Duty Analyst: Sara Ríos Sánchez
EN / ES

Firma Legal – Compromiso de Correo Empresarial (BEC) y Decepción

Uso de SOC365 y dispositivos de engaño para detectar y contener un compromiso de correo empresarial que afectaba a un despacho legal.

Resumen

Una firma legal de tamaño medio detectó indicios de actividad sospechosa en el correo electrónico, incluyendo reglas anómalas, reenviadores y quejas de clientes sobre mensajes inusuales. La firma necesitaba determinar si las cuentas estaban comprometidas, prevenir fraudes de pago y tranquilizar a clientes clave.

Cyber Defence utilizó SOC365, la integración con Microsoft 365 y técnicas de engaño para identificar el comportamiento del atacante y contener el incidente.

Contexto

Contexto del cliente y objetivos

Sector

Firma legal que gestiona asuntos comerciales y de litigación sensibles.

Sistemas clave

Microsoft 365, gestión de casos, gestión documental y plataformas de trabajo remoto.

Objetivos

Identificar cuentas comprometidas, prevenir desvíos de pagos y proteger la confidencialidad del cliente.

Nuestro enfoque

1. SOC365 conectado a Microsoft 365 para ingerir registros de inicio de sesión, auditoría y actividad de buzones.

2. Ingeniería de detección centrada en reglas de reenvío sospechosas, manipulación de bandejas de entrada y patrones anómalos de inicio de sesión.

3. Decepción: colocación de buzones y credenciales señuelo diseñados para atraer a los atacantes.

4. Correlación con inteligencia de amenazas sobre infraestructura BEC conocida y dominios de phishing.

5. Remediación guiada para eliminar reglas maliciosas, aplicar MFA, restablecer credenciales y notificar a los clientes afectados cuando fuera necesario.

Resultados

Resultados

Alcance confirmado

Se confirmó que un pequeño número de cuentas estaba comprometido; el resto se verificó como no afectado.

Protección de pagos

No se procesaron pagos fraudulentos tras la remediación y las notificaciones a clientes.

Mejor detección

Se implementaron nuevas detecciones centradas en BEC en SOC365 para este y otros clientes del sector legal.

Telemetría de engaño

La interacción con buzones señuelo proporcionó evidencia clara del comportamiento del atacante sin afectar a usuarios reales.

Tranquilidad del cliente

La comunicación clara y la respuesta documentada reforzaron la confianza del cliente y la comodidad regulatoria.

Postura de identidad más fuerte

Se mejoró la adopción de MFA, las políticas de acceso condicional y los controles de sesión.