Microsoft corrige un error que enviaba tráfico a una empresa en Japón afectando a cuentas de prueba de Outlook

En determinados escenarios de pruebas técnicas, las cuentas automáticas de Outlook utilizaron durante años la función de autoconfiguración de servidores, enviando información simulada a direcciones que terminaron por redirigir datos hacia servidores de la empresa japonesa Sumitomo Electric Industries. La anomalía, documentada recientemente por ArsTechnica y confirmada por Microsoft, permaneció activa al menos desde 2020 e implicó un fallo en la asignación de dominios de prueba durante la configuración automática.

Según reportó ArsTechnica, la raíz del error residió en la incorrecta manipulación por parte de algunos sistemas de Outlook del dominio de prueba 'example.com', un dominio reservado internacionalmente para pruebas por el grupo IETF bajo la normativa RFC2606. De acuerdo con el estándar vigente, este tipo de dominios ('example.com', 'example.net', 'example.org') está destinado a ensayos internos de software, no debe encontrarse disponible para compra ni direccionar tráfico hacia entidades ajenas.

Microsoft detalló que el asunto implicó el servicio de Autodiscover, la herramienta de configuración automática de Outlook que facilita el ajuste de parámetros para servidores de correo a través de protocolos IMAP y SMTP. En los casos afectados, al intentar conectar una cuenta de prueba bajo el dominio 'example.com', el sistema terminaba sugiriendo involuntariamente servidores vinculados a dominios corporativos reales —en particular subdominios como 'sei.co.jp' pertenecientes a Sumitomo Electric Industries— y no a infraestructuras internas de Microsoft.

El medio ArsTechnica explicó que, por esta vía, cada vez que Outlook completaba una autoconfiguración usando estos dominios de prueba, solicitudes y credenciales de test eran enviadas fuera de la red de Microsoft y respondidas desde ubicaciones verdaderas en Japón. De esta forma, sin que la compañía lo advirtiera, datos de configuración simulada circularon hacia servidores externos a lo largo de, al menos, los últimos seis años.

El incidente solo afectó cuentas creadas expresamente para pruebas que emplearon la función de configuración automática. Microsoft remarcó al citado medio que los datos que circularon de forma errónea correspondieron siempre a información generada con fines de testeo y que no hubo exposición de credenciales reales ni de datos personales. Las pruebas que utilizaron dominios de ejemplo no tenían potencial de ser interceptadas o explotadas con fines maliciosos, precisó la empresa.

El conflicto salió a la luz durante una investigación compartida por ArsTechnica en enero del presente año. Posteriormente, Microsoft comunicó que ha modificado el servicio de Autodiscover para evitar que se sugieran configuraciones sobre example.com u otros dominios de prueba estandarizados, cerrando así la ruta que permitió el desvío del tráfico.

La empresa señaló que mantiene activa la investigación para aclarar todas las causas del error, aunque hasta el momento no se ha detectado que terceros hayan accedido o utilizado indebidamente la información que circuló debido a este fallo. La actualización aplicada garantiza, según declaraciones de Microsoft al medio especializado, que desde ahora las configuraciones automáticas no ofrecerán como sugerencia servidores ajenos a la compañía cuando se utilicen dominios de prueba reservados.

La normativa RFC2606 se diseñó precisamente para evitar que estos dominios sean utilizados en pruebas de software que luego generen tráfico en redes externas, lo que puede acarrear la exposición inadvertida de información técnica o simulada. En esta ocasión, la conservación de los estándares internacionales resultó insuficiente, dado que los sistemas de asignación automática de Outlook no distinguieron con precisión entre los dominios reservados para pruebas y los de empresas reales fuera del ecosistema de Microsoft.

Entre tanto, la investigación difundida por ArsTechnica contribuyó a que Microsoft rastreara la extensión de la anomalía, que habría estado presente desde principios del año 2020 y que afectó únicamente a credenciales y configuraciones diseñadas para ejercicios internos o investigaciones. La revisión de las direcciones utilizadas por Autodiscover reveló que la incorrecta resolución de dominios de ejemplo provocó que solicitudes legítimas para ensayos internos en ocasiones fuesen interpretadas por servidores externos, particularmente de Sumitomo Electric Industries en Japón.

Microsoft subrayó al medio estadounidense que no identificó indicios de que este desvío accidental de tráfico tuviera implicaciones en la seguridad de usuarios reales, ya que las cuentas empleadas para la autoconfiguración estaban destinadas a tests, sin corresponder a usuarios reales ni a información personal, financiera o comercial. Las acciones correctivas incluyeron la actualización del software y la revisión de los procesos internos vinculados al sistema de autodescubrimiento para impedir que esta situación pueda repetirse con otros dominios de prueba en el futuro.

El incidente, según publicó ArsTechnica, puso de relieve la relevancia de respetar estrictamente los estándares y reservas de dominios en el desarrollo y mantenimiento de servicios automatizados de configuración, ya que una pequeña desviación puede conducir a un flujo inadvertido de datos fuera de los entornos controlados, incluso cuando se trate solamente de información de testeo contenida en cuentas simuladas.

A lo largo del proceso, la compañía de Redmond reiteró ante ArsTechnica su compromiso para identificar este tipo de deficiencias en sus sistemas y reforzar las medidas de control sobre los mecanismos automáticos empleados en sus plataformas de correo electrónico. Microsoft subrayó a este medio que los esfuerzos de remediación y monitoreo sobre el caso continuarán hasta asegurar que escenarios similares no vuelvan a ocurrir en el futuro inmediato.