En el ámbito de la ciberseguridad, no todas las amenazas necesitan sofisticadas herramientas de malware avanzado. A veces, basta con utilizar funciones legítimas del propio sistema para operar sin levantar sospechas. Es precisamente lo que está ocurriendo con las reglas de buzón en plataformas como Microsoft 365 en Outlook, convertidas en una de las técnicas más eficaces para mantener el control de cuentas comprometidas.
Un reciente análisis de la firma de ciberseguridad Proofpoint revela que este método está lejos de ser anecdótico. Durante el último trimestre de 2025, cerca del 10% de las cuentas comprometidas presentaban reglas maliciosas creadas apenas unos segundos después del acceso inicial. Este dato refleja una tendencia creciente: los atacantes ya no buscan únicamente entrar en una cuenta, sino permanecer en ella el mayor tiempo posible sin ser detectados.
La clave de esta técnica radica en su discreción. Tras acceder a un buzón —habitualmente mediante campañas de phishing o ataques de fuerza bruta—, los ciberdelincuentes evitan acciones ruidosas que puedan alertar a los sistemas de seguridad. En su lugar, configuran reglas automáticas que les permiten observar, filtrar y manipular el flujo de correos electrónicos desde dentro.
Cómo funciona el espionaje silencioso
Las reglas de correo están diseñadas para facilitar la gestión diaria del email, permitiendo organizar mensajes o automatizar tareas. Sin embargo, en manos de un atacante, se convierten en una herramienta de espionaje extremadamente eficaz.
Mediante estas reglas, los delincuentes pueden redirigir automáticamente mensajes a cuentas externas bajo su control, especialmente aquellos que contienen palabras clave relacionadas con pagos, contratos o transferencias. En otros casos, optan por mover correos a carpetas poco utilizadas, como archivo o suscripciones RSS, donde pasan desapercibidos durante semanas o incluso meses.
Este mecanismo permite a los atacantes recopilar información sensible sin generar alertas visibles. Además, también utilizan estas reglas para eliminar o marcar como leídos determinados mensajes, como notificaciones de seguridad, alertas de inicio de sesión o correos de verificación. De este modo, la víctima pierde visibilidad sobre lo que realmente está ocurriendo en su cuenta.
Uno de los aspectos más preocupantes es la persistencia. Aunque el usuario cambie su contraseña tras detectar actividad sospechosa, las reglas maliciosas pueden seguir activas, manteniendo el flujo de información hacia el atacante. En la práctica, esto significa que el compromiso de la cuenta puede prolongarse incluso después de aplicar medidas básicas de seguridad.
Fraude empresarial: cuando el correo se convierte en arma
El impacto de esta técnica se vuelve especialmente grave en entornos corporativos, donde el correo electrónico es la base de las comunicaciones internas y externas. Los atacantes aprovechan esta posición privilegiada para llevar a cabo fraudes cada vez más sofisticados.
Uno de los escenarios más habituales es el compromiso de cuentas con acceso a información financiera. Tras infiltrarse en el buzón de un empleado de contabilidad, los ciberdelincuentes configuran reglas que ocultan determinados mensajes clave. A partir de ahí, pueden iniciar campañas de phishing internas o manipular solicitudes relacionadas con pagos y nóminas.
En algunos casos, el ataque evoluciona rápidamente. Una segunda cuenta puede verse comprometida tras abrir un archivo adjunto aparentemente legítimo enviado desde dentro de la propia organización. A partir de ese momento, el atacante amplía su control y utiliza las reglas de correo para ocultar cualquier indicio de fraude, incluyendo respuestas de otros empleados o alertas del sistema.
Este tipo de operaciones demuestra hasta qué punto el correo electrónico puede convertirse en una herramienta de manipulación cuando cae en manos equivocadas. Las víctimas continúan interactuando con normalidad, sin sospechar que parte de la conversación está siendo filtrada o alterada.
A pesar de su creciente uso, el abuso de reglas de buzón sigue siendo una amenaza infravalorada en muchas organizaciones. En parte, porque se trata de una funcionalidad legítima que rara vez se revisa o monitoriza.
Sin embargo, los expertos coinciden en que este enfoque debe cambiar. Las empresas necesitan incorporar controles específicos que permitan detectar la creación de reglas sospechosas, así como limitar funcionalidades como el reenvío automático a direcciones externas.
