Las agencias de ciberseguridad de Estados Unidos y sus aliados internacionales emitieron una guía técnica con medidas prioritarias para reducir el riesgo de ataques a entornos locales e híbridos de Microsoft Exchange. La iniciativa surge tras vulnerabilidades críticas que expusieron miles de servidores en todo el mundo.
La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y la Agencia de Seguridad Nacional (NSA) de Estados Unidos, junto con el Centro Canadiense de Ciberseguridad y el Centro Australiano de Ciberseguridad, publicaron una serie de buenas prácticas de seguridad para servidores Microsoft Exchange, orientadas a proteger los sistemas de correo corporativo frente a ataques que continúan afectando a entornos locales e híbridos.
El documento técnico, denominado Microsoft Exchange Server Security Best Practices, recomienda un conjunto de acciones prioritarias que incluyen restringir el acceso administrativo, habilitar la autenticación multifactor (MFA), reforzar la seguridad del transporte (TLS), mantener los sistemas actualizados y adoptar principios de seguridad Zero Trust (ZT). Las agencias destacaron que estas medidas son fundamentales para mitigar los riesgos asociados a servidores que permanecen expuestos o ejecutan versiones fuera de soporte (End-of-Life, EOL).
La guía también aconseja a las organizaciones migrar hacia entornos Microsoft 365 o servicios de correo seguros y retirar los servidores Exchange locales o híbridos antiguos, ya que mantenerlos operativos “puede exponer a las organizaciones a ataques y aumentar significativamente el riesgo de una brecha de seguridad”, advierte el documento.
Entre las prácticas técnicas sugeridas se encuentran activar el servicio Emergency Mitigation (EM) de Microsoft, usar autenticación moderna y protocolos seguros como Kerberos y SMB en lugar de NTLM, y aplicar configuraciones estrictas de transporte mediante HTTP Strict Transport Security (HSTS). También se recomienda implementar control de acceso basado en roles (RBAC), habilitar la firma de certificados en el entorno de administración y monitorear actividades sospechosas como intentos de manipulación de encabezados o suplantación de remitentes.
El nuevo marco de seguridad amplía las disposiciones de la Directiva de Emergencia 25-02 emitida por CISA en agosto de 2025, que exigió a las agencias federales estadounidenses mitigar una vulnerabilidad crítica (CVE-2025-53786) en un plazo de cuatro días. Dicha falla afectaba a Exchange Server 2016, 2019 y la edición por suscripción, permitiendo a atacantes con acceso administrativo desplazarse lateralmente hacia entornos en la nube de Microsoft.
Las agencias señalaron que la cooperación internacional es clave para enfrentar los riesgos globales que afectan a las plataformas de correo corporativo. Asimismo, alentaron a las organizaciones a evaluar la adopción de soluciones en la nube que cuenten con configuraciones seguras por defecto, como las ofrecidas a través del programa SCuBA de CISA.