Estimados amigos de Inseguros !!!
Seguimos con el control 8 de los CIS, gestión de logs, y hoy toca el 8.10: centralizar y revisar los logs de seguridad del correo. Y aquí, si trabajas en una empresa, no hay discusión: el correo sigue siendo una de las puertas principales de entrada. Phishing, BEC, malware, enlaces, adjuntos, suplantaciones… el correo es el campo de batalla diario.
Por eso este control es tan importante. Porque si tú no tienes visibilidad de lo que pasa en el correo, te vas a enterar cuando ya haya daño. Y lo normal es que haya señales antes. Muchas señales.
Qué significa “logs de correo” en la práctica
No es solo “tengo un antispam”.
Es tener registros de: mensajes recibidos y enviados, adjuntos y enlaces analizados, mensajes en cuarentena, mensajes bloqueados, cambios de reglas de inbox, reenvíos automáticos, suplantaciones, fallos de autenticación, y actividad administrativa.
Y si estás en Microsoft 365, aquí tienes muchísimo jugo: Defender for Office 365, Exchange Online, audit logs, alertas de seguridad, etc. En otros ecosistemas, la idea es la misma: tienes un gateway o un servicio de correo con telemetría y tienes que centralizarlo.
Qué quieres detectar con estos logs
Phishing y campañas.
Usuarios que hacen clic y activan cadenas.
Adjuntos que se abren.
Malware que se entrega.
Reglas de bandeja sospechosas (esto es un clásico en BEC).
Reenvíos a cuentas externas.
Cambios en configuración de transporte.
Y, sobre todo, anomalías de envío: cuentas que de repente empiezan a enviar 500 correos, o correos raros, o desde ubicaciones que no encajan.
Y aquí hay un punto que mucha gente se salta: el correo no es solo “mensajes”. Es identidad y administración. Cambios de permisos, cambios de roles, cambios en políticas, cambios en autenticación. Eso también hay que recogerlo.
Centralizar para correlacionar
El valor real aparece cuando lo unes con el resto:
un usuario recibe phishing, se autentica desde un país raro, se crea una regla de reenvío, se accede a OneDrive, se comparten ficheros, y luego hay exfiltración.
Si tú solo miras “el correo”, igual no ves toda la cadena. Pero si centralizas logs de correo en tu SIEM, y lo correlacionas con identidad, endpoint y cloud, puedes detectar la película completa.
Esto es exactamente lo que un SOC necesita para reaccionar rápido.
Qué revisas y con qué frecuencia
Aquí no vale “lo miramos cuando hay un incidente”. Hay que tener revisión recurrente:
Alertas críticas siempre.
Revisión diaria de eventos clave.
Revisión semanal de tendencias.
Y auditoría periódica de reglas y configuraciones peligrosas.
Porque muchas intrusiones por correo se podrían cortar antes si miraras dos cosas: reglas de reenvío y actividad de login. Son dos señales que aparecen una y otra vez.
Si quieres aprender a montar esto con enfoque práctico (logs de correo, detección de BEC/phishing, correlación con identidad y SIEM, y operación SOC, especialmente en Sentinel), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.
Gracias por leerme !!!
