Cuenta Microsoft 365 comprometida: qué hacer

Una cuenta comprometida en Microsoft 365 puede afectar correo, Teams, SharePoint, OneDrive, identidad, aplicaciones conectadas y sistemas que dependen de ese usuario.

El error común es responder como si fuera solo un problema de contraseña. Cambiar la contraseña ayuda, pero no basta si el atacante ya creó reglas de correo, autorizó una aplicación OAuth, agregó un método MFA, mantuvo una sesión activa o usó la cuenta para fraude interno.

Esta guía está pensada para empresas que detectaron actividad sospechosa y necesitan una ruta práctica de contención, evidencia y recuperación.

Primero: confirma señales sin borrar evidencia

Antes de limpiar, confirma que hay senales suficientes y guarda evidencia basica.

Busca:

• inicios de sesion desde ubicaciones, horarios o dispositivos inusuales;
• envios de correo que el usuario no reconoce;
• respuestas de clientes o proveedores sobre mensajes extranos;
• reglas de inbox nuevas, ocultas o con reenvio;
• reenvio externo del buzon;
• cambios en metodos MFA;
• aplicaciones autorizadas recientemente;
• actividad inusual en SharePoint, OneDrive o Teams;
• cambios de contrasena o bloqueos frecuentes;
• alertas de Defender, Entra ID, correo o monitoreo.

Microsoft documenta como sintomas comunes de una cuenta comprometida los correos sospechosos enviados, reglas de inbox para reenviar u ocultar mensajes, reenvio externo reciente, cambios en datos del usuario y bloqueos o cambios frecuentes de contrasena.

No borres reglas, mensajes o aplicaciones sin capturar primero lo minimo: usuario afectado, fechas, capturas, IDs de alerta, IPs, paises, destinatarios, regla encontrada, app autorizada y acciones tomadas.

Primeros 15 minutos: contener el acceso

La prioridad es evitar que el atacante siga usando la cuenta.

Acciones iniciales:

1. Deshabilita temporalmente la cuenta si el impacto operativo lo permite.
2. Si no puedes deshabilitarla, cambia la contrasena con una nueva credencial unica y fuerte.
3. Revoca sesiones activas para invalidar accesos existentes.
4. Revisa y retira metodos MFA que el usuario no reconozca.
5. Bloquea el envio si la cuenta se uso para spam, phishing o fraude.
6. Avisa al responsable interno de TI, direccion o finanzas segun el caso.

Microsoft recomienda bloquear el acceso cuanto antes, deshabilitar la cuenta afectada durante la investigacion cuando sea posible y revocar sesiones para invalidar acceso activo con credenciales robadas.

Si la cuenta es administrativa, sube la prioridad. Un administrador comprometido puede cambiar politicas, crear persistencia, modificar permisos o desactivar controles.

Revisa persistencia: el atacante puede volver

Despues de cambiar contrasena y revocar sesiones, revisa rutas de persistencia.

En Microsoft 365, las mas importantes son:

• reglas de inbox que borran, mueven, ocultan o reenvian correos;
• reenvio del buzon a direcciones internas o externas;
• metodos MFA agregados por el atacante;
• aplicaciones OAuth con permisos sobre correo, archivos o directorio;
• roles administrativos asignados al usuario;
• permisos delegados sobre buzones compartidos;
• dispositivos registrados que no correspondan al usuario;
• sesiones desde dispositivos no confiables;
• conectores, scripts o integraciones que usen esa identidad.

No asumas que la limpieza termino al cambiar la contrasena. Si queda una regla de reenvio, una app autorizada o un metodo MFA falso, el atacante puede mantener visibilidad o recuperar acceso.

Revisa el correo: fraude, phishing y reglas ocultas

El buzon suele ser el primer lugar donde se ve el dano.

Revisa:

• Elementos enviados;
• Elementos eliminados;
• reglas de inbox visibles y ocultas;
• reenvio externo;
• firmas modificadas;
• respuestas automaticas;
• mensajes con adjuntos o enlaces enviados a clientes;
• correos con solicitudes de pago, cambio de cuenta bancaria o urgencia;
• conversaciones donde el atacante pudo haber intervenido.

Si hubo mensajes fraudulentos, no basta con pedir disculpas. Conviene avisar a destinatarios impactados, cancelar solicitudes falsas, revisar si hubo pagos o cambios de proveedor, y documentar el alcance.

Tambien revisa si el atacante borro mensajes para ocultar evidencia. Algunas reglas mueven correos a carpetas poco visibles para evitar que el usuario note respuestas o alertas.

Revisa archivos y colaboracion

Microsoft 365 no es solo correo. Una cuenta comprometida puede acceder a documentos, sitios y canales.

Valida:

• archivos recientes en OneDrive;
• documentos abiertos, descargados o compartidos;
• enlaces de uso compartido creados durante la ventana sospechosa;
• sitios de SharePoint con datos sensibles;
• Teams donde el usuario participa;
• invitados agregados o permisos modificados;
• actividad sobre carpetas de clientes, finanzas, RH o direccion.

La pregunta clave no es solo “entraron al correo”. Es: que informacion pudo ver, copiar, compartir o usar el atacante.

Guarda evidencia util para investigacion

La evidencia debe ayudar a reconstruir que paso y que se hizo.

Guarda:

• hora estimada de inicio y fin del incidente;
• IPs, ubicaciones y aplicaciones usadas;
• eventos de inicio de sesion;
• acciones de correo: reglas, reenvios, mensajes enviados;
• cambios de MFA, roles o permisos;
• aplicaciones OAuth revisadas o revocadas;
• archivos accedidos o compartidos;
• acciones de contencion realizadas;
• personas notificadas;
• riesgos pendientes.

CISA publico el Microsoft Expanded Cloud Logs Implementation Playbook para ayudar a usar logs de Microsoft Purview Audit como parte accionable de deteccion, investigacion y respuesta. La idea practica es clara: si no tienes logs suficientes o no sabes donde consultarlos, la respuesta se vuelve lenta e incompleta.

Flujo recomendado de respuesta

No todos los incidentes requieren el mismo esfuerzo, pero conviene tener un flujo ordenado.

Una secuencia razonable:

1. Recibir reporte o alerta.
2. Confirmar senales iniciales.
3. Contener cuenta y revocar sesiones.
4. Guardar evidencia basica.
5. Revisar persistencia: MFA, OAuth, roles, reglas y reenvios.
6. Investigar correo, archivos y actividad externa.
7. Notificar a contactos impactados si hubo fraude o phishing.
8. Recuperar acceso seguro para el usuario.
9. Corregir controles que fallaron.
10. Documentar cierre y acciones pendientes.

Este flujo evita dos extremos: paralizar todo sin criterio o cerrar el caso demasiado pronto.

Cuando escalar el incidente

Escala a respuesta a incidentes si ocurre cualquiera de estas condiciones:

• la cuenta tenia privilegios administrativos;
• hubo fraude financiero o intento de cambio de cuenta bancaria;
• se enviaron correos a clientes, proveedores o equipo interno;
• se accedio a datos sensibles;
• hay indicios de movimiento hacia otros sistemas;
• no hay logs suficientes para entender la ventana de actividad;
• hay varias cuentas afectadas;
• se detectan apps OAuth sospechosas con permisos amplios;
• el atacante cambio MFA, reglas o roles;
• el impacto legal, contractual o reputacional puede ser relevante.

En esos casos conviene tratarlo como incidente, no como ticket de soporte.

Despues de recuperar la cuenta

Cuando la cuenta vuelva a operar, no cierres el caso sin reducir la probabilidad de repeticion.

Acciones posteriores:

• exigir MFA fuerte, idealmente resistente al phishing, para usuarios criticos;
• bloquear autenticacion heredada;
• revisar politicas de acceso condicional;
• separar cuentas administrativas de cuentas de uso diario;
• limitar consentimiento de aplicaciones;
• crear alerta para reenvio externo y reglas sospechosas;
• revisar permisos de SharePoint, OneDrive y Teams;
• documentar un playbook interno;
• capacitar al usuario sin culparlo;
• conectar eventos importantes a monitoreo.

Si Microsoft 365 sostiene tu operacion, identidad debe monitorearse como un activo critico.

Checklist rapido

Usa esta lista para no saltarte pasos:

• Cuenta contenida o deshabilitada temporalmente.
• Contrasena cambiada de forma segura.
• Sesiones revocadas.
• Metodos MFA revisados.
• Reglas de inbox y reenvios revisados.
• Aplicaciones OAuth revisadas.
• Roles y permisos revisados.
• Correos enviados y eliminados revisados.
• OneDrive, SharePoint y Teams revisados.
• Evidencia guardada.
• Contactos impactados notificados si aplica.
• Controles corregidos.
• Incidente documentado.

Como puede apoyar Syscore

Syscore puede ayudarte a revisar una cuenta Microsoft 365 comprometida con enfoque practico: contencion, evidencia, reglas de correo, sesiones, MFA, aplicaciones OAuth, permisos, actividad en archivos y acciones de mejora.

Tambien podemos conectar esta respuesta con monitoreo y analisis de seguridad, gestion de incidentes, hardening de Microsoft 365 y MFA resistente al phishing.

Preguntas frecuentes

Cambiar la contrasena resuelve una cuenta comprometida?

No por si solo. Tambien debes revocar sesiones, revisar MFA, reglas de correo, reenvios, aplicaciones OAuth, roles, permisos y actividad posterior al acceso sospechoso.

Debo deshabilitar la cuenta?

Si el impacto operativo lo permite, si. Deshabilitarla durante la investigacion reduce la posibilidad de que el atacante siga actuando. Si no puedes hacerlo, cambia la contrasena, revoca sesiones y limita el acceso mientras revisas.

Que hago si la cuenta envio correos falsos?

Revisa destinatarios, contenido, adjuntos, enlaces y posibles solicitudes de pago. Notifica a contactos afectados con un mensaje claro, cancela instrucciones falsas y guarda evidencia de lo enviado.

Que pasa si no tengo suficientes logs?

Documenta lo disponible y corrige la brecha. Una respuesta madura necesita logs de inicio de sesion, auditoria, correo, reglas, actividad de archivos y cambios de permisos. Si no existen, el cierre tendra incertidumbre.

Referencias utiles

• Microsoft Learn: Respond to a compromised cloud email account
• CISA: Microsoft Expanded Cloud Logs Implementation Playbook
• Microsoft Learn: Security defaults in Microsoft Entra ID
• Microsoft Learn: Revoke user access in Microsoft Entra ID

Enlaces internos utiles

• Como endurecer Microsoft 365 para empresas
• MFA resistente al phishing para Microsoft 365
• Qué hacer después de un phishing en empresa
• Monitoreo de alertas de seguridad para empresas
• Gestion de incidentes
• Servicios de ciberseguridad para empresas
• Prevencion del phishing

Una cuenta comprometida debe dejar dos resultados: acceso recuperado y controles mejorados. Si solo limpias la cuenta, pero no corriges la causa y la visibilidad, el siguiente incidente sera mas dificil de explicar.