Una nueva investigación revela un fallo arquitectónico que permite robar correos en tiempo real sin dejar rastro en los registros de auditoría, y la respuesta de Microsoft ha sido inquietante: “No es un problema grave”.
Si confías en los logs de auditoría de Microsoft 365 para saber qué ocurre en tu empresa, estás volando a ciegas. Hoy 29 de enero de 2026, el descubrimiento de una técnica de ataque denominada “Exfil Out&Look”, la cual abusa de los complementos (Add-ins) legítimos de Outlook para exfiltrar datos sensibles sin activar ninguna alarma de seguridad tradicional.
Lo que hace que esta noticia sea crítica no es solo el método, sino la respuesta del fabricante. A pesar de que los investigadores demostraron que este vector hace la exfiltración “invisible” a los registros unificados, el Centro de Respuesta de Seguridad de Microsoft (MSRC) ha clasificado el hallazgo como un “bug de baja severidad” y no tiene planes inmediatos de corregirlo.
El Mecanismo: Legitimidad como Camuflaje
El ataque no explota una vulnerabilidad de software (como un buffer overflow), sino una característica de diseño en cómo funcionan los Add-ins modernos basados en web.
- El Vector: Un atacante (interno o externo con una cuenta comprometida) instala un complemento malicioso en el Outlook de la víctima.
- El Evento OnMessageSend: El complemento está configurado para escuchar este evento específico.
- El Robo: Justo cuando la víctima pulsa “Enviar”, el complemento intercepta el correo. Con permisos mínimos (como ReadWriteItem), puede leer el Asunto, el Cuerpo y los Destinatarios.
- La Fuga: Utilizando una simple llamada fetch() de JavaScript, el complemento envía una copia de estos datos a un servidor controlado por el atacante antes de que el correo salga legítimamente de la bandeja.
El Punto Ciego Forense
Aquí es donde reside el verdadero peligro.
- Sin Rastro en la Nube: Si el atacante instala este complemento a través de Outlook Web Access (OWA), la acción no genera ningún registro en el Unified Audit Log (UAL) de Microsoft 365.
- Invisible para E5: Incluso las organizaciones con licencias premium E5 y auditoría avanzada no verían que se instaló el complemento ni que se accedió a los datos.
- Contraste: Si se instala desde el cliente de escritorio, sí se genera un evento local (Event ID 45), pero la vía web permanece oscura.
Persistencia Indefinida
A diferencia de un malware tradicional que un antivirus podría detectar en el disco duro, este “espía” vive en la configuración de la cuenta de nube.
- Puede permanecer activo indefinidamente, reenviando en silencio una copia de cada correo enviado por el CEO o el departamento financiero, sin que el usuario note ningún retraso o comportamiento extraño.
- No requiere permisos de alto nivel como Mailbox.Read, lo que a menudo evita los flujos de consentimiento que alertarían a los administradores.
recomendaciones
- Bloqueo de Instalación: Los administradores deben cambiar la política predeterminada. Nadie debería poder instalar complementos por su cuenta.
- Lista Blanca (Allow-List): Restringir la instalación de complementos exclusivamente a aquellos aprobados y gestionados desde el Centro de Administración de Microsoft 365.
- Monitoreo Azure AD: Vigilar la creación inusual de “Service Principals” o registros de aplicaciones en Azure Active Directory, ya que a veces son el único indicador visible de un despliegue masivo de este tipo.
