correo electrónico

Fortalecimiento de los servidores Exchange

Cómo mitigar los riesgos de ataques dirigidos a los servidores de correo electrónico de tu organización.

Stan Kaminsky
15 Dic 2025

Pocos expertos en ciberseguridad discutirían que los ataques a los servidores de Microsoft Exchange deben considerarse inevitables y que el riesgo de vulneración es permanentemente alto. En octubre, Microsoft finalizó la compatibilidad con Exchange Server 2019, lo que convirtió a Exchange Server Subscription Edition (Exchange SE) en la única solución local compatible para 2026. A pesar de esto, muchas organizaciones continúan operando Exchange Server 2016, 2013 e incluso versiones más anticuadas.

Para los actores de amenazas, Exchange es un objetivo irresistible. Su popularidad, complejidad, abundancia de configuraciones y, lo que es más importante, su accesibilidad desde redes externas lo hacen susceptible a una amplia variedad de ataques:

Infiltración en buzones de correo a través de ataques de rociado de contraseñas o spear phishing.
Vulneración de la cuenta a través de protocolos de autenticación obsoletos.
Robo de correos electrónicos específicos mediante la inyección de reglas de flujo de correo maliciosas a través de Exchange Web Services.
Secuestro de tokens de autenticación de empleados o falsificación de mensajes mediante el aprovechamiento de fallos en la infraestructura de procesamiento de correo de Exchange.
Aprovechamiento de vulnerabilidades de Exchange para ejecutar código arbitrario (implementar web shells) en el servidor.
Movimiento lateral y vulneración del servidor, donde el servidor Exchange se convierte en un punto de apoyo para el reconocimiento de la red, el alojamiento de malware y la tunelización de tráfico.
Exfiltración de correo electrónico a largo plazo a través de implantes especializados para Exchange.

Para comprender realmente la complejidad y variedad de los ataques a Exchange, vale la pena revisar la investigación sobre las amenazas GhostContainer, Owowa, ProxyNotShell y PowerExchange.

Hacer más difícil que los atacantes vulneren Exchange y reducir el impacto de un ataque exitoso no es imposible, pero requiere una amplia variedad de medidas, desde cambios de configuración sencillos hasta migraciones de protocolos de autenticación que requieren mucho esfuerzo. El CISA, el Centro Canadiense para la Ciberseguridad y otros organismos reguladores de la ciberseguridad han publicado recientemente una revisión conjunta de las medidas de defensa prioritarias. Entonces, ¿cómo se empieza a reforzar la seguridad del servidor Exchange en las instalaciones?

Migraciones desde versiones EOL

Tanto Microsoft como el CISA recomiendan hacer la transición a Exchange SE para recibir actualizaciones de seguridad a tiempo. Para las organizaciones que no pueden realizar el cambio de inmediato, hay disponible una suscripción de pago a las Actualizaciones de seguridad extendidas (ESU) para las versiones 2016 y 2019. Microsoft enfatiza que la actualización de 2016 o 2019 a Exchange SE es comparable en complejidad a la instalación de una Actualización acumulativa estándar.

Si por alguna razón necesitas mantener en funcionamiento una versión no compatible, debes aislarla completamente de las redes internas y externas. Todo el flujo de correo debe enrutarse a través de una puerta de enlace de seguridad de correo electrónico especialmente configurada.

Actualizaciones periódicas

Microsoft lanza dos Actualizaciones acumulativas (CU) por año, junto con revisiones de seguridad mensuales. Una tarea clave para los administradores de Exchange es establecer un proceso para implementar estas actualizaciones sin demora, ya que los actores de amenazas se apresuran a aprovechar las vulnerabilidades conocidas. Puedes rastrear un seguimiento del programa de lanzamiento y el contenido de estas actualizaciones en la página oficial de Microsoft. Para verificar el estado y actualizar la configuración de tu instalación de Exchange, utiliza herramientas como SetupAssist y Exchange Health Checker.

Mitigaciones de emergencia

Para las vulnerabilidades críticas que se explotan activamente, normalmente se publican directrices de mitigación temporales en el blog de Exchange y en la página de mitigaciones de Exchange. El servicio de Mitigación de emergencias (EM) debe estar activado en los servidores de Buzones de correo de Exchange. EM se conecta automáticamente al Servicio de configuración de Office para descargar y aplicar reglas de mitigación para amenazas urgentes. Estas medidas pueden desactivar rápidamente los servicios vulnerables y bloquear las solicitudes maliciosas mediante las reglas de reescritura de URL en IIS.

Bases seguras

Se debe aplicar un conjunto uniforme de configuraciones optimizadas para las necesidades de la organización, no solo a los servidores Exchange, sino también a los clientes de correo electrónico en todas las plataformas y sus sistemas operativos subyacentes.

Debido a que las bases de seguridad recomendadas difieren según los distintos sistemas operativos y versiones de Exchange, la guía de la CISA hace referencia a los populares CIS Benchmarks, disponibles de forma gratuita, y a las instrucciones de Microsoft. El último CIS Benchmark se creó para Exchange 2019, pero también es totalmente aplicable a Exchange SE, ya que la Edición de suscripción actual no difiere en sus opciones configurables de Exchange Server 2019 CU15.

Soluciones de seguridad especializadas

Un error crítico que cometen muchas organizaciones es no tener agentes EDR y EPP en sus servidores Exchange. Para evitar el aprovechamiento de vulnerabilidades y la ejecución de web shells, el servidor debe estar protegido por una solución de seguridad como Kaspersky Endpoint Detection and Response. Exchange Server se integra con la Interfaz de análisis antimalware (AMSI), que les permite a las herramientas de seguridad procesar eficazmente los eventos del lado del servidor.

La lista de aplicaciones permitidas puede dificultar considerablemente los intentos de los atacantes de aprovechar las vulnerabilidades de Exchange. Esta función viene incorporada de serie en la mayoría de las soluciones de EPP avanzadas. Sin embargo, si necesitas implementarlo con herramientas nativas de Windows, puedes restringir las aplicaciones no fiables a través de App Control for Business o AppLocker.

Para proteger a los empleados y sus máquinas, el servidor debe usar una solución como Kaspersky Security for Mail Server para filtrar el tráfico de correo. Esto resuelve varios retos para los que Exchange, tal y como viene de fábrica, carece de herramientas, como la autenticación del remitente mediante los protocolos SPF, DKIM y DMARC, o la protección contra el spam sofisticado y el spearphishing.

Si por alguna razón no se implementa un EDR completo en el servidor, es esencial al menos activar el antivirus predeterminado y asegurarse de que la regla de Reducción de la superficie de ataque (ASR) “Bloquear la creación de web shells para servidores” esté activada.

Para evitar la degradación del rendimiento del servidor cuando se ejecuta el antivirus predeterminado, Microsoft recomienda excluir archivos y carpetas específicos de los análisis.

Restricción del acceso administrativo

Los atacantes suelen escalar privilegios abusando del acceso al Centro de administración de Exchange (EAC) y a PowerShell Remoting. Las mejores prácticas aconsejan que estas herramientas solo sean accesibles desde una cantidad fija de estaciones de trabajo con acceso privilegiado (PAW). Esto se puede aplicar mediante reglas de firewall en los propios servidores Exchange o utilizando un firewall. Las Reglas de acceso de cliente integradas en Exchange también pueden ofrecer una utilidad limitada en este escenario, pero no pueden contrarrestar el uso indebido de PowerShell.

Adopción de Kerberos y SMB en lugar de NTLM

Microsoft está eliminando gradualmente los protocolos de red y autenticación heredados. Las instalaciones modernas de Windows desactivan SMBv1 y NTLMv1 de manera predeterminada, y las versiones futuras están programadas para desactivar NTLMv2. A partir de Exchange SE CU1, Kerberos reemplazará a NTLMv2, implementado mediante MAPI sobre HTTP, como protocolo de autenticación predeterminado.

Los equipos de TI y seguridad deben realizar una auditoría exhaustiva del uso de protocolos heredados dentro de su infraestructura y desarrollar un plan para migrar a métodos de autenticación modernos y más seguros.

Métodos de autenticación modernos

A partir de Exchange 2019 CU13, los clientes pueden aprovechar una combinación de OAuth 2.0, MFA y ADFS para obtener una autenticación de servidor robusta, un marco conocido como Autenticación moderna o, abreviadamente, Modern Auth. De esta forma, los usuarios solo pueden acceder a un buzón de correo después de completar con éxito la MFA a través de ADFS, y el servidor Exchange recibe entonces un token de acceso válido del servidor ADFS. Una vez que todos los usuarios hayan migrado a Modern Auth, se debe desactivar la autenticación básica en el servidor Exchange.

Activación de la protección ampliada

La Protección ampliada (EP) proporciona una defensa contra ataques de retransmisión NTLM, ataques de Adversary-in-the-Middle (AITM) y técnicas similares. Mejora la seguridad de TLS mediante el uso de un Token de enlace de canal (CBT). Si un atacante roba credenciales o un token, e intenta usarlos en una sesión TLS diferente, el servidor finaliza la conexión. Para activar la EP, todos los servidores Exchange deben estar configurados para usar la misma versión de TLS.

La Protección ampliada está activa de manera predeterminada en las nuevas instalaciones de servidor a partir de Exchange 2019 CU14.

Versiones de TLS seguras

Toda la infraestructura del servidor, incluidos todos los servidores Exchange, debe configurarse para usar la misma versión de TLS: 1.2 o, idealmente, 1.3. Microsoft proporciona una guía detallada sobre la configuración óptima y las comprobaciones de requisitos previos necesarios. Puedes usar el script Health Checker para verificar que estas configuraciones sean correctas y uniformes.

HSTS

Para garantizar que todas las conexiones estén protegidas por TLS, también debes configurar HTTP Strict Transport Security (HSTS). Esto ayuda a prevenir ciertos ataques de AitM. Después de implementar los cambios de configuración de Exchange Server recomendados por Microsoft, todas las conexiones a Outlook en la web (OWA) y al EAC se verán obligadas a utilizar cifrado.

Dominios de descarga

La función Dominios de descarga proporciona protección contra ciertos ataques de falsificación de solicitudes entre sitios y el robo de cookies al mover las descargas de archivos adjuntos a un dominio que no sea el que aloja Outlook en la web de la organización. Esto separa la carga de la IU y la lista de mensajes de la descarga de archivos adjuntos.

Modelo de administración basada en funciones

Exchange Server implementa un modelo de Control de acceso basado en funciones (RBAC) para usuarios privilegiados y administradores. La CISA señala que las cuentas con privilegios de administrador de AD a menudo también se utilizan para administrar Exchange. En esta configuración, una vulneración del servidor Exchange conduce inmediatamente a una vulneración total del dominio. Por lo tanto, es fundamental usar permisos divididos y RBAC para separar la administración de Exchange de otros privilegios administrativos. Esto reduce la cantidad de usuarios y administradores con privilegios excesivos.

Firma de flujos con PowerShell

Los administradores utilizan con frecuencia scripts de PowerShell conocidos como cmdlets para modificar la configuración y administrar los servidores Exchange a través del Shell de administración de Exchange (EMS). Idealmente, el acceso remoto a PowerShell debería estar desactivado. Cuando esté activado, los flujos de datos de comandos enviados al servidor deben protegerse con certificados. A partir de noviembre de 2023, esta configuración estará activada de manera predeterminada para Exchange 2013, 2016 y 2019.

Protección de los encabezados de correo electrónico

En noviembre de 2024, Microsoft introdujo una protección mejorada contra los ataques que implicaban la falsificación de los encabezados de correo P2 FROM, los cuales hacían que los mensajes parecieran enviados por un remitente de confianza. Las nuevas reglas de detección ahora marcan los correos electrónicos donde estos encabezados probablemente han sido manipulados. Los administradores no deben desactivar esta protección y deben reenviar los correos electrónicos sospechosos con el encabezado X-MS-Exchange-P2FromRegexMatch a expertos en seguridad para su posterior análisis.

Con todas las cartas bajo la manga: el hackeo del barajador DeckMate 2

Cómo los investigadores hackearon a los barajadores de cartas DeckMate 2 y cómo la mafia aprovechó esas mismas vulnerabilidades para hacer trampa en el póker.

Privacidad y niños

Fortalecimiento de los servidores Exchange

Migraciones desde versiones EOL

Actualizaciones periódicas

Mitigaciones de emergencia

Bases seguras

Soluciones de seguridad especializadas

Restricción del acceso administrativo

Adopción de Kerberos y SMB en lugar de NTLM

Métodos de autenticación modernos

Activación de la protección ampliada

Versiones de TLS seguras

HSTS

Dominios de descarga

Modelo de administración basada en funciones

Firma de flujos con PowerShell

Protección de los encabezados de correo electrónico

Propuestas de colaboración falsas

Curso básico sobre contraseñas: no introduzcas tus contraseñas en cualquier lugar donde te las pidan

Con todas las cartas bajo la manga: el hackeo del barajador DeckMate 2

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia