MENU
  1. Inicio
  2. Microsoft 365
  3. Rastreo IP correo comprometido en Microsoft 365: cómo obtener la dirección IP de origen y blindar la investigación

Rastreo IP correo comprometido en Microsoft 365: cómo obtener la dirección IP de origen y blindar la investigación

Microsoft 365

Un atacante que obtiene acceso a una cuenta de correo puede suplantar identidades, filtrar información y dañar la reputación de la empresa.  En estos casos, localizar la dirección IP desde la que se originó la acción es el primer paso para frenar el abuso y cimentar una denuncia penal eficaz.

Índice

¿Por qué es crucial identificar la IP de origen?

La dirección IP sirve como “huella” del dispositivo que inició sesión. Relacionarla con una fecha y hora exactas permite:

  • Vincular la acción con un abonado de internet concreto mediante su proveedor (ISP).
  • Determinar la posible localización geográfica del atacante para activar la jurisdicción correcta.
  • Aportar evidencia técnica sólida ante un juez o fiscal especializado en ciberdelitos.
  • Evaluar si otras cuentas de la misma red corporativa pueden estar comprometidas.

Limitaciones de los encabezados de correo

Mucha gente inicia la investigación leyendo los encabezados (“headers”) del mensaje reenviado. Sin embargo, en servicios en la nube como Microsoft 365 u Outlook.com solo se reflejan los saltos de servidor a servidor y, en el mejor de los casos, la IP del cliente SMTP que contactó el front‑end de Microsoft. Si el atacante usó la propia interfaz de Outlook en la web, la IP no se mostrará allí, sino en los registros internos de la plataforma.

Cómo interpretar la línea Received:

Lean las líneas de abajo hacia arriba; cada salto corresponde a un servidor intermedio. El primer salto revela el sistema que aceptó el mensaje de parte del cliente autenticado. Si es un servidor local o un smart host on‑premises, normalmente indicará la IP externa real. Pero si el correo fue enviado desde Outlook en la web, verán algo similar a:

Received: from BN8NAM04FT026.mail.protection.outlook.com (2603:10b6:5:5::19)...

En ese caso, se necesita la trazabilidad interna que ofrece Microsoft 365.

Profundizando en los registros de Microsoft 365

La suite de Microsoft 365 almacena metadatos detallados durante periodos que oscilan entre 30 días y varios años, dependiendo de la licencia y la configuración de retención. Estos registros son la pieza clave para descubrir la IP externa original.

Message Trace

En el Centro de administración de Exchange (Exchange Admin Center) se puede ejecutar una traza de mensajes (Message Trace). Esta herramienta revela:

  • Hora exacta del reenvío.
  • Dirección del remitente y destinatarios.
  • Acción realizada (RELAY, REDIRECT, FORWARD, etc.).

Aunque no siempre muestra la IP de inicio de sesión, confirma la Message ID y la existencia del evento para correlacionarlo con otros registros.

Unified Audit Log (UAL)

El Registro de auditoría unificado mantiene un histórico de cada operación relevante que se realiza dentro de Microsoft 365. Para acciones de correo, registra:

  • Operación (SendOnBehalf, Send, Forward, etc.).
  • Identificador de la sesión de Azure AD.
  • Dirección IP pública desde la que se autenticó el usuario.
  • Sistema operativo y agente de usuario.

La IP aquí consignada es la que buscamos, salvo que el atacante empleara una red TOR o VPN. Incluso entonces, será la IP de salida de ese túnel, útil para la investigación.

Azure AD Sign‑In Logs

Complementan al UAL mostrando:

  • Resultado de la autenticación (éxito o error).
  • Método de MFA utilizado o ausencia del mismo.
  • Latitud/longitud estimada y proveedor de internet.
  • Dispositivo y explorador.

Así se valida si la acción sospechosa provino de un dispositivo nunca antes visto o de una zona geográfica inconsistente con el patrón habitual del empleado.

eDiscovery y retención legal

Para preservar la evidencia sin alterar la cadena de custodia:

  1. Active un Legal Hold o Litigation Hold sobre el buzón afectado.
  2. Genere un caso de eDiscovery (Advanced eDiscovery) y exporte el conjunto pertinente.
  3. Incluya tanto el correo reenviado como los logs correlativos.

El paquete descargado incorpora hashes SHA‑256 y un informe de exportación que demuestran integridad.

Pasos recomendados paso a paso

PasoQué hacerPor qué es útil
1. Analizar los encabezados (“Headers”) del mensajeExaminar las líneas Received: de abajo hacia arriba. El primer salto revela la IP del servidor que aceptó el correo.Permite determinar si el origen es un servidor corporativo, de Microsoft/Google o un sistema local.
2. Usar los registros de Microsoft 365 / Exchange OnlineMessage Trace: fecha, remitente, acción de reenvío.
Unified Audit Log / Azure AD Sign‑In Logs: IP pública, dispositivo, ubicación aproximada.
eDiscovery: copia preservada para fines legales.		Estos registros contienen la IP que usó la sesión que realizó el reenvío, incluso si el encabezado solo muestra IPs de Microsoft.
3. Abrir un ticket en el Centro de administración de Microsoft 365Solicitar formalmente la investigación y la exportación de registros de auditoría.Facilita la cadena de custodia y la obtención de datos válidos en un proceso penal.
4. Involucrar a la policía o a un abogado especializadoEntregarles los registros; pueden requerir más datos a Microsoft mediante orden judicial.Permite vincular la IP con un proveedor de internet y, posteriormente, con una dirección física.
5. Asegurar la cuentaCambiar contraseña, habilitar MFA, revisar reglas de reenvío y cerrar sesiones activas.Evita nuevos accesos no autorizados.

Procedimiento de conservación y presentación de la evidencia

  1. Crear un repositorio inmutable (almacenamiento WORM o sistema de gestión de casos).
  2. Calcular un hash SHA‑256 de cada archivo exportado (correo, CSV de audit logs, archivos PST, JSON, etc.).
  3. Documentar la línea temporal desde el primer indicio hasta la intervención de las autoridades.
  4. Firmar digitalmente el informe si la política de la empresa lo permite.
  5. Asignar responsabilidades (quién recogió qué, cuándo y cómo) para mantener la cadena de custodia.

Esta metodología minimiza las impugnaciones sobre la validez técnica de la prueba.

Entrega de la evidencia a las autoridades

En la mayoría de jurisdicciones deberá presentarse una denuncia ante la unidad de delitos informáticos de la policía o fiscalía. Los agentes necesitarán:

  • Informe ejecutivo (máx. 2 páginas) que resuma qué ocurrió y qué se sospecha.
  • Soporte físico o enlace seguro donde descargar la evidencia.
  • Declaración jurada o diligencia interna que acredite la autenticidad de la información.
  • Datos de contacto del responsable de seguridad corporativa para futuras ampliaciones.

No entregue contraseñas ni datos de acceso; bastará con los hash y los archivos exportados.

Refuerzo preventivo del entorno

Activar MFA y políticas de acceso condicional

Una regla básica pero a menudo ignorada. MFA reduce en más del 99 % los accesos no autorizados. Combine con Conditional Access para bloquear inicios de sesión desde países no operativos o desde direcciones IP con mala reputación.

Auditoría continua y alertas

  • Habilite alertas en el Centro de cumplimiento de Microsoft 365 para eventos como Forwarding Succeeded o modificación de reglas de bandeja de entrada.
  • Integre los logs con un SIEM (Microsoft Sentinel, Splunk, etc.) para correlaciones a tiempo real.
  • Realice pruebas trimestrales de restauración de buzones y exportación de auditoría para asegurar que los procedimientos siguen vigentes.

Revisión de reglas y aplicaciones delegadas

Los atacantes suelen crear reglas de reenvío ocultas o aplicaciones OAuth persistentes. Revise:

  • Inbox rules que mueven mensajes a la carpeta “RSS” o eliminan notificaciones.
  • Aplicaciones con Mailbox.ReadWrite o permisos análogos.

Preguntas frecuentes

¿Puede Microsoft proporcionar la IP real de forma directa?

Sí, mediante orden judicial o solicitud policial basada en los registros descritos. Como cliente, la empresa obtendrá la IP en el Unified Audit Log, que suele bastar para la investigación preliminar.

¿Qué pasa si el atacante usó una VPN o la red TOR?

La IP registrada será la del nodo de salida de la VPN/TOR. Aun así, esto permite solicitar datos al proveedor de la VPN o, en el caso de TOR, acotar la hora exacta y buscar otras evidencias que relacionen al sospechoso con ese intervalo de tiempo.

¿Cuánto tiempo se conservan los registros?

Message Trace: hasta 90 días (30 por defecto). Unified Audit Log: 90 días para licencias estándar; hasta 365 días o más con E5 o retención avanzada. Sign‑In Logs: 30 días en Azure AD gratuito, 90 días en P1/P2. Configure Diagnostic Settings para archivarlos en un Log Analytics Workspace y guardarlos indefinidamente.

Conclusiones

Determinar la dirección IP desde la que se reenvió un correo fraudulento es totalmente viable siempre que la organización:

  1. Preserve los registros adecuados (Message Trace, UAL, Sign‑In Logs).
  2. Applique un proceso forense con cadena de custodia.
  3. Involucre a las autoridades para vincular la IP con una identidad física.
  4. Refuerce la seguridad de la cuenta para evitar reincidencias.

Un manejo correcto de los logs y una coordinación temprana con el soporte de Microsoft convierten una investigación aparentemente imposible en un caso sólido ante la justicia.

Microsoft 365
seguridad correo electrónico Microsoft 365 Exchange Online auditoría forense
Índice