Cómo proteger Microsoft Exchange: las nuevas recomendaciones globales

Cómo proteger Microsoft Exchange: las nuevas recomendaciones globales

En un esfuerzo coordinado sin precedentes, la NSA, CISA, el Australian Cyber Security Centre (ACSC) y el Canadian Centre for Cyber Security publicaron una guía conjunta para reforzar la seguridad de Microsoft Exchange Server.

El informe, titulado “Microsoft Exchange Server Security Best Practices”, surge en respuesta al incremento de ataques dirigidos contra entornos Exchange, muchos de ellos aún expuestos a vulnerabilidades conocidas o configuraciones obsoletas.

Riesgo persistente en entornos on-premises

Aunque muchas organizaciones han migrado a la nube, miles de empresas en sectores críticos aún operan servidores Exchange locales o híbridos. Estas infraestructuras, si no están debidamente actualizadas, representan una puerta de entrada privilegiada para el robo de datos y ataques de ransomware.

Los organismos de ciberseguridad advierten que Exchange debe considerarse bajo amenaza constante, e instan a las organizaciones a aplicar medidas inmediatas de mitigación.

Recomendaciones clave

1. Actualizar y aplicar parches sin demora.
   Asegurar que todos los servidores ejecuten las versiones más recientes y las actualizaciones acumulativas publicadas por Microsoft.
   
   
2. Migrar desde versiones fuera de soporte.
   Desde octubre de 2025, solo la edición de suscripción (Exchange Server SE) cuenta con soporte. Las versiones anteriores deben aislarse o retirarse de la red.
   
   
3. Activar el servicio de mitigación de emergencia (EM Service).
   Este servicio automatiza la aplicación de reglas de seguridad, bloqueando intentos de explotación conocidos.
   
   
4. Adoptar principios de Zero Trust y MFA.
   La autenticación multifactor y la verificación continua de usuarios y dispositivos reducen el impacto de credenciales comprometidas.
   
   
5. Cifrar y proteger las comunicaciones.
   Implementar TLS, Extended Protection y HSTS, y migrar de NTLM a Kerberos para prevenir ataques de relay.
   
   
6. Restringir accesos administrativos.
   Usar estaciones dedicadas, aplicar controles RBAC y dividir privilegios para evitar abuso de cuentas elevadas.
   
   
7. Reforzar los filtros de correo y autenticación.
   Integrar estándares como DMARC, SPF y DKIM junto con pasarelas seguras o soluciones de filtrado avanzadas.
   
   

Un llamado al cambio de paradigma

Esta guía refuerza la transición hacia modelos de seguridad continua y Zero Trust, donde ninguna conexión se considera segura por defecto. En un contexto donde los ataques evolucionan con rapidez, la actualización constante y la automatización de defensas ya no son opcionales.

En BQuantum, ayudamos a las empresas a fortalecer sus entornos híbridos, implementar cifrado robusto y automatizar la gestión de vulnerabilidades, garantizando continuidad operativa sin comprometer la seguridad.

Proteger Exchange es proteger la comunicación y los datos más sensibles de la organización.

‍