- Proofpoint destaca las reglas de la bandeja de entrada como una estrategia clave de diligencia debida para las infracciones de correo electrónico
- Los atacantes utilizan reglas para ocultar alertas, reenviar datos y evitar cambios de contraseña
- Para el cuarto trimestre de 2025, ~10 % de las cuentas comprometidas tenían reglas maliciosas creadas a los pocos segundos de acceder
Al secuestrar la bandeja de entrada de una persona, los ciberdelincuentes utilizan una técnica específica y muy popular para mantener la persistencia, extrayendo datos sin imperfecciones y haciéndose pasar por su víctima, incluso si no es malicioso en sí mismo, advierten los expertos.
El investigador de seguridad Proofpoint ha publicado un informe que destaca el uso de reglas de la bandeja de entrada en el cibercrimen: instrucciones automatizadas que clasifican, mueven, eliminan o reenvían mensajes entrantes según condiciones específicas establecidas por el usuario.
“Si bien las reglas del buzón están diseñadas para ayudar a los usuarios a organizar el correo electrónico, los atacantes pueden eliminar, ocultar, reenviar o marcar mensajes como leídos, controlando silenciosamente el flujo de correo electrónico sin alertar a la víctima”, advierte Proofpoint.
El artículo continúa a continuación.
Cómo identificar reglas maliciosas
“Esto es más común de lo que se podría pensar”, dijo Proofpoint en su informe. Al analizar las infracciones de correo electrónico que ocurrieron en el cuarto trimestre de 2025, los investigadores descubrieron que se creó al menos una regla de buzón maliciosa después del acceso inicial a aproximadamente el 10% de las cuentas comprometidas y, por lo general, antes de cualquier otra actividad maliciosa.
De hecho, en algunos casos las reglas se formularon cinco segundos después de la infracción inicial, lo que demuestra lo importante que es la técnica.
Además de poder monitorear las comunicaciones, ocultar correos electrónicos de advertencia de seguridad o leer códigos 2FA, las reglas de correo electrónico tienen otro beneficio importante: mantener la persistencia incluso después de cambios de contraseña.
Si una víctima se da cuenta de que su cuenta ha sido comprometida y simplemente cambia la contraseña sin eliminar las reglas, los atacantes conservarán su acceso independientemente del cambio de credencial.
Sin embargo, las reglas son fáciles de detectar. Es necesario nombrarlos, y Proofpoint afirma que utilizar los nombres a la vez es la mejor manera de identificar cuentas de correo electrónico comprometidas. Los nombres comunes son ‘.’ ‘…’, ‘,’ o similares.
El informe destaca a los usuarios empresariales (especialmente en roles financieros, ejecutivos y empresariales) como objetivos principales en escenarios de compromiso del correo electrónico empresarial, incluidas las cuentas universitarias (estudiantes, profesores y cuentas inactivas).
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
