Cómo detectar ataques y proteger tu cuenta de Office 365

Uno de los problemas más comunes en los sistemas de Office 365 son los correos no deseados y los ataques de phishing desde cuentas comprometidas. Estas cuentas son un objetivo principal para los ciberdelincuentes, ya que los correos de Exchange Online son altamente confiables y, con las herramientas de automatización que Microsoft ha desarrollado, los hackers pueden utilizar las API de Microsoft Graph para enviar mensajes de forma programada en segundo plano, mientras que el propietario de la cuenta comprometida sigue trabajando sin saber que su dirección de correo electrónico está trabajando arduamente para otra persona.

Microsoft ha estado agregando cada vez más características de seguridad a Office 365 como parte de su plataforma Microsoft 365, integrándolo con las herramientas de Azure Active Directory. Ahora ha comenzado el proceso de mover la autenticación de un modelo de autenticación HTTP básica relativamente inseguro a un enfoque más moderno basado en OAuth. Esto luego permite que Office 365 implemente una autenticación basada en notificaciones utilizando la aplicación Microsoft Authenticator, lo que reduce los riesgos asociados con los compromisos de contraseñas.

Aunque la mayoría de las características de seguridad de Azure Active Directory requieren una cuenta corporativa de Microsoft 365 (E3 o superior), aún puedes obtener algunos beneficios de Azure Active Directory desde una cuenta de Office 365. Vale la pena utilizar estas herramientas para ver qué exposición tienes a los ataques de paso, donde se utilizan técnicas como el diccionario de contraseñas para infiltrarse en cuentas mal protegidas.

Cómo utilizar My Sign-ins para detectar ataques

Los usuarios pueden obtener una buena imagen de su exposición desde la página de su cuenta de Microsoft 365 u Office 365. Esta es una plataforma de gestión de alto nivel para los elementos de autoservicio de una cuenta empresarial de Office. Las cuentas de consumo no tienen este nivel de control, ya que se basan en una cuenta Microsoft del usuario, que no tiene el mismo nivel de acceso a Azure Active Directory.

Verás muchas herramientas de seguridad integradas en la página de Mi cuenta de Office 365; aquí gestionas contraseñas y dispositivos, así como la configuración de privacidad. Sin embargo, es la sección "Mis accesos" la que vale la pena investigar, ya que aquí encontrarás una lista de accesos recientes e intentos de conexión. Esta es una herramienta útil, ya que muestra desde dónde se intentó iniciar sesión, a qué intentaban conectarse y qué cuenta intentaron comprometer.

Utilizando esta herramienta con mi propia cuenta, pude ver algunos inicios de sesión legítimos desde mi navegador, desde mis aplicaciones de Office y desde diversas extensiones del navegador de Microsoft que había instalado. Sin embargo, también había una serie de intentos de inicio de sesión desde Corea, Sudáfrica, Suecia, Brasil, Ucrania, China, Libia, República Checa, EE. UU., Argentina, Tailandia, Rusia, Vietnam, Japón y Colombia. Y eso solo en las últimas 24 horas.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Microsoft te proporciona la dirección IP del atacante, geolocalizando la dirección IP y mostrando los detalles junto con un mapa. Si el servicio no está seguro de que el intento de inicio de sesión no haya sido tuyo, bloqueará por defecto el acceso, pero verificará si fuiste tú. Aquí estás ayudando a entrenar al sistema de aprendizaje automático que ejecuta los aspectos de seguridad de Azure Active Directory, por lo que adelante y marca aquellos que definitivamente no eran tuyos.

La página de Mis accesos te brinda consejos sobre qué hacer si hay señales de que tu cuenta ha sido comprometida. Es posible que se te aconseje cambiar tu contraseña si es necesario.

Aunque la página te brinda muchos detalles sobre tu cuenta en particular, los administradores necesitan más información para rastrear puntos finales posiblemente vulnerables y ver qué usuarios son atacados con más frecuencia.

Cómo obtener más detalles de Azure Active Directory

Aquí es donde puedes comenzar a aprovechar las herramientas integradas en Azure Active Directory. Inicia sesión con una cuenta de administrador para ver todas las opciones disponibles para tu inquilino. La sección que querrás explorar es la sección de Monitorización, a la que se accede desde el panel izquierdo del portal de Azure Active Directory. Haz clic en “Registros de inicios de sesión” para ver una lista de todos los inicios de sesión de todos tus usuarios.

La vista inicial está parcialmente filtrada, mostrando solo las últimas 24 horas de actividad. Puedes cambiar esto para ver los últimos 7 días o un intervalo de tiempo personalizado. La tabla te proporciona mucha información sobre cada interacción, mostrando si se han aplicado políticas y con vistas separadas para inicios de sesión interactivos y no interactivos. Desde aquí puedes ver la aplicación a la que se está accediendo y el tipo de autenticación utilizada. Si estás utilizando autenticación de múltiples factores, las autenticaciones de un solo factor probablemente sean sospechosas.

Cómo utilizar Excel para un análisis más profundo

Aunque el portal te ofrece algunas opciones adicionales de filtrado, incluyendo campos que no se muestran en la interfaz de usuario del navegador, las investigaciones más detalladas pueden requerir herramientas como Excel o Power BI. Los datos se pueden descargar como CSV o JSON, y se entregan en función de los filtros que hayas configurado. Una buena opción para descargar un gran conjunto de datos para el análisis es elegir la vista de siete días. Esta contiene detalles de todos tus inicios de sesión, interactivos y automáticos, y se puede filtrar en Excel utilizando sus herramientas de tabla.

Cómo proteger tu computadora de los virus: métodos y consejos

La primera vez que profundicé en los datos de Azure Active Directory, quedó claro que los atacantes iban por los objetivos más fáciles, en mi caso, los endpoints de POP3 y IMAP todavía accesibles para Exchange Online. Estos se pueden desactivar dentro de tu inquilino para todos los usuarios, ya que con las versiones de Outlook para la mayoría de las plataformas tienden a ser innecesarios. Si estás utilizando una autenticación moderna, los usuarios con acceso a estos endpoints deberán generar contraseñas de aplicaciones, ya que no admiten la autenticación de dos factores. Esto reduce significativamente el riesgo, ya que son contraseñas generadas al azar con alta entropía que no necesitan almacenarse fuera de tus aplicaciones.

Otros ataques incluyen intentos de utilizar las conexiones autenticadas de SMTP de Exchange Online. Es probable que estos sean spammers que buscan relés abiertos para enviar mensajes maliciosos, así que asegúrate de haber restringido el acceso SMTP. Algunas fallas de inicio de sesión no son maliciosas; vemos muchos inicios de sesión fallidos por errores de renderizado de JavaScript en el propio complemento del navegador de Editor de Microsoft.

Las herramientas de seguridad incorporadas en Office 365 y Azure Active Directory son de gran ayuda para automatizar el bloqueo de tus servidores de correo electrónico. Aun así, vale la pena examinar los datos que producen. Puedes ver qué cuentas están más en riesgo, además de detectar los servicios que los ciberdelincuentes intentan aprovechar. Cuanto más puedas proteger, menos te tendrás que preocupar. Sin embargo, una de las formas más sencillas de evitar que ingresen a tus sistemas y cuentas es habilitar la autenticación de múltiples factores y hacerla obligatoria para todos tus usuarios.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo detectar ataques y proteger tu cuenta de Office 365 , tenemos lo ultimo en tecnología 2023.