AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Microsoft rectifica y elimina el límite de 2.000 destinatarios externos diarios en Exchange Online**

admin

### Introducción

Microsoft ha dado marcha atrás en su decisión de implementar un límite diario de 2.000 destinatarios externos para los remitentes de correos electrónicos masivos en Exchange Online. Este cambio de rumbo, anunciado el 20 de junio de 2024, responde a los comentarios de clientes empresariales y a las implicaciones operativas que la medida habría tenido sobre flujos críticos de comunicación y servicios automatizados. El anuncio inicial, realizado en mayo, había generado preocupación entre CISOs, administradores de sistemas y responsables de cumplimiento normativo debido a su impacto potencial tanto en la operativa interna como en la gestión de riesgos de ciberseguridad.

### Contexto del Incidente

En mayo de 2024, Microsoft notificó que, a partir del 1 de enero de 2025, Exchange Online limitaría a 2.000 el número de destinatarios externos diarios permitidos para los remitentes de correo masivo. Esta restricción se enmarcaba en una serie de medidas orientadas a combatir el envío de spam, reducir el riesgo de abuso de cuentas comprometidas y alinearse con las mejores prácticas del sector en materia de correo electrónico empresarial. El límite afectaba tanto a usuarios individuales como a cuentas de servicio, generando inquietud en sectores como el marketing, recursos humanos y servicios automatizados que dependen del envío de grandes volúmenes de correo legítimo a destinatarios externos.

Tras semanas de debate y feedback por parte de la comunidad profesional, Microsoft ha decidido cancelar la implantación de este límite, comprometiéndose a buscar alternativas menos disruptivas y mejor adaptadas a los distintos perfiles de uso.

### Detalles Técnicos

La medida inicialmente anunciada por Microsoft suponía restringir a 2.000 el número de destinatarios externos únicos por remitente y día en Exchange Online. Bajo este esquema, cualquier correo dirigido a varios destinatarios externos contaría cada uno de ellos para el cómputo del límite diario; por ejemplo, un mensaje enviado a 100 destinatarios externos supondría un avance de 100 en el contador.

Este control pretendía reducir la superficie de ataque ante campañas de phishing (MITRE ATT&CK T1566), abuso de cuentas comprometidas (T1078) y propagación de malware por correo masivo (T1193). Sin embargo, no distinguía entre envíos legítimos y actividades maliciosas, ni ofrecía excepciones para servicios críticos o procesos automatizados.

No se trataba de una limitación configurable a nivel de tenant, lo que dificultaba la adaptación a casos de uso específicos. Además, Microsoft no publicó indicadores de compromiso (IoC) asociados al abuso de la funcionalidad ni exploits conocidos, aunque el riesgo de explotación a través de credenciales expuestas seguía siendo relevante.

Actualmente, Exchange Online mantiene otros controles, como límites de envío por hora y restricciones en el número total de destinatarios diarios (habitualmente 10.000), pero el límite específico para destinatarios externos masivos ha quedado en suspenso.

### Impacto y Riesgos

El principal riesgo identificado por los expertos era el bloqueo de flujos legítimos de comunicación, campañas de notificación masiva (como alertas de seguridad o comunicados legales) y servicios de automatización esenciales. Sectores como la banca, educación o sanidad (en su vertiente administrativa y no clínica) se veían especialmente afectados, ya que dependen de la entrega masiva de notificaciones a usuarios finales.

Desde el punto de vista de ciberseguridad, el límite pretendía reducir la capacidad de cuentas comprometidas para lanzar campañas de phishing o spam a gran escala, un vector frecuente en ataques de Business Email Compromise (BEC) y ransomware. Aun así, la no distinción entre tráfico legítimo y malicioso podía provocar denegaciones de servicio internas y exposición a sanciones por incumplimiento de acuerdos de nivel de servicio (SLA).

### Medidas de Mitigación y Recomendaciones

Ante la cancelación del límite, los profesionales deben reforzar otras medidas de defensa en profundidad:

– **Monitorización de actividad anómala:** Revisar logs de envío y alertas de actividad sospechosa usando herramientas SIEM integradas (Microsoft Sentinel, Splunk, etc.).
– **Autenticación multifactor (MFA):** Imprescindible para todas las cuentas con privilegios de envío masivo.
– **Revisión de permisos y segmentación:** Limitar el acceso a funciones de envío masivo solo a cuentas y aplicaciones estrictamente necesarias.
– **Implementación de políticas de DLP** (Data Loss Prevention): Para evitar filtraciones accidentales o intencionadas.
– **Simulacros de phishing y formación continua:** Para reducir el riesgo de compromisos iniciales.
– **Revisión de contratos y cumplimiento:** Adaptar políticas internas a los requisitos de GDPR y NIS2 en cuanto a retención de logs, notificación de incidentes y protección de datos personales en envíos masivos.

### Opinión de Expertos

Varios analistas de seguridad y administradores de sistemas han valorado positivamente la decisión de Microsoft, aunque consideran que la amenaza que supone el abuso de cuentas Exchange Online sigue vigente. “La clave está en implementar controles inteligentes y adaptativos, no en límites arbitrarios que impactan negativamente en la operativa”, señala Elena Torres, CISO de una multinacional europea.

Por su parte, consultores de cumplimiento advierten: “La automatización de controles, la segmentación granular y una política de zero trust deben ser prioritarias frente a restricciones globales poco flexibles”.

### Implicaciones para Empresas y Usuarios

Para las empresas, la retirada del límite reduce el riesgo de interrupciones involuntarias en procesos críticos y minimiza los costes asociados a la adaptación de sistemas y flujos de trabajo. Sin embargo, la responsabilidad de proteger las cuentas Exchange Online frente a abusos sigue recayendo en los equipos de ciberseguridad y administración.

El sector debe prepararse para posibles futuras restricciones más selectivas y para la adopción de estándares de envío seguro (como DMARC, DKIM y SPF), en línea con las tendencias regulatorias y de mercado.

### Conclusiones

La decisión de Microsoft de cancelar la imposición de un límite diario de 2.000 destinatarios externos en Exchange Online responde a la presión del sector y a la complejidad de los casos de uso corporativos. No obstante, el reto de frenar el abuso de envíos masivos permanece, por lo que es imprescindible reforzar las políticas de seguridad, monitorización y cumplimiento, anticipando futuras regulaciones y cambios en los servicios cloud.

(Fuente: www.bleepingcomputer.com)