Mail bombing desactivado: qué es, cómo funciona y cómo protegerte

Imagínate despertar y encontrarte con miles de correos inundando tu bandeja de entrada: suscripciones a las que nunca te apuntaste, notificaciones aleatorias y spam acumulándose más rápido de lo que puedes eliminarlo. Es un ataque calculado y molesto, conocido como mail bombing, diseñado para enterrar los correos que te importan, tanto a ti como a tu empresa. En noviembre de 2024, se detectaron ataques de este tipo dentro de las operaciones del ransomware Black Basta. Los atacantes no solo recurrían al mail bombing, sino que también combinaban esta técnica con ingeniería social a través de Microsoft Teams, logrando que las víctimas aceptasen solicitudes falsas del departamento de IT y otorgasen acceso a través de herramientas de monitorización y gestión remota (RMM). 

En este artículo te contamos cómo funciona el mail bombing, por qué no es una simple molestia y, sobre todo, cómo puedes defender tu bandeja de entrada de esta táctica tan sigilosa. 

¿Qué es el mail bombing y por qué es importante? 

El mail bombing, también conocido como inundación de correos, es un tipo de ataque de Denegación de Servicio (DoS) que satura una dirección de correo electrónico o un servidor al enviar cientos o incluso miles de mensajes. Este ataque puede llevarlo a cabo una persona o un grupo utilizando una red de bots. El objetivo final del atacante es dejar prácticamente inutilizable el buzón de la víctima, ocultando correos importantes como inicios de sesión, restablecimientos de contraseñas, información sensible sobre transacciones financieras o confirmaciones de pedidos online bajo una avalancha de spam o correos basura. 

Este tipo de ataque aprovecha vulnerabilidades como la ausencia de límites de envío en los servidores de correo o aplicaciones web. Por ejemplo, el ataque puede dirigirse a funciones de suscripción que envían correos de confirmación sin implementar medidas robustas, como límites en el servidor o captchas en el cliente. Si el sistema sólo comprueba si un correo ya está suscrito antes de enviar un mensaje de “subscripción exitosa”, los atacantes pueden automatizar el proceso y saturar el buzón de la víctima con miles de correos, generando un caos considerable. Otra variante de estos ataques ocurre con servicios de newsletters que no verifican si realmente querías suscribirte. Aunque parezca una tontería, incluso ese correo de verificación inicial puede formar parte del ataque.  

El motivo y el tipo de ataques 

 
Esta táctica se usa sobre todo como un señuelo, para cubrir un correo electrónico que ya ha sido comprometido y llevar a cabo actividades todavía más maliciosas con el objetivo de avanzar en sus planes. El ataque basado en suscripciones, que provoca una Denegación de Servicio, tiene como propósito ocultar los rastros del movimiento lateral del atacante, facilitando así su acceso o el traslado a la infraestructura corporativa. De este modo, se reducen las posibilidades de que el equipo de seguridad los detecte. A continuación, te contamos brevemente cómo se desarrollan estos ataques y los métodos que suelen emplear: 

• El ataque basado en subscripciones se utiliza a menudo como una distracción para enterrar correos importantes, como los de transacciones legítimas, bajo montones de correos de confirmación de suscripciones. De esta forma, la víctima podría perder información importante y correos relevantes si intenta borrar en masa para librarse de este tipo de ataque, sin ser consciente del problema real. Por ejemplo, si un atacante consigue acceso a la cuenta de Payoneer de una víctima y realiza una transacción fraudulenta, la víctima normalmente recibiría un correo de confirmación de Payoneer con la información detallada de la transacción. En este caso, la víctima podría fácilmente alertar al equipo de soporte de Payoneer y rechazar la transacción. Sin embargo, si el atacante enmascara esta transacción mediante un ataque de mail bombing de suscripciones al mismo tiempo, la dirección de correo de la víctima se verá inundada con un gran número (normalmente cientos o incluso miles) de correos no deseados, y el correo de la transacción fraudulenta quedará sepultado en un caos de mensajes desordenados, que puede durar varias horas o incluso días. Este lío que crean los atacantes dificulta la investigación (si es detectado por el usuario final o el equipo de seguridad), y, para cuando se resuelve, puede que ya sea demasiado tarde. El atacante probablemente habrá logrado su objetivo, ya sea desplazándose lateralmente en el sistema o consiguiendo información aún más sensible, utilizando la avalancha de correos como cortina de humo. 
• Un ataque de Denegación de Servicio (DoS) tiene un objetivo similar, pero utiliza un enfoque ligeramente diferente. Como mencionamos antes, ataques como este pueden aprovecharse si el servidor de correo no tiene reglas de limitación de tasa (Rate-limiting), lo que abre una puerta para un ataque de denegación de servicio. Este ataque consiste en inundar el servidor con miles de correos en un período de tiempo corto, dejándolo inoperativo y evitando que se reciban correos críticos en tu empresa, lo cual tiene un impacto en la continuidad del negocio y en las operaciones del servicio.  

Además de lo anterior, un ataque DoS al servidor de correo electrónico puede ser una jugada para encubrir otro ciberataque que esté en marcha, como: 

• Exfiltración de datos: mientras el equipo de seguridad se mata en intentar solucionar la sobrecarga de correos, los atacantes pueden estar aprovechando vulnerabilidades en otras partes del sistema. Desde robar datos sensibles hasta colarte un ransomware o incluso dejar la infraestructura patas arriba. 
• Investigar la postura de seguridad de la empresa: al saturar el servidor, pueden detectar configuraciones mal hechas o, peor aún, que pasen desapercibidas. Y con esa información, luego montan un ataque mucho más sofisticado. 
• Extorsión: este es un clásico del DoS en servidores de correo. Muchas empresas dependen de que el correo funcione como un reloj, y si deja de hacerlo durante un tiempo, se arriesgan a perder clientes y cargarse su reputación. Los atacantes lo saben de sobra, así que aprovechan para exigir un rescate a cambio de restaurar el servicio. 
• Engaños para realizar un segundo ataque: esta táctica es otro clásico. Te llenan la bandeja de entrada hasta que no sabes que hacer y, de repente, te contacta alguien que dice ser del “Soporte de IT”. Puede que te escriban por Teams, te llamen por teléfono o usen cualquier otro canal. El supuesto técnico te asegura que ha detectado el problema y, muy amable, te pide que instales una herramienta de acceso remoto para arreglarlo. Lo que hacen, en realidad, es lanzar la segunda fase de su ataque. Por ejemplo, el grupo de ransomware Black Basta ya usa este truco, y seguro que otros no tardan en copiarles. 

Cómo defenderte de los ataques de mail bombing 

La clave para protegerte de este tipo de ataques es apostar por una defensa en profundidad. No existe una solución milagrosa que lo resuelva todo, así que lo mejor es combinar técnicas de detección en varias capas con herramientas avanzadas de aprendizaje automático. Esto no solo ayuda a prevenir los ataques, sino que también refuerza tu estrategia para combatirlos de forma más efectiva. Un enfoque práctico consiste en clasificar los correos en categorías, como spam o correo masivo, y aplicar filtros que detecten amenazas peligrosas, como malware, intentos de BEC (Business Email Compromise) o phishing. Estos filtros se encargan de poner en cuarentena los mensajes dañinos antes de que lleguen a tu bandeja de entrada. Además, te ayudan a reconocer los riesgos: y, ya sabes, cuanto más claro tengas dónde están los peligros, menos probabilidades hay de que caigas en una trampa. 

También es importante contar con una solución que permita hacer un seguimiento avanzado, con búsqueda precisa, control detallado del flujo de correos y detección de amenazas en tiempo real. Si a esto le sumas etiquetas de advertencia en los correos, estarás más preparado. Estas herramientas no solo refuerzan tu seguridad, sino que también te ayudan a desarrollar un “firewall humano”, es decir, ese instinto digital que te permite tomar decisiones más seguras. 

Más abajo descubriremos cómo el sistema de detección y protección inteligente de Hornetsecurity te ayuda a identificar y prevenir los ataques de mail bombing de forma eficaz.  

Identificación de patrones de notificación 

La protección contra spam y malware de Hornetsecurity te protege frente a ataques de denegación de servicio a gran escala y mail bombing. El sistema detecta automáticamente distintos tipos de correos electrónicos de notificación, como suscripciones a boletines, registros de cuentas, restablecimientos de contraseñas y alertas de seguridad. Además, supervisa la frecuencia con la que se envían estos correos electrónicos y activa la protección cuando es necesario. Una vez activada, el sistema pone en cuarentena de forma automática los correos que coincidan con el patrón de un ataque. 

Monitoreo de ataques de mail bombing con Email Live Tracking 

Si notas que tu sistema de correo empieza a ir más lento de lo habitual (los correos tardan en enviarse o no se reciben bien), puede que tu servidor esté intentando procesar un volumen masivo de mensajes. Este ataque se puede detener utilizando el módulo Email Live Tracking de Hornetsecurity, que te ofrece a ti y a los administradores una visibilidad completa y en tiempo real del tráfico de correos electrónicos. Así, podrás controlar tus propios correos entrantes y salientes, incluidos los que procedan de direcciones alias. Además, los administradores cuentan con un mayor control, ya que pueden visualizar todo el tráfico de correos de dominios o clientes desde el Control Panel y ajustar lo que necesiten en un par de clics. 

Por si fuera poco, los administradores pueden filtrar o buscar rápidamente los correos etiquetados como “mail bombing” para revisarlos o tomar medidas, según corresponda. 

Marcado e Identificación 

• Tipo de correo: los emails en cuarentena se clasifican como spam. 
• Motivo: cada correo lleva la etiqueta específica de mail bombing. 

Este sistema de etiquetado hace que gestionar los correos sea más sencillo, ya que recuperas rápidamente las comunicaciones legítimas si algún correo acaba en cuarentena por error. 

El módulo también se integra con servicios de archivado, así puedes acceder a correos históricos cuando lo necesites. Con vistas personalizables, filtros avanzados y opciones de exportación, Email Live Tracking te asegura una gestión eficiente del correo y te da toda la flexibilidad para detectar comportamientos raros o fuera de lo normal. Además, los auditores externos pueden echar un vistazo al tráfico de emails para temas de cumplimiento normativo, mejorando el control sin comprometer la privacidad de los correos marcados como privados. 

Estrategias de mitigación mediante listas de permitidos

Además de supervisar el correo electrónico, una estrategia de defensa proactiva eficaz es gestionar los permisos utilizando listas de permitidos. El módulo de Listas de permitidos y de denegación está pensado para que tú mismo puedas organizar el filtrado de correos de forma sencilla. Así, cada usuario crea sus propias listas personalizadas, mientras que los administradores controlan tanto las listas individuales como las que afectan a todo el dominio. Las listas de denegación sirven para identificar ciertos correos como spam y mandarlos directamente a la cuarentena, mientras que las listas de permitidos se encargan de que los correos de confianza pasen sin problemas los filtros de spam. A nivel de dominio, los administradores configuran las reglas para que ciertos filtros se omitan automáticamente, adaptándose a las necesidades específicas de la empresa. 

Características principales 

• Control personal y de dominio: cada usuario puede gestionar sus propias listas y los administradores tienen el control de la configuración a nivel de dominio. 
• Filtros personalizables: las listas de permitidos pueden pasar por alto los filtros de spam y otros a nivel de dominio. 
• Gestión sencilla: importa y exporta listas de correos en formato CSV para realizar actualizaciones masivas de manera rápida y sencilla. 

Los módulos que te hemos comentado antes son una herramienta clave para ayudar a las empresas a reforzar sus mecanismos de prevención. Ofrecen una gestión eficaz de los filtros de spam y permiten un monitoreo proactivo en tiempo real. Este enfoque proporciona un refuerzo sólido frente a la amenaza de los ataques de denegación de servicio (DoS), que están aumentando a un ritmo del 14% anual según la tasa compuesta de crecimiento (CAGR).

---

Protege tu correo de ataques de mail bombing con Hornetsecurity 

No dejes que los ataques de mail bombing entorpezcan las operaciones de tu negocio. Con el sistema Spam & Malware Protection de Hornetsecurity garantizas la continuidad de tu correo y mantienes tu bandeja de entrada segura de forma eficaz. 

Solicita una demo y descubre cómo Hornetsecurity mejora la seguridad de los correos de tu empresa. 

---

Conclusión 

Con esta información en mente, puede que tengamos una oportunidad frente al interminable ciclo de métodos, técnicas y tácticas que emplean los ciberdelincuentes. Como el correo electrónico es nuestra principal herramienta y medio de comunicación entre empresas y clientes, a menudo se convierte en el objetivo de estos ataques, explotando nuestra vulnerabilidad como seres humanos, que siempre seremos el blanco principal. Es duro admitirlo, pero es la realidad. Podemos optar por cerrar los ojos y cruzar los dedos o ser proactivos, reforzando nuestra infraestructura con técnicas y herramientas preventivas para protegernos de este tipo de ataques de “email bombing”. ¡Tú decides!