AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Microsoft confirma un fallo crítico que impide abrir correos cifrados en Outlook clásico**

admin

### 1. Introducción

Microsoft ha reconocido la existencia de un problema relevante en su cliente de correo Outlook clásico que impide a los destinatarios abrir mensajes cifrados. Este incidente, que afecta principalmente a entornos corporativos y sistemas que dependen de la protección de información sensible mediante cifrado, ha generado inquietud entre profesionales de la ciberseguridad, responsables de cumplimiento normativo y usuarios avanzados que requieren garantías robustas de confidencialidad en las comunicaciones electrónicas.

### 2. Contexto del Incidente

El fallo se manifiesta en la versión de escritorio tradicional de Outlook para Windows (Outlook clásico), utilizada ampliamente tanto en organizaciones bajo modelos on-premises como en despliegues híbridos junto a Microsoft 365. Según la información proporcionada por Microsoft, los destinatarios que reciben mensajes cifrados mediante las tecnologías “Microsoft Purview Message Encryption” o “Office 365 Message Encryption” encuentran bloqueado el acceso al contenido del correo, incluso cuando disponen de los permisos y credenciales apropiadas.

Este error no afecta a Outlook en la web (OWA), Outlook para Mac ni a las versiones móviles, lo que sugiere un problema específico en la integración del motor de cifrado con el cliente clásico de Windows.

### 3. Detalles Técnicos

El incidente no ha sido aún registrado bajo un identificador CVE concreto, aunque se espera su inclusión en próximas actualizaciones de seguridad de Microsoft. El error reside en la interacción entre el módulo de descifrado local de Outlook clásico y los sistemas de gestión de claves y tokens de Microsoft Purview, provocando que el cliente no pueda procesar correctamente los mensajes protegidos por cifrado S/MIME o IRM (Information Rights Management).

#### Vectores de ataque y TTP (MITRE ATT&CK)

Si bien el fallo no constituye un vector de ataque directo, sí representa un riesgo operativo al forzar a los usuarios a buscar métodos alternativos para acceder a información crítica, abriendo la puerta a prácticas inseguras como la exportación de mensajes a plataformas menos seguras. Además, la imposibilidad de abrir mensajes cifrados podría ser explotada en técnicas de denegación de servicio (DoS) orientadas a la interrupción de flujos de información confidencial, alineado con la táctica TA0040 (Impact) del framework MITRE ATT&CK.

#### Indicadores de Compromiso (IoC)

Aunque el bug en sí no genera IoCs clásicos de una intrusión, sí se ha observado en los logs de Outlook eventos recurrentes de error asociados a la carga de módulos de descifrado y a la validación de certificados, que pueden ser monitorizados por equipos SOC:

– EventID: 1000 (Outlook.exe crash)
– Mensajes de error: “No se puede abrir este mensaje cifrado. Intente con Outlook en la web.”
– Logs de EWS y MAPI indicando “access denied” o “key not found”.

### 4. Impacto y Riesgos

El impacto principal se concentra en la pérdida temporal de confidencialidad operativa y en la interrupción de flujos de negocio críticos que dependen del cifrado de correo electrónico para el cumplimiento de normativas como GDPR o NIS2. Organizaciones del sector financiero, jurídico o sanitario, donde el correo cifrado es obligatorio, pueden enfrentarse a incumplimientos regulatorios y potenciales sanciones en caso de que la indisponibilidad de acceso derive en filtraciones accidentales o uso de canales alternativos inseguros.

Microsoft no ha publicado cifras exactas de afectados, pero estimaciones de consultoras independientes apuntan a que entre un 15% y un 22% de los usuarios de Outlook clásico en entornos empresariales podrían estar experimentando este problema, especialmente en despliegues con versiones 2208 a 2404 de Microsoft 365 Apps for enterprise.

### 5. Medidas de Mitigación y Recomendaciones

Hasta la publicación de un parche oficial, Microsoft recomienda a los administradores y usuarios afectados:

– Acceder a los mensajes cifrados a través de Outlook en la web (OWA), que no presenta el fallo.
– Evitar el reenvío de mensajes cifrados por otros canales.
– Supervisar los logs de aplicaciones para detectar intentos fallidos de descifrado.
– Revisar las políticas de Data Loss Prevention (DLP) para impedir la exportación de mensajes protegidos a plataformas no autorizadas.
– Implementar alertas temporales a los usuarios sobre la incidencia y los métodos seguros de acceso.
– Mantener actualizado el cliente de Outlook y monitorizar los canales de seguridad de Microsoft para la publicación de hotfixes o workarounds oficiales.

### 6. Opinión de Expertos

Expertos como Andrés Jiménez, CISO de una entidad bancaria española, señalan que “el fallo no solo afecta a la operativa, sino que crea un contexto de riesgo adicional al incentivar la búsqueda de soluciones alternativas potencialmente inseguras”. Desde firmas de análisis de amenazas como S21sec se advierte que “la gestión de incidentes de cifrado debe priorizar la continuidad del cumplimiento normativo, evitando prácticas ad hoc que puedan comprometer la trazabilidad o la integridad de los datos protegidos”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben reevaluar temporalmente sus políticas de intercambio de información cifrada, garantizando que los usuarios afectados cuenten con alternativas seguras para la consulta de mensajes críticos. En sectores regulados, la incapacidad para acceder a información protegida puede derivar en retrasos, sanciones o pérdida de confianza por parte de clientes y socios.

A nivel de usuario, es crucial evitar la descarga o el reenvío de mensajes cifrados a dispositivos no corporativos, y seguir los procedimientos que los equipos de IT y ciberseguridad dispongan para mantener la confidencialidad.

### 8. Conclusiones

El incidente de Outlook clásico subraya la necesidad de mantener mecanismos de continuidad operativa ante fallos en sistemas de cifrado críticos. La rápida reacción de Microsoft y la publicación de workarounds temporales mitigan el impacto, pero evidencian la dependencia de herramientas específicas en la protección de datos. Se recomienda a los equipos de seguridad mantenerse actualizados respecto a los comunicados oficiales de Microsoft y reforzar la formación de usuarios en el manejo seguro de información cifrada durante la vigencia del problema.

(Fuente: www.bleepingcomputer.com)