La realidad del M365 sin administración
Microsoft 365 es una de las plataformas más completas del mercado para trabajo colaborativo y seguridad empresarial. Pero también es una de las más mal configuradas. Muchas empresas pagan la licencia, crean los correos, y creen que ya está listo. No lo está.
⚠️ Una instalación básica de M365 sin configuración de seguridad es casi tan vulnerable como no tenerlo. Las amenazas más comunes explotan precisamente las configuraciones por defecto.
La checklist de los 10 puntos críticos
✅ 1. Autenticación multifactor (MFA) activada para todos
El 99% de los ataques de credenciales se evitan con MFA. Si algún usuario de tu empresa solo usa contraseña para entrar, es un riesgo activo. MFA debe estar habilitado para todos los usuarios, sin excepciones.
✅ 2. DMARC, DKIM y SPF configurados
Como vimos en el artículo sobre DMARC, sin estos tres protocolos tu dominio puede ser suplantado. Verifica en mxtoolbox.com que los tres estén activos y en modo enforce.
✅ 3. Contraseñas seguras y política de caducidad
Microsoft recomienda deshabilitar la caducidad automática de contraseñas si tienes MFA activado — es más seguro y menos molesto. Pero sí debes tener una política de complejidad mínima.
✅ 4. Backup de correos y datos
Sorprendente pero cierto: Microsoft NO hace backup de tus datos de forma que puedas restaurarlos fácilmente. Si borras un correo importante después del período de retención, se pierde. Necesitas una solución de backup independiente.
💡 Microsoft protege su infraestructura, pero la responsabilidad de respaldar tus datos es tuya. Esto sorprende a la mayoría de los administradores.
✅ 5. Acceso condicional configurado
El Acceso Condicional permite definir reglas como "solo permitir acceso desde dispositivos corporativos" o "bloquear acceso desde países donde no operamos". Es una de las funciones más poderosas de M365 y una de las menos usadas.
✅ 6. Revisión de aplicaciones con acceso al tenant
¿Sabes cuántas aplicaciones de terceros tienen acceso a tu M365? Herramientas de firma electrónica, CRM, marketing — todas piden permisos. Un inventario y limpieza periódica es esencial.
✅ 7. Configuración de retención de datos
¿Cuánto tiempo se guardan los correos borrados? ¿Los chats de Teams? Si tienes obligaciones legales o contractuales de conservar comunicaciones, necesitas configurar políticas de retención explícitas.
✅ 8. Alertas de seguridad activadas
M365 puede avisarte si alguien inicia sesión desde un país inusual, si se detecta actividad sospechosa, o si hay un intento de phishing. Estas alertas deben estar configuradas y alguien debe recibirlas.
✅ 9. Licencias asignadas correctamente
¿Tienes empleados que ya se fueron pero siguen con licencia activa? ¿Usuarios con Standard cuando solo necesitan Basic? Un inventario de licencias puede ahorrarte entre 20-40% de la factura mensual.
✅ 10. Documentación de accesos y administradores
¿Quién tiene acceso de administrador global? ¿Están documentadas las credenciales de emergencia? Si mañana el único administrador de tu tenant se va de la empresa, ¿qué pasa?
¿Cuántos tienes resueltos?
| Puntos resueltos | Diagnóstico |
|---|---|
| 8-10 | ✓ Excelente configuración |
| 5-7 | ⚠ Riesgos moderados — revisar urgente |
| 0-4 | ✗ Configuración crítica — actuar ya |
🔒 En iProject3 hacemos esta revisión completa como parte del diagnóstico gratuito. Agenda 30 minutos y te digo exactamente en qué estado está tu M365.
Fuentes y referencias
- Centro de administración de Microsoft 365 (Microsoft Learn, documentación oficial)
- Guía de seguridad de Microsoft 365 (Microsoft Learn, documentación oficial)
- Autenticación Multifactor en Microsoft Entra (Microsoft Learn, documentación oficial)
