo de actividad y la previsibilidad importan, este paso no es opcional. Sin acceso condicional, usted depende del comportamiento del usuario como control principal, y el comportamiento del usuario no es un control.

Detenga el BEC auditando reglas maliciosas de bandeja de entrada y el reenvío de buzones

Si quiere el control con mayor ROI después del MFA, es este: auditorías de reglas de bandeja de entrada y auditorías de reenvío. A los atacantes les encantan las reglas porque son automatización silenciosa. Convierten su buzón en un sistema de filtrado que oculta evidencia mientras el atacante ejecuta el flujo de fraude.

Reglas maliciosas comunes de bandeja de entrada usadas en el compromiso de correo empresarial

Estos son los modos de falla que veo repetidamente:

  • Move-to-Archive o reglas de mover a RSS para mensajes que contengan “invoice”, “wire”, “payment”, “ACH” o el nombre de un proveedor específico.
  • Reglas de eliminación para mensajes de su banco, proveedor de nómina o alertas de seguridad de Microsoft/Google.
  • Marcar como leído para reducir la probabilidad de que el usuario note nuevas advertencias entrantes.
  • Reglas de reenvío a una dirección externa para que el atacante pueda monitorear respuestas sin iniciar sesión repetidamente.
  • Patrones de respuesta/redirección que mantienen al usuario ocupado mientras el atacante trabaja el hilo real.

Consecuencia: usted pierde visibilidad. El atacante gana tiempo. El tiempo es lo que hace que el BEC sea costoso.

Lista de verificación para auditoría de reglas y reenvío (proceso repetible)

Ejecútelo como un control programado, no como una limpieza única.

  1. Inventarie todos los buzones (usuarios, buzones compartidos, cuentas de servicio que puedan recibir correo).
  2. Revise las reglas de bandeja de entrada de cada buzón y marque cualquier cosa que:
    • Mueva o elimine mensajes basándose en palabras clave financieras
    • Reenvíe a dominios externos
    • Apunte a notificaciones de seguridad
  3. Verifique el reenvío a nivel de buzón (no solo reglas de bandeja de entrada). Algunas plataformas permiten configurar el reenvío fuera de la lista de reglas del usuario.
  4. Revise el acceso delegado y permisos no autorizados del buzón.
  5. Revise los registros de inicio de sesión para viajes imposibles, dispositivos nuevos y direcciones IP inusuales.
  6. Documente los hallazgos y corrija mediante un flujo de trabajo con tickets para que el control sea auditable.

Para empresas que desean que esto se gestione como un control administrado, comience con una revisión de línea base de seguridad dentro de nuestros servicios de ciberseguridad para pequeñas empresas.

Controles contra suplantación de dominio: SPF, DKIM y DMARC (y por qué la alineación importa)

La autenticación de correo no es glamorosa, pero es infraestructura. SPF, DKIM y DMARC reducen la suplantación exitosa y mejoran su capacidad para rechazar correo fraudulento que afirma provenir de su dominio.

Qué hacen realmente SPF, DKIM y DMARC

  • SPF: publica qué servidores de correo están autorizados para enviar correo en nombre de su dominio.
  • DKIM: firma criptográficamente el correo saliente para que los destinatarios puedan verificar que no fue alterado y que está autorizado.
  • DMARC: indica a los receptores qué hacer cuando fallan las comprobaciones SPF/DKIM y proporciona reportes para que usted pueda ver intentos de abuso.

Consecuencia de omitir DMARC: no tendrá una política consistente del lado del receptor. Los mensajes suplantados aún pueden llegar a las bandejas de entrada, y tendrá menos reportes para detectar campañas de suplantación.

Mejores prácticas operativas para SPF/DKIM/DMARC

  1. Comience con un inventario preciso de remitentes: herramientas de marketing, CRMs, sistemas de tickets, copiadoras/impresoras que envían escaneos y cualquier relay de terceros.
  2. Habilite DKIM para su plataforma principal de correo y para los principales remitentes de terceros que lo soporten.
  3. Publique DMARC con reportes habilitados y luego avance la política hacia quarantine o reject una vez que confirme que las fuentes legítimas están alineadas.
  4. Monitoree los reportes DMARC y trate a los remitentes inesperados como un incidente hasta que se demuestre lo contrario.

Para educación continua sobre patrones de phishing y suplantación, Malwarebytes mantiene artículos prácticos que vale la pena revisar por encima: Recursos de Malwarebytes sobre phishing y amenazas por correo electrónico.

Capacitación de usuarios que reduce el compromiso de correo empresarial sin frenar el negocio

La capacitación falla cuando es abstracta. Funciona cuando se adapta al flujo de trabajo que las personas ya siguen. El objetivo no es convertir al personal en analistas. El objetivo es eliminar rutas de aprobación fáciles que los atacantes explotan.

Temas de capacitación que previenen BEC (enfocados en el flujo de trabajo)

  • Verificación de cambios de pago: los cambios de datos bancarios requieren una confirmación fuera de banda (llamar a un número conocido, no al de la firma del correo).
  • Verificación de nombre para mostrar y reply-to: el nombre en “From” no es identidad. Verifique la dirección real.
  • Disciplina en buzones compartidos: no compartir contraseñas, no reenviar a cuentas personales.
  • Proceso de reporte de phishing: un clic, un lugar, manejo consistente.

Humor seco, pero cierto: si su proceso contable puede ser anulado por un correo convincente, no es un proceso contable. Es un buzón de sugerencias.

Lista de verificación de respuesta a incidentes para un buzón comprometido (toma de control de correo)

Cuando un buzón se compromete, la velocidad importa, pero la secuencia importa más. Si restablece contraseñas sin eliminar la persistencia, puede terminar en un ciclo. Aquí tiene un flujo de respuesta práctico que reduce el riesgo de un compromiso repetido.

Contención: detener la hemorragia

  1. Deshabilite el inicio de sesión de la cuenta afectada temporalmente (o revoque sesiones) para cortar el acceso activo.
  2. Restablezca la contraseña a un valor fuerte y único y asegúrese de que el MFA esté aplicado antes de volver a habilitar el acceso.
  3. Revoque sesiones activas y tokens cuando su plataforma lo soporte.
  4. Verifique métodos de MFA agregados u opciones de recuperación sospechosas y elimine cualquier elemento no autorizado.

Erradicación: eliminar mecanismos de persistencia

  1. Elimine reglas maliciosas de bandeja de entrada y vuelva a verificar después de quitarlas.
  2. Deshabilite el reenvío externo y elimine direcciones de reenvío no autorizadas.
  3. Revise el acceso delegado y permisos del buzón por concesiones no autorizadas.
  4. Revise el acceso OAuth/de aplicaciones para detectar apps de terceros sospechosas con permisos sobre el buzón y elimínelas si no están aprobadas.

Recuperación: restaurar la confianza y prevenir eventos repetidos

  1. Notifique a las partes afectadas (equipos internos, proveedores, clientes) si se enviaron solicitudes fraudulentas.
  2. Busque indicadores en todos los buzones: reglas similares, reenvíos similares, líneas de asunto similares, mismo destinatario externo.
  3. Refuerce los controles de identidad (aplicación de MFA, endurecimiento de acceso condicional, bloqueo de rutas de inicio de sesión débiles).
  4. Verifique respaldos y retención de correo y archivos críticos para poder recuperar datos eliminados si es necesario.

Si el incidente implicó pérdida o manipulación de datos más allá del correo, necesita dos líneas de trabajo en paralelo: limpieza de endpoints y restauración de datos. Nuestro servicio de eliminación de virus y limpieza de amenazas se encarga de PCs comprometidas que pudieron contribuir al robo de credenciales, y nuestros servicios de recuperación de datos ayudan cuando se vieron afectados exportes de correo, archivos locales o unidades externas.

PYMES de Palm Beach County: plan práctico de endurecimiento para Microsoft 365 y Google Workspace

En Palm Beach County, la mayoría de los entornos de PYMES que veo tienen la misma limitación: poco tiempo de TI, muchos proveedores y el correo impulsando aprobaciones. Eso significa que su plan debe ser repetible.

Línea base de 30 días (prevención primero)

  1. Aplique MFA en todos los usuarios y administradores.
  2. Implemente políticas de acceso condicional adecuadas para su tenant y tolerancia al riesgo.
  3. Realice una auditoría de reglas de bandeja de entrada y reenvío en todos los buzones y luego prográmela.
  4. Implemente SPF/DKIM/DMARC con reportes y luego avance hacia una política DMARC más estricta una vez que esté alineado.
  5. Actualice los flujos de pago para que el correo no sea el único canal de autorización.

Controles continuos (lo que lo mantiene estable)

  • Mensual: revisión de reglas y reenvío, revisión de anomalías de inicio de sesión, verificación puntual del proceso de pago a proveedores.
  • Trimestral: revisión de acceso para buzones de finanzas, cuentas de administrador y permisos de apps de terceros.
  • Continuamente: respaldos y pruebas de recuperación. Los respaldos no son solo para ransomware. Son para recuperación operativa cuando las personas eliminan, los atacantes purgan o falla la retención.

Para empresas que necesitan una recuperación predecible, combine seguridad con una estrategia de respaldos probada. Comience aquí: respaldos empresariales administrados.

Cuándo pedir ayuda (y qué solicitar)

Si sospecha BEC o un buzón comprometido, el peor movimiento es tratarlo como “solo un problema de correo”. El correo es identidad, y la identidad toca todo.

Pídale a su proveedor de TI:

  • Endurecimiento de identidad: aplicación de MFA, acceso condicional, revisión de registros de inicio de sesión.
  • Forense ligera del buzón: reglas, reenvío, delegación, apps sospechosas, trazado de mensajes cuando esté disponible.
  • Controles de flujo de trabajo: verificación de cambios de pago, segmentación de buzones de finanzas, capacitación alineada con roles.
  • Preparación para recuperación: verificación de respaldos y pruebas de restauración.

Fix My PC Store apoya a PYMES en West Palm Beach, Palm Beach Gardens, Lake Worth Beach, Wellington, Royal Palm Beach, Jupiter y el resto de Palm Beach County. El objetivo es un correo “aburrido” que se comporte de manera predecible, porque lo aburrido es estable.

¿Le preocupa su seguridad?

Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad de Palm Beach County.

Asegure su sistema

También Te Puede Interesar