Respuesta a una cuenta de correo electrónico en peligro

• Se aplica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

El acceso a buzones, datos y otros servicios de Microsoft 365 se controla mediante credenciales (por ejemplo, un nombre de usuario y una contraseña o un PIN). Cuando alguien que no sea el usuario previsto roba esas credenciales, se considera que la cuenta asociada está en peligro.

Después de que un atacante roba las credenciales y obtiene acceso a la cuenta, puede acceder al buzón de Microsoft 365 asociado, carpetas de SharePoint o archivos en OneDrive del usuario. Los atacantes suelen usar el buzón en peligro para enviar correo electrónico como usuario original a destinatarios dentro y fuera de la organización. Los atacantes que usan correo electrónico para enviar datos a destinatarios externos se conocen como filtración de datos.

En este artículo se explican los síntomas del riesgo de la cuenta y cómo recuperar el control de la cuenta en peligro.

Síntomas de una cuenta de correo electrónico de Microsoft en peligro

Los usuarios pueden observar e informar sobre actividad inusual en sus buzones de Microsoft 365. Por ejemplo:

• Actividad sospechosa, como falta o elimina correo electrónico.
• Los usuarios que reciben correo electrónico de la cuenta en peligro sin el correo electrónico correspondiente en la carpeta Elementos enviados del remitente.
• Reglas de bandeja de entrada que no crearon el usuario o los administradores. Estas reglas pueden reenviar automáticamente el correo electrónico a direcciones desconocidas o mover mensajes a las carpetas Notas, Email no deseado o Suscripciones RSS.
• El nombre para mostrar del usuario se cambia en la lista global de direcciones.
• El buzón del usuario está bloqueado para enviar correo electrónico.
• Las carpetas Elementos enviados o Elementos eliminados de Microsoft Outlook o Outlook en la Web (anteriormente conocidas como Outlook Web App) contienen mensajes típicos para cuentas en peligro (por ejemplo, "Estoy atascado en Londres, envío de dinero").
• Cambios de perfil inusuales. Por ejemplo, el nombre, el número de teléfono o el código postal se actualizan.
• Varios y frecuentes cambios de contraseña.
• Se ha agregado recientemente el reenvío de correo.
• Recientemente se agregaron firmas inusuales. Por ejemplo, una firma bancaria falsa o una firma de medicamentos recetados.

Si un usuario informa de estos síntomas u otros síntomas inusuales, debe investigar. El portal de Microsoft Defender y el Azure Portal ofrecen las siguientes herramientas para ayudarle a investigar actividades sospechosas en una cuenta de usuario.

• Registros de auditoría unificados en el portal de Microsoft Defender: Filtre los registros de actividad mediante un intervalo de fechas que comienza inmediatamente antes de que se produzca la actividad sospechosa hasta hoy. No filtre por actividades específicas durante la búsqueda. Para obtener más información, vea Buscar en el registro de auditoría.

• Microsoft Entra registros de inicio de sesión y otros informes de riesgo en el Centro de administración Microsoft Entra: Examine los valores de estas columnas:

  • Revise la dirección IP
  • ubicaciones de inicio de sesión
  • horas de inicio de sesión
  • inicios de sesión correctos y fallidos

Importante

El botón siguiente le permite probar e identificar la actividad sospechosa de la cuenta. Puede usar esta información para recuperar una cuenta en peligro.

Ejecutar pruebas: cuentas en peligro

Protección y restauración de la función de correo electrónico en una cuenta y buzón de Correo de Microsoft 365 en peligro

Incluso después de que el usuario recupere el acceso a su cuenta, es posible que el atacante haya dejado entradas de puerta trasera que permiten al atacante reanudar el control de la cuenta.

Realice todos los pasos siguientes para recuperar el control de la cuenta. Siga los pasos tan pronto como sospeche de un problema y lo antes posible para asegurarse de que el atacante no reanuda el control de la cuenta. Estos pasos también le ayudan a quitar las entradas de puerta trasera que el atacante podría haber agregado a la cuenta. Después de realizar estos pasos, se recomienda ejecutar un examen de virus para asegurarse de que el equipo cliente no está en peligro.

Paso 1: Restablecer la contraseña del usuario

Siga los procedimientos que se describen en Restablecer una contraseña de empresa para un usuario.

Importante

• No envíe la nueva contraseña al usuario por correo electrónico, ya que el atacante todavía tiene acceso al buzón en este momento.

• Asegúrese de usar una contraseña segura: letras mayúsculas y minúsculas, al menos un número y al menos un carácter especial.

• Incluso si el requisito de historial de contraseñas lo permite, no reutilice ninguna de las cinco últimas contraseñas. Use una contraseña única que el atacante no pueda adivinar.

• Si la identidad local está federada con Microsoft 365, debe cambiar la contraseña de la cuenta local local y, a continuación, notificar al administrador el peligro.

• Asegúrese de actualizar las contraseñas de aplicación. Las contraseñas de aplicación no se revocan automáticamente al restablecer la contraseña. El usuario debe eliminar las contraseñas de aplicación existentes y crear otras nuevas. Para obtener instrucciones, consulte Administración de contraseñas de aplicación para la verificación en dos pasos.

• Se recomienda encarecidamente habilitar la autenticación multifactor (MFA) para la cuenta. MFA es una buena manera de ayudar a evitar el riesgo de cuentas y es muy importante para las cuentas con privilegios administrativos. Para obtener instrucciones, consulte Configuración de la autenticación multifactor.

Paso 2: Quitar direcciones de reenvío de correo electrónico sospechosas

1. En la Centro de administración de Microsoft 365 en https://admin.microsoft.com, vaya a Usuarios>usuarios activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.

2. En la página Usuarios activos , busque la cuenta de usuario y selecciónela haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre.

3. En el control flotante de detalles que se abre, seleccione la pestaña Correo .

4. El valor Aplicado en la sección de reenvío de Email indica que el reenvío de correo está configurado en la cuenta.

   Seleccione Administrar reenvío de correo electrónico, desactive la casilla Reenviar todo el correo electrónico enviado a este buzón en el control flotante Administrar reenvío de correo electrónico que se abre y, a continuación, seleccione Guardar cambios.

Paso 3: Deshabilitar reglas sospechosas de bandeja de entrada

1. Inicie sesión en el buzón del usuario con Outlook en la Web.

2. Seleccione Configuración (icono de engranaje), escriba "reglas" en el cuadro Buscar y, a continuación, seleccione Reglas de bandeja de entrada en los resultados.

3. En la pestaña Reglas del control flotante que se abre, revise las reglas existentes y desactive o elimine las reglas sospechosas.

Paso 4: Desbloquear el envío de correo por parte del usuario

Si la cuenta se usó para enviar correo no deseado o un gran volumen de correo electrónico, es probable que el buzón se haya bloqueado para enviar correo.

Para desbloquear un buzón para que no envíe correo electrónico, siga los procedimientos descritos en Quitar usuarios bloqueados de la página Entidades restringidas.

Paso 5 opcional: Bloquear la cuenta de usuario para impedir el inicio de sesión

Importante

Puede impedir que la cuenta inicie sesión hasta que crea que es seguro volver a habilitar el acceso.

1. Siga estos pasos en la Centro de administración de Microsoft 365 en https://admin.microsoft.com:

   1. Vaya a Usuarios>usuarios activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.
   2. En la página Usuarios activos , busque y seleccione la cuenta de usuario de la lista siguiendo uno de los pasos siguientes:
      • Seleccione el usuario haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. En el control flotante de detalles que se abre, seleccione Bloquear inicio de sesión en la parte superior del control flotante.
      • Seleccione el usuario activando la casilla situada junto al nombre. Seleccione Más acciones>Editar estado de inicio de sesión.
   3. En el control flotante Bloquear inicio de sesión que se abre, lea la información, seleccione Bloquear el inicio de sesión de este usuario, seleccione Guardar cambios y, a continuación, seleccione Cerrar en la parte superior del control flotante.

2. Realice los pasos siguientes en el Centro de administración de Exchange (EAC) en https://admin.exchange.microsoft.com:

   1. Vaya aBuzones dedestinatarios>. O bien, para ir directamente a la página Buzones , use https://admin.exchange.microsoft.com/#/mailboxes.
   2. En la página Buzones , busque y seleccione el usuario de la lista siguiendo uno de los pasos siguientes:
      • Seleccione el usuario haciendo clic en cualquier lugar de la fila que no sea la casilla de verificación redonda que aparece junto al nombre.
      • Seleccione el usuario seleccionando la casilla de verificación redonda que aparece junto al nombre y, a continuación, seleccionando la acción Editar que aparece en la página.
   3. En el control flotante de detalles que se abre, siga estos pasos:

      1. Compruebe que la pestaña General está seleccionada y, a continuación, seleccione Administrar la configuración de aplicaciones de correo electrónico en la sección aplicaciones Email & dispositivos móviles.

      2. En el control flotante Administrar la configuración de las aplicaciones de correo electrónico que se abre, deshabilite todas las opciones disponibles cambiando el botón de alternancia a Deshabilitado:

         • Outlook para escritorio (MAPI)
         • Servicios Web de Exchange
         • Móvil (Exchange ActiveSync)
         • IMAP
         • POP3
         • Outlook en la web

         Cuando haya terminado en el control flotante Administrar la configuración de las aplicaciones de correo electrónico , seleccione Guardar y, a continuación, seleccione Cerrar en la parte superior del control flotante.

Paso 6 opcional: Quitar la cuenta en peligro de todos los grupos de roles administrativos

Nota:

Puede restaurar la pertenencia del usuario a grupos de roles administrativos después de proteger la cuenta.

1. En el Centro de administración de Microsoft 365 en https://admin.microsoft.com, siga estos pasos:

   1. Vaya a Usuarios>usuarios activos. O bien, para ir directamente a la página Usuarios activos , use https://admin.microsoft.com/Adminportal/Home#/users.

   2. En la página Usuarios activos , busque y seleccione la cuenta de usuario de la lista siguiendo uno de los pasos siguientes:

      • Seleccione el usuario haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. En el control flotante de detalles que se abre, compruebe que la pestaña Cuenta está seleccionada y, a continuación, seleccione Administrar roles en la sección Roles .
      • Seleccione el usuario activando la casilla situada junto al nombre. Seleccione Más acciones>Administrar roles.

   3. En el control flotante Administrar roles de administrador que se abre, siga estos pasos:

      • Registre toda la información que quiera restaurar más adelante.
      • Para quitar la pertenencia a roles administrativos, seleccione Usuario (sin acceso al centro de administración).

      Cuando haya terminado en el control flotante Administrar roles de administrador , seleccione Guardar cambios.

2. En el portal de Microsoft Defender en https://security.microsoft.com, siga estos pasos:

   1. Vaya a Permisos>Email & roles> de colaboraciónRoles. O bien, para ir directamente a la página Permisos , use https://security.microsoft.com/emailandcollabpermissions.
   2. En la página Permisos , seleccione un grupo de roles de la lista.
   3. Busque la cuenta de usuario en la sección Miembros del control flotante de detalles que se abre. Si el grupo de roles contiene la cuenta de usuario, siga estos pasos:
      1. En la sección Miembros , seleccione Editar.
      2. En la pestaña Elegir miembros del control flotante que se abre, seleccione Editar.
      3. En el control flotante Elegir miembros que se abre, seleccione Quitar.
      4. En la sección Miembros que aparece, seleccione la cuenta de usuario; para ello, active la casilla situada junto al nombre, seleccione Quitar y, a continuación, seleccione Listo.
      5. En el control flotante Editar elegir miembros , seleccione Guardar.
      6. En el control flotante de detalles del grupo de roles, seleccione Cerrar.
   4. Repita los pasos anteriores para cada grupo de roles de la lista.

3. En el Centro de administración de Exchange en https://admin.exchange.microsoft.com/, siga estos pasos:

   1. Vaya a Roles>Administración roles. O bien, para ir directamente a la página Administración roles, use https://admin.exchange.microsoft.com/#/adminRoles.

   2. En la página Administración roles, seleccione un grupo de roles de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla de verificación redonda que aparece junto al nombre.

   3. En el control flotante de detalles que se abre, seleccione la pestaña Asignado y busque la cuenta de usuario. Si el grupo de roles contiene la cuenta de usuario, siga estos pasos:

      1. Seleccione la cuenta de usuario.
      2. Seleccione la acción Eliminar que aparece, seleccione Sí, quite en el cuadro de diálogo de advertencia y, a continuación, seleccione Cerrar en la parte superior del control flotante.

   4. Repita los pasos anteriores para cada grupo de roles de la lista.

Paso 7 opcional: Pasos de precauciones adicionales

1. Compruebe el contenido de la carpeta Elementos enviados de la cuenta en Outlook o Outlook en la Web.

   Es posible que deba informar a los usuarios de la lista de contactos de que su cuenta está en peligro. Por ejemplo, es posible que el atacante haya enviado mensajes pidiendo dinero a los contactos o que el atacante haya enviado un virus para secuestrar sus equipos.

2. Es posible que también se hayan puesto en peligro las cuentas de cualquier otro servicio que use esta cuenta como una cuenta de correo electrónico alternativa. Después de realizar los pasos de este artículo para la cuenta de esta organización de Microsoft 365, realice estos pasos para las otras cuentas.

3. Compruebe la información de contacto (por ejemplo, números de teléfono y direcciones) de la cuenta.

Vea también

• Detectar y corregir las reglas de Outlook y ataques de inserciones de formularios personalizados en Microsoft 365
• Detección y corrección de concesiones de consentimiento ilícitas
• Centro de Quejas de Crímenes por Internet
• Bolsas de valores de EE. UU.: Fraude de suplantación de identidad
• Para informar directamente a Microsoft y su administrador sobre el correo no deseado Use el complemento Informar sobre el mensaje