Respuesta a una cuenta de correo electrónico en peligro

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la versión de prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Las credenciales controlan el acceso a buzones, datos y otros servicios de Microsoft 365. Cuando alguien roba esas credenciales, se considera que la cuenta asociada está en peligro.

Después de que un atacante roba las credenciales y obtiene acceso a la cuenta, puede acceder al buzón de Microsoft 365 asociado, carpetas de SharePoint o archivos en OneDrive del usuario. Los atacantes suelen usar el buzón en peligro para enviar correo electrónico como usuario original a destinatarios dentro y fuera de la organización. Los atacantes que usan correo electrónico para enviar datos a destinatarios externos se conocen como filtración de datos.

En este artículo se explican los síntomas del riesgo de la cuenta y cómo recuperar el control de la cuenta en peligro.

Síntomas de una cuenta de correo electrónico de Microsoft en peligro

Los usuarios pueden observar e informar sobre actividad inusual en sus buzones de Microsoft 365. Por ejemplo:

• Actividad sospechosa, como falta o elimina correo electrónico.
• Los usuarios que reciben correo electrónico de la cuenta en peligro sin el correo electrónico correspondiente en la carpeta Elementos enviados del remitente.
• Reglas de bandeja de entrada sospechosas. Estas reglas pueden reenviar automáticamente el correo electrónico a direcciones desconocidas o mover mensajes a las carpetas Notas, Correo electrónico no deseado o Suscripciones RSS .
• El nombre para mostrar del usuario se cambia en la lista global de direcciones.
• El buzón del usuario está bloqueado para enviar correo electrónico.
• Las carpetas Elementos enviados o Elementos eliminados de Microsoft Outlook o Outlook en la web (anteriormente conocidas como Outlook Web App) contienen mensajes típicos para cuentas en peligro (por ejemplo, "Estoy atascado en Londres, envío de dinero").
• Cambios de perfil inusuales. Por ejemplo, el nombre, el número de teléfono o las actualizaciones de código postal.
• Varios y frecuentes cambios de contraseña.
• Se ha agregado recientemente el reenvío de correo electrónico externo.
• Firmas de mensajes de correo electrónico inusuales. Por ejemplo, una firma bancaria falsa o una firma de medicamentos recetados.

Debe investigar inmediatamente si un usuario informa de estos u otros síntomas inusuales. El portal de Microsoft Defender y Azure Portal ofrecen las siguientes herramientas para ayudarle a investigar actividades sospechosas en una cuenta de usuario:

• Registros de auditoría unificados en el portal de Microsoft Defender: Filtre los registros de actividad mediante un intervalo de fechas que se inicia inmediatamente antes de que se produzca la actividad sospechosa hasta hoy. No filtre por actividades específicas durante la búsqueda. Para obtener más información, vea Buscar en el registro de auditoría.

• Registros de inicio de sesión de Microsoft Entra y otros informes de riesgo en el Centro de administración de Microsoft Entra: Examine los valores de estas columnas:

  • Revise la dirección IP
  • ubicaciones de inicio de sesión
  • horas de inicio de sesión
  • inicios de sesión correctos y fallidos

Importante

El botón siguiente le permite probar e identificar la actividad sospechosa de la cuenta. Puede usar esta información para recuperar una cuenta en peligro.

Ejecutar pruebas: cuentas en peligro

Protección y restauración de la función de correo electrónico en una cuenta y buzón de Correo de Microsoft 365 en peligro

Incluso después de que el usuario recupere el acceso a su cuenta, el atacante podría dejar entradas de puerta trasera que puedan recuperar el control de la cuenta.

Realice todos los pasos siguientes para recuperar el control de la cuenta. Siga los pasos tan pronto como sospeche de un problema y lo antes posible para asegurarse de que el atacante no recupera el control de la cuenta. Estos pasos también le ayudan a quitar las entradas de puerta trasera que el atacante agregó a la cuenta. Después de realizar estos pasos, se recomienda ejecutar un examen de virus para asegurarse de que el equipo cliente no está en peligro.

Paso 1: Restablecer la contraseña del usuario

Siga los procedimientos que se describen en Restablecer una contraseña de empresa para un usuario.

Importante

• No envíe la nueva contraseña al usuario por correo electrónico, ya que el atacante todavía tiene acceso al buzón en este momento.

• Asegúrese de usar una contraseña segura: letras mayúsculas y minúsculas, al menos un número y al menos un carácter especial.

• Incluso si el requisito de historial de contraseñas lo permite, no reutilice ninguna de las cinco últimas contraseñas. Use una contraseña única que el atacante no pueda adivinar.

• Si la identidad del usuario está federada con Microsoft 365, debe cambiar la contraseña de la cuenta en el entorno local y, a continuación, notificar al administrador el riesgo.

• Asegúrese de actualizar las contraseñas de aplicación. Las contraseñas de aplicación no se revocan automáticamente al restablecer la contraseña. El usuario debe eliminar las contraseñas de aplicación existentes y crear otras nuevas. Para obtener instrucciones, consulte Administración de contraseñas de aplicación para la verificación en dos pasos.

• Se recomienda encarecidamente habilitar la autenticación multifactor (MFA) para la cuenta. MFA es una buena manera de ayudar a evitar el riesgo de cuentas y es muy importante para las cuentas con privilegios administrativos. Para obtener instrucciones, consulte Configuración de la autenticación multifactor.

Paso 2: Quitar direcciones de reenvío de correo electrónico sospechosas

1. En el Centro de administración de Microsoft 365 en https://admin.microsoft.com, vaya a Usuarios>activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.

2. En la página Usuarios activos , busque la cuenta de usuario y selecciónela haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre.

3. En el control flotante de detalles que se abre, seleccione la pestaña Correo .

4. En la pestaña Correo , el valor Aplicado en la sección Reenvío de correo electrónico indica que el reenvío de correo está configurado en la cuenta. Para quitarlo, siga estos pasos:

   • Seleccione Administrar reenvío de correo electrónico.
   • En el control flotante Administrar reenvío de correo electrónico que se abre, desactive la casilla Reenviar todo el correo electrónico enviado a este buzón y, a continuación, seleccione Guardar cambios.

Paso 3: Deshabilitar reglas sospechosas de bandeja de entrada

1. Inicie sesión en el buzón del usuario con Outlook en la Web.

2. Seleccione Configuración (icono de engranaje), escriba "reglas" en el cuadro Configuración de búsqueda y, a continuación, seleccione Reglas de bandeja de entrada en los resultados.

3. En el control flotante Reglas que se abre, revise las reglas existentes y desactive o elimine las reglas sospechosas.

Paso 4: Desbloquear el envío de correo por parte del usuario

Si la cuenta se usó para enviar correo no deseado o un gran volumen de correo electrónico, es probable que el buzón esté bloqueado para enviar correo.

Para desbloquear un buzón para que no envíe correo electrónico, siga los procedimientos descritos en Quitar usuarios bloqueados de la página Entidades restringidas.

Paso 5 opcional: Bloquear la cuenta de usuario para impedir el inicio de sesión

Importante

Puede impedir que la cuenta inicie sesión hasta que crea que es seguro volver a habilitar el acceso.

1. Realice los pasos siguientes en el Centro de administración de Microsoft 365 en https://admin.microsoft.com:

   1. Vaya a Usuarios>usuarios activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.
   2. En la página Usuarios activos , busque y seleccione la cuenta de usuario de la lista siguiendo uno de los pasos siguientes:
      • Seleccione el usuario haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. En el control flotante de detalles que se abre, seleccione Bloquear inicio de sesión en la parte superior del control flotante.
      • Seleccione el usuario activando la casilla situada junto al nombre. Seleccione Más acciones>Editar estado de inicio de sesión.
   3. En el control flotante Bloquear inicio de sesión que se abre, lea la información, seleccione Bloquear el inicio de sesión de este usuario, seleccione Guardar cambios y, a continuación, seleccione Cerrar en la parte superior del control flotante.

2. Realice los pasos siguientes en el Centro de administración de Exchange (EAC) en https://admin.exchange.microsoft.com:

   1. Vaya aBuzones dedestinatarios>. O bien, para ir directamente a la página Buzones , use https://admin.exchange.microsoft.com/#/mailboxes.

   2. En la página Administrar buzones , busque y seleccione el usuario de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla de verificación redonda que aparece junto al nombre.

   3. En el control flotante de detalles que se abre, siga estos pasos:

      1. Compruebe que la pestaña General está seleccionada y, a continuación, seleccione Administrar la configuración de aplicaciones de correo electrónico en la sección Aplicaciones de correo electrónico & dispositivos móviles .
      2. En el control flotante Administrar la configuración de las aplicaciones de correo electrónico que se abre, deshabilite todas las opciones disponibles cambiando el botón de alternancia a Deshabilitado:
         • Outlook para escritorio (MAPI)
         • Servicios Web de Exchange
         • Móvil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook en la web

      Cuando haya terminado en el control flotante Administrar la configuración de las aplicaciones de correo electrónico , seleccione Guardar y, a continuación, seleccione Cerrar en la parte superior del control flotante.

Paso 6 Opcional: Quitar la cuenta en peligro sospechosa de todos los roles administrativos

Nota:

Puede restaurar la pertenencia del usuario a roles administrativos después de proteger la cuenta.

1. En el Centro de administración de Microsoft 365 en https://admin.microsoft.com, siga estos pasos:

   1. Vaya a Usuarios>usuarios activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.

   2. En la página Usuarios activos , busque y seleccione la cuenta de usuario de la lista siguiendo uno de los pasos siguientes:

      • Seleccione el usuario haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. En el control flotante de detalles que se abre, compruebe que la pestaña Cuenta está seleccionada y, a continuación, seleccione Administrar roles en la sección Roles .
      • Seleccione el usuario activando la casilla situada junto al nombre. Seleccione Más acciones>Administrar roles.

   3. En el control flotante Administrar roles de administrador que se abre, siga estos pasos:

      • Registre toda la información que quiera restaurar más adelante.
      • Para quitar la pertenencia a roles administrativos, seleccione Usuario (sin acceso al centro de administración).

      Cuando haya terminado en el control flotante Administrar roles de administrador , seleccione Guardar cambios.

2. En el portal de Microsoft Defender en https://security.microsoft.com, siga estos pasos:

   1. Vaya a Permisos>Correo electrónico & roles> de colaboraciónRoles. O bien, para ir directamente a la página Permisos , use https://security.microsoft.com/emailandcollabpermissions.

   2. En la página Permisos , seleccione un grupo de roles de la lista seleccionando la casilla situada junto al nombre (por ejemplo, Administración de la organización) y, a continuación, seleccionando Editar acción que aparece.

   3. En la página Editar miembros del grupo de roles que se abre, revise la lista de miembros. Si el grupo de roles contiene la cuenta de usuario, quite el usuario seleccionando la casilla situada junto al nombre y, a continuación, seleccionando Quitar miembros.

      Cuando haya terminado en la página Editar miembros del grupo de roles , seleccione Siguiente.

   4. En la página Revisar el grupo de roles y finalizar , revise la información y, a continuación, seleccione Guardar.

   5. Repita los pasos anteriores para cada grupo de roles de la lista.

3. En el Centro de administración de Exchange en https://admin.exchange.microsoft.com/, siga estos pasos:

   1. Vaya a Roles>de administrador de roles. O bien, para ir directamente a la página Roles de administrador , use https://admin.exchange.microsoft.com/#/adminRoles.

   2. En la página Roles de administrador , seleccione un grupo de roles de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla de verificación redonda que aparece junto al nombre.

   3. En el control flotante de detalles que se abre, seleccione la pestaña Asignado y busque la cuenta de usuario. Si el grupo de roles contiene la cuenta de usuario, siga estos pasos:

      1. Seleccione la cuenta de usuario activando la casilla de verificación redonda que aparece junto al nombre.
      2. Seleccione la acción Eliminar que aparece, seleccione Sí, quite en el cuadro de diálogo de advertencia y, a continuación, seleccione Cerrar en la parte superior del control flotante.

   4. Repita los pasos anteriores para cada grupo de roles de la lista.

Paso 7 opcional: Pasos de precauciones adicionales

1. Compruebe el contenido de la carpeta Elementos enviados de la cuenta en Outlook o Outlook en la web.

   Es posible que tenga que informar a los contactos del usuario de que la cuenta está en peligro. Por ejemplo, es posible que el atacante haya enviado mensajes pidiendo a los contactos dinero, o que el atacante haya enviado un virus para secuestrar sus equipos.

2. Otros servicios que usan esta cuenta como dirección de correo electrónico alternativa también podrían verse comprometidos. Después de realizar los pasos de este artículo para la cuenta de esta organización de Microsoft 365, realice los pasos correspondientes en los demás servicios.

3. Compruebe la información de contacto (por ejemplo, números de teléfono y direcciones) de la cuenta.

Vea también

• Detectar y corregir las reglas de Outlook y ataques de inserciones de formularios personalizados en Microsoft 365
• Detección y corrección de concesiones de consentimiento ilícitas
• Centro de Quejas de Crímenes por Internet
• Bolsas de valores de EE. UU.: Fraude de suplantación de identidad
• Use el complemento Mensaje de informe para informar directamente del correo electrónico no deseado a Microsoft o a los administradores (en función de cómo se configure la configuración notificada por el usuario ).