Qué hacer si sospechas que han hackeado el correo de tu empresa (Guía paso a paso) | CheckData

1) Señales típicas de que han hackeado tu correo

• Reglas de buzón nuevas (mover a carpetas ocultas, reenviar a externos, eliminar automáticos).
• Envíos que no reconoces desde tu cuenta o quejas de contactos por spam o phishing.
• Alertas de inicio de sesión desde países o dispositivos inusuales (“impossible travel”).
• Cambios de recuperación (teléfono, email alternativo) que no hiciste.
• Delegaciones o buzones compartidos con accesos nuevos no autorizados.
• Sesiones activas persistentes en web o apps que no son tuyas.

Si detectas dos o más señales, actúa como si hubiese compromiso y pasa al siguiente apartado.

2) Primeros 15–60 minutos: contención rápida

1. No borres todo ni restaures sin pensar: primero preserva evidencias (ver §4).
2. Forzar cierre de sesiones del usuario afectado (M365/Workspace) y revocar tokens de apps.
3. Resetear contraseña con una política fuerte; activar MFA si no estaba.
4. Revisar y eliminar reglas de buzón sospechosas, reenvíos externos y delegaciones no autorizadas.
5. Bloquear reenvío externo por política temporalmente a nivel de organización.
6. Avisar internamente a dirección y TI por un canal seguro (no el correo comprometido).
7. Informar a soporte o activar consultoría de seguridad si hay indicios de filtración.

3) Recuperación segura (Microsoft 365 / Google Workspace)

3.1. Microsoft 365

• Cerrar sesiones y revocar OAuth de apps sospechosas en Azure AD.
• Rotar contraseña y reinscribir MFA con método seguro (app autenticadora).
• Revisar Mailbox Rules, Inbox/Outbox, delegaciones, reenvíos y buzones compartidos.
• Comprobar inboxes de archivo y elementos enviados/borradores “limpios”.
• Revisar Alert Policies (Defender/Compliance) y exportar logs de auditoría unificada.

3.2. Google Workspace

• Cerrar sesiones y revocar apps con acceso (OAuth) al usuario afectado.
• Rotar contraseña y configurar MFA (preferiblemente passkeys o app).
• Revisar filtros y reenvíos en Gmail, delegaciones y acceso POP/IMAP.
• Auditar Security Investigation Tool y exportar eventos relevantes.

En ambos entornos, aplica búsquedas dirigidas de mensajes maliciosos y retíralos de buzones; si hay impacto a terceros, prepara comunicación (ver §4).

4) Investigación básica sin romper la cadena de custodia

Antes de “limpiar”, asegúrate de preservar evidencias por si necesitas un peritaje informático o hay que evaluar responsabilidades.

• Exporta logs y auditorías (inicios de sesión, cambios de reglas, actividad OAuth).
• Capturas fechadas de reglas, reenvíos y alertas clave.
• Guarda cabeceras completas de correos maliciosos y artefactos adjuntos para análisis.
• Registra la línea temporal (quién, cuándo, qué) y qué acciones aplicaste.
• Si hay indicios de fuga de datos personales, consulta obligaciones RGPD (posible notificación a AEPD).

Si necesitas investigación profunda en endpoints, activa auditoría forense con cadena de custodia.

5) Errores comunes que agravan el ataque

• Solo cambiar la contraseña sin revisar reglas, reenvíos o apps OAuth.
• Notificar por el mismo correo comprometido (el atacante se entera y se adapta).
• Eliminar evidencias “para ir rápido” (compromete acciones legales y diagnóstico).
• Reutilizar contraseñas en otros servicios y no activar MFA.
• No avisar a clientes cuando procede (riesgo reputacional y legal).

6) Hardening y prevención después del incidente

6.1. Políticas y controles

• Bloqueo del reenvío externo por defecto y revisiones mensuales de reglas.
• SPF, DKIM y DMARC correctamente configurados.
• MFA obligatorio para todo usuario, especialmente administradores.
• EDR/XDR en endpoints para detectar token theft y persistencias (EDR/XDR gestionado).
• Backups inmutables del correo y retención legal según tus políticas.

6.2. Personas y procesos

• Concienciación y simulaciones de phishing trimestrales.
• Protocolos de alta/baja de empleados y proveedores (revocar accesos a tiempo).
• Pruebas periódicas de respuesta a incidentes y de restauración.

7) Caso práctico (resumen)

Situación: pyme de servicios detecta rebotes de emails enviados “por ella” a clientes y nuevas reglas de buzón que movían mensajes a una carpeta poco visible. En el SIEM aparece inicio de sesión desde otro continente.

Acciones: cierre de sesiones, rotación de contraseñas, activación de MFA, eliminación de reglas, revocación de apps OAuth. Exportación de auditorías y cabeceras. Búsqueda dirigida y retirada de mensajes maliciosos de varios buzones. Comunicación a clientes potencialmente afectados.

Resultado: sin pérdida de clientes ni sanciones; se implementan DMARC, bloqueo de reenvío externo y monitorización continua. Formación de equipos y test de respuesta.

8) Preguntas frecuentes (FAQ)

¿Debo avisar a mis clientes?

Si existe riesgo de que hayan recibido correos falsos o haya exposición de datos, conviene una comunicación transparente. Evalúa el alcance con TI/Legal y define el mensaje.

¿Con cambiar la contraseña basta?

No. Debes cerrar sesiones, revocar apps OAuth, revisar reglas y reenvíos, activar MFA y auditar accesos.

¿Cómo evito que vuelva a pasar?

MFA, bloqueo de reenvío externo, formación anti-phishing, firewall gestionado, EDR/XDR y monitorización continua.

¿Y si han robado datos personales?

Activa evaluación de impacto y consulta obligaciones de notificación RGPD. Si necesitas respaldo pericial, revisa análisis forense.

¿Puede ser suplantación sin acceso real a mi buzón?

Sí. Revisa SPF/DKIM/DMARC y contempla suplantación de identidad por correo.