MENU
  1. Inicio
  2. MS Office
  3. Outlook
  4. Cómo detener la exportación de un buzón comprometido en Outlook y Microsoft 365

Cómo detener la exportación de un buzón comprometido en Outlook y Microsoft 365

Outlook

Cuando un atacante logra acceso a tu cuenta de correo puede iniciar la exportación masiva del buzón para robar todo tu historial de mensajes, contactos y archivos adjuntos. A continuación encontrarás un procedimiento exhaustivo para interrumpir de inmediato esa extracción y blindar tu cuenta a futuro.

Índice

¿Por qué es urgente frenar la exportación?

Los clientes de correo (Outlook, Thunderbird, dispositivos móviles, etc.) permiten descargar todos los mensajes mediante protocolos como IMAP, POP o MAPI. Una vez descargados, tu información queda fuera de tu control y el atacante puede:

  • Reconstruir tu historial completo de conversaciones.
  • Robar datos personales, contraseñas, contratos, facturas o información sensible de tu empresa.
  • Preparar ataques de suplantación de identidad (phishing interno) dirigidos a tus contactos de confianza.
  • Vender la información en foros clandestinos o exponerla públicamente.

Señales de que tu buzón podría estar exportándose

  • Aparición de reglas extrañas que reenvían correos a direcciones desconocidas.
  • Alertas del proveedor informando descargas inusuales de gran volumen.
  • Sesiones abiertas desde dispositivos o ubicaciones geográficas que no reconoces.
  • Entorno cada vez más lento o mensajes que desaparecen de la bandeja de entrada.

Acción inmediata en diez pasos

Cambiar la contraseña desde un dispositivo limpio

Utiliza un equipo que sepas que no está comprometido. Desde él, inicia sesión en tu cuenta y realiza el cambio de contraseña con una clave robusta (mínimo 14 caracteres con letras mayúsculas, minúsculas, números y símbolos). Esto revoca los tokens de sesión activos y corta la conexión del atacante.

Activar la autenticación en dos factores (2FA)

Además de la contraseña, necesitarás un segundo elemento para iniciar sesión:

  • Aplicación autenticadora (Google Authenticator, Microsoft Authenticator o similar).
  • Mensaje SMS (menos seguro que las aplicaciones, pero mejor que solo contraseña).
  • Llave de seguridad FIDO2 (YubiKey, Titan, etc.) para entornos de alto riesgo.

Con 2FA activo, aunque el atacante conserve tu contraseña, no podrá volver a entrar sin ese segundo factor.

Revisar y eliminar reglas maliciosas

Dirígete a Configuración ▸ Correo ▸ Reglas (en Outlook Web) y examina:

  • Reenvíos automáticos: suprime cualquier regla que envíe copias a un remitente que no controlas.
  • Respuestas automáticas alteradas: los atacantes a veces responden en tu nombre para ganar tiempo mientras extraen datos.
  • Permisos delegados: quita cuentas ajenas con control total o de envío.

Cerrar todas las sesiones y revocar tokens

En la página de seguridad de la cuenta (Azure AD, Cuenta Microsoft o similar):

  1. Cierra sesiones web activas.
  2. Revoca contraseñas de aplicación heredadas (IMAP/POP/SMTP AUTH).
  3. Revoca certificados Exchange ActiveSync de dispositivos móviles.

Analizar todos los dispositivos

Pasa un antivirus/antimalware actualizado y aplica parches pendientes. Si encuentras indicios de rootkits o keyloggers considera reinstalar el sistema operativo.

Cambiar datos de recuperación y correo/sms alternativos

El atacante puede haber añadido su propio número de teléfono o dirección de correo como método para recuperar la cuenta. Elimina cualquier dato que no reconozcas y actualiza los tuyos.

Deshabilitar IMAP/POP temporalmente

Si no utilizas esos protocolos:

  • En Microsoft 365: Admin Center ▸ Usuarios Activos ▸ <tu usuario> ▸ Correo ▸ Administrar protocolos de correo.
  • Desactiva “POP” y “IMAP”.

Así bloqueas clientes de correo que pudiesen seguir exportando el buzón.

Habilitar alertas de actividad sospechosa

Configura Microsoft 365 Defender o equivalente para recibir notificaciones cuando alguien:

  • Descargue más de X MB en un intervalo corto.
  • Active reenvíos automáticos externos.
  • Inicie sesión desde países o direcciones IP no habituales.

Contactar al soporte del proveedor

Si detectas una exportación a gran escala que continúa pese a tus acciones, abre un caso de soporte urgente. Los proveedores pueden:

  • Imponer bloqueos temporales a la cuenta.
  • Restringir descargas hasta completar la investigación.
  • Entregar registros (logs) detallados para análisis forense.

Migrar a una cuenta nueva en casos extremos

Si tu buzón está filtrado por completo y sigue existiendo riesgo:

  1. Crea una nueva cuenta segura.
  2. Migra los mensajes legítimos con eDiscovery o exporta manualmente carpetas concretas.
  3. Notifica a tus contactos sobre la nueva dirección y pide que ignoren correos de la anterior.
  4. Configura una respuesta automática en la cuenta vieja: “Esta dirección ha sido desactivada por motivos de seguridad”.

Tabla rápida de verificación

AcciónObjetivoResultado
Cambiar contraseñaCortar sesiones activasBloqueo inmediato
Activar 2FAEvitar nuevos accesosSeguridad reforzada
Eliminar reglas maliciosasDetener reenvíosRetomar control del flujo de correo
Cerrar sesiones y tokensInvalidar cookies y claves IMAP/POPCero conexiones zombie
Deshabilitar IMAP/POPImpedir exportaciones masivasPuertos lógicos cerrados

Cómo protegerte a largo plazo

Contraseñas únicas y gestor de contraseñas

No repitas contraseñas entre servicios. Utiliza un gestor (Bitwarden, KeePass, 1Password, etc.) para almacenar claves largas y únicas.

Revisión periódica de permisos de aplicaciones

Al instalar complementos o firmar con OAuth de terceros, concedemos permisos al buzón. Revisa cada trimestre los accesos delegados y revoca los que ya no necesites.

Implementar políticas DLP (Data Loss Prevention)

En entornos empresariales, define políticas que:

  • Bloqueen adjuntos con datos bancarios o personales.
  • Notifiquen a TI cuando se exceda cierto umbral de descarga.
  • Encripten mensajes que salgan a dominios externos.

Formación continua en ciberseguridad

Los ataques de phishing son la puerta principal al buzón. Invertir en capacitación reduce dramaticalmente la tasa de clics en enlaces maliciosos.

Preguntas frecuentes

¿Puedo “pausar” la exportación sin desconectar totalmente la cuenta? La forma más rápida es revocar los protocolos de descarga y cambiar la contraseña. Suspender la cuenta suele ser más lento y requiere soporte. ¿Perderé mis correos al revocar tokens IMAP/POP? No. Solo se invalidan las claves de acceso. El contenido del buzón en el servidor permanece intacto. ¿Es 2FA suficiente para impedir futuros ataques? 2FA mitiga el 99 % de accesos no autorizados, pero debe acompañarse de higiene básica: equipos actualizados, navegación segura y contraseñas únicas. ¿Necesito denunciar el incidente? En entornos empresariales sí. Las normativas de privacidad (GDPR, LOPDGDD, etc.) obligan a notificar filtraciones que afecten a datos personales.

Conclusión

Frenar la exportación de un buzón comprometido es una carrera contra el tiempo. La combinación de bloqueo de protocolos, refuerzo de autenticación y limpieza de reglas maliciosas detiene el ataque en cuestión de minutos. Con medidas preventivas como 2FA, políticas DLP y formación constante, reducirás al mínimo la probabilidad de volver a sufrir una exfiltración masiva.

Outlook
Índice