A principios de junio de 2026, la empresa suiza de ciberseguridad InfoGuard Labs reveló una vulnerabilidad que denominaron Ghost-Sender: una configuración incorrecta en Microsoft Exchange Online que permite a un atacante entregar correos electrónicos suplantando a cualquier remitente – interno o externo – directamente en la bandeja de entrada de una organización objetivo, evitando por completo la autenticación SPF, DKIM y DMARC.
Microsoft fue notificado el 21 de abril de 2026. Para el 29 de mayo de 2026, el Centro de Respuesta de Seguridad de la empresa había clasificado el problema como una limitación arquitectónica conocida en lugar de una vulnerabilidad del producto. No se ha publicado ninguna corrección a nivel de plataforma. La responsabilidad de la remediación recae completamente en los administradores de Exchange Online.
Esta no es una falla teórica que espera ser explotada. El soporte de Microsoft confirmó a los investigadores que un problema relacionado está siendo explotado activamente en la práctica. El análisis preliminar sugiere que más del 20 por ciento de los entornos de Exchange Online con registros MX externos no tienen aplicada ninguna mitigación.
Cómo Funciona Ghost-Sender
La vulnerabilidad requiere una configuración específica pero común: una organización que utiliza Exchange Online, o Exchange local en modo híbrido, donde el registro MX de la organización apunta a una puerta de enlace de correo electrónico de terceros en lugar de directamente a los servidores de Microsoft. Esta configuración es extremadamente común entre las organizaciones que utilizan soluciones comerciales de filtrado de spam de proveedores como Proofpoint, Mimecast, Barracuda u otros servicios similares.
En una implementación que funciona correctamente, el correo entrante llega primero a la puerta de enlace de terceros. La puerta de enlace aplica filtrado de spam, cumplimiento de políticas y análisis de seguridad, y luego transfiere el correo limpio a Exchange Online a través de una ruta de retransmisión configurada. La expectativa es que Exchange Online solo reciba correo electrónico que ya haya pasado por el filtro externo.
El problema es que el endpoint *.mail.protection.outlook.com de Exchange Online es de acceso público y acepta conexiones SMTP directas. Un atacante que identifica este endpoint puede eludir completamente la puerta de enlace de terceros, enviando correo electrónico directamente a Exchange Online mientras suplanta cualquier dirección de remitente. Debido a que el correo llega a través de lo que Exchange trata como una ruta interna de confianza, las políticas estándar de antispam y antiphishing – incluida la configuración “Honor DMARC” – no se aplican. El mensaje suplantado se entrega en la bandeja de entrada.
Desde la perspectiva del destinatario, el correo electrónico parece provenir de un remitente legítimo. La dirección De puede indicar cualquier cosa: un colega, un ejecutivo, un proveedor de confianza, un banco. La infraestructura de envío real es invisible a menos que el destinatario inspeccione los encabezados del mensaje en bruto.
Por Qué la Autenticación No Puede Ayudar en Este Escenario
SPF, DKIM y DMARC están diseñados para verificar que un mensaje que afirma provenir de un dominio determinado fue realmente enviado por la infraestructura autorizada de ese dominio. Funcionan como comprobaciones del lado del servidor receptor: el servidor de correo del destinatario consulta los registros DNS del remitente y verifica las firmas en el mensaje.
Ghost-Sender no intenta falsificar credenciales que superen la verificación DMARC. Hace algo diferente: aprovecha el hecho de que el procesamiento entrante de Exchange Online trata las conexiones directas a su endpoint de manera distinta a los mensajes transmitidos a través de la puerta de enlace externa. Cuando un correo electrónico llega directamente a *.mail.protection.outlook.com en esta configuración, Exchange Online aplica un contexto de política diferente – uno en el que la verificación Honor DMARC no se activa.
Esto significa que incluso si el dominio suplantado tiene una política DMARC p=reject, el mensaje igualmente se entrega. El registro DMARC del remitente dice “rechazar correo electrónico no autenticado que afirme ser de este dominio”, pero Exchange Online no está realizando esa consulta en primer lugar.
Es importante ser preciso sobre lo que esto significa. Ghost-Sender no rompe DMARC como protocolo. Evita la condición bajo la cual Exchange Online consulta la política DMARC para el correo entrante en implementaciones híbridas. El protocolo en sí funciona correctamente. La brecha está en cómo Exchange Online decide cuándo aplicarlo.
La Escala de la Exposición
La investigación de InfoGuard indica que esta no es una configuración incorrecta de caso extremo. Cualquier organización que use Exchange Online junto con un registro MX externo – para filtrado de spam, archivo, análisis de cumplimiento o propósitos de puerta de enlace de correo electrónico – es potencialmente vulnerable si no se han aplicado mitigaciones específicas. El análisis preliminar de entornos escaneados públicamente sugiere que menos de la mitad de las organizaciones en esta configuración han implementado una mitigación.
La categoría de organizaciones afectadas es significativa. Las puertas de enlace de correo electrónico de terceros son infraestructura estándar en servicios financieros, atención médica, entornos legales y empresariales – precisamente las categorías de organizaciones más frecuentemente suplantadas en campañas de compromiso de correo electrónico empresarial y spear phishing. Un atacante que puede entregar correo electrónico que parece provenir de una dirección interna del departamento de finanzas, o de un bufete de abogados externo de confianza, en un entorno donde los destinatarios no tienen razón para sospechar suplantación, ha evitado una parte sustancial de la inversión en seguridad de correo electrónico de la organización.
Lo Que Dijo Microsoft
InfoGuard contactó a Microsoft el 21 de abril de 2026. El Centro de Respuesta de Seguridad de Microsoft cerró el informe inicial como no-vulnerabilidad. El compromiso posterior resultó en que Microsoft reconociera el problema como una limitación arquitectónica conocida el 29 de mayo de 2026, sin compromiso de una corrección a nivel de plataforma.
Esta respuesta coloca a Ghost-Sender en la misma categoría que varios otros comportamientos arquitectónicos de Exchange Online que se han planteado como preocupaciones de seguridad a lo largo de los años: la posición de Microsoft es que la configuración correcta del producto evita la vulnerabilidad, y que la responsabilidad de la configuración correcta corresponde al cliente.
Sea o no razonable esa posición, la consecuencia práctica es que cada entorno de Exchange Online que utiliza un registro MX externo debe ser verificado y, si es necesario, corregido por su administrador. No se espera ningún parche.
Las Dos Mitigaciones
InfoGuard identificó dos configuraciones que bloquean Ghost-Sender:
La primera es implementar un conector entrante de Organización Asociada con una coincidencia de dominio comodín y restricción de remitente basada en IP o certificado. Este conector indica a Exchange Online que solo acepte correo electrónico entrante de rangos de IP o certificados especificados, rechazando las conexiones directas de fuentes no aprobadas antes de que comience el procesamiento del correo.
La segunda es crear una regla de flujo de correo de prioridad 0 – la prioridad más alta disponible – que ponga en cuarentena todo el correo entrante que no se origine en rangos de IP aprobados o que no lleve el encabezado X-MS-Exchange-Organization-AuthAs: Internal. Esta regla intercepta los mensajes que llegan a través de la ruta directa y los aísla antes de que lleguen a las bandejas de entrada de los destinatarios.
Ambas mitigaciones requieren acceso administrativo a Exchange Online y una configuración cuidadosa para evitar interrumpir el flujo de correo legítimo. Implementarlas sin pruebas puede causar fallas en la entrega de correo legítimo, por lo que el enfoque recomendado es primero configurar la regla de flujo de correo para agregar un encabezado de advertencia en lugar de poner en cuarentena, verificar que todas las fuentes de mensajes legítimas estén correctamente identificadas y luego fortalecer la cuarentena.
Lo Que Esto Significa para su Estrategia DMARC
Ghost-Sender no cambia el valor de la aplicación de DMARC. Si su dominio tiene una política p=reject, todavía está previniendo correctamente que su marca sea utilizada en campañas de phishing que pasan por rutas de entrega estándar. La gran mayoría de la infraestructura de correo electrónico en Internet aplica las verificaciones DMARC según lo esperado.
Lo que Ghost-Sender demuestra es un problema más acotado: configuraciones específicas de Exchange Online crean una condición en la que DMARC no se consulta para el correo entrante, independientemente de la política del dominio del remitente. Las organizaciones que ejecutan Exchange Online con un registro MX externo deben verificar que hayan aplicado las mitigaciones, independientemente de su propio estado de implementación DMARC.
Los informes agregados de DMARC pueden ayudar aquí de manera indirecta. Si su dominio está en p=reject y sus informes agregados muestran fuentes de envío inusuales – fuentes que no reconoce y no autorizó – puede indicar que su dominio está siendo utilizado en ataques estilo Ghost-Sender dirigidos a otras organizaciones con configuraciones similares. Los informes le brindan visibilidad sobre cómo se está usando su dominio en Internet, incluso cuando la ruta de ataque evita la evaluación DMARC en el extremo receptor.
La lección estructural de Ghost-Sender es la misma que ha surgido de cada divulgación importante de suplantación de correo electrónico: las brechas de autenticación existen en cada capa de la pila de infraestructura de correo electrónico, y cualquiera de ellas puede hacer que las demás sean ineficaces en escenarios específicos. Las organizaciones mejor protegidas son las que combinan la aplicación correcta de DMARC en sus propios dominios con el monitoreo activo de lo que se entrega a sus usuarios – no solo de lo que se envía en su nombre.
Excello Mail ofrece análisis de informes agregados de DMARC, descubrimiento de fuentes de envío y cumplimiento guiado para cada dominio que administra. Regístrese gratis en Excello Mail y obtenga visibilidad completa de quién envía correo electrónico en nombre de su marca – y qué llega a las bandejas de entrada de sus usuarios.