Seguridad en Microsoft 365 y Google Workspace: checklist de configuración esencial

Seguridad en Microsoft 365 y Google Workspace: checklist de configuración esencial

Una guía práctica para configurar controles clave y proteger cuentas, correos, archivos y accesos en suites colaborativas.

3 de junio de 2025

La seguridad en plataformas como Microsoft 365 y Google Workspace ya no es un tema exclusivo del área TI. Hoy, correo, archivos, videollamadas, calendarios, mensajería y colaboración diaria pasan por estos entornos, lo que los convierte en un objetivo prioritario para atacantes. Un error de configuración, una cuenta sin protección adicional o un permiso mal asignado puede abrir la puerta a fraudes, robo de información, secuestro de cuentas o filtraciones de datos sensibles.

Muchas organizaciones creen que, por usar servicios en la nube de proveedores líderes, la seguridad viene resuelta “por defecto”. En la práctica, esto es solo parcialmente cierto. Microsoft y Google entregan una base sólida de infraestructura, pero la configuración, la administración de identidades, la protección de datos y el control de accesos siguen siendo responsabilidad de cada empresa. En otras palabras: la nube compartida también implica una responsabilidad compartida.

Por eso, contar con un checklist de configuración es una forma simple y efectiva de revisar lo esencial, detectar brechas y elevar el nivel de protección sin perder operatividad. Este artículo resume los puntos más importantes que una empresa debería revisar en Microsoft 365 o Google Workspace, con foco en medidas concretas, comprensibles y de alto impacto.

¿Por qué Microsoft 365 y Google Workspace son objetivos frecuentes?

La respuesta es simple: concentran identidad, comunicación y datos. Si un atacante compromete una cuenta corporativa, no solo obtiene acceso al correo. También puede revisar archivos en la nube, suplantar identidad, enviar mensajes internos, acceder a reuniones, extraer contactos, modificar reglas de bandeja de entrada y, en algunos casos, escalar a otros sistemas conectados mediante inicio de sesión único.

Además, estas plataformas suelen integrarse con aplicaciones de terceros, dispositivos móviles y herramientas de productividad. Cada integración mal controlada amplía la superficie de ataque. A eso se suma un factor humano constante: contraseñas débiles, reutilización de claves, clics en enlaces fraudulentos y uso de equipos personales sin controles mínimos.

La buena noticia es que una parte importante de los incidentes más comunes puede prevenirse con configuraciones adecuadas y revisiones periódicas.

Checklist de seguridad para Microsoft 365 y Google Workspace

A continuación, revisamos un checklist práctico que aplica a ambas plataformas. Algunas funciones cambian de nombre según el proveedor o el plan contratado, pero el objetivo de seguridad es el mismo.

1. Activar autenticación multifactor para todos los usuarios

Este es el control más importante y, muchas veces, el más postergado. La autenticación multifactor agrega una segunda verificación además de la contraseña, como una app autenticadora, una llave física o un código temporal.

Qué revisar:

  • Que el MFA esté habilitado para todos los usuarios, no solo para administradores.
  • Que no dependa exclusivamente de SMS si existen alternativas más seguras.
  • Que las cuentas privilegiadas usen métodos robustos, idealmente aplicaciones autenticadoras o llaves de seguridad.
  • Que existan políticas para exigir MFA al iniciar sesión desde ubicaciones o dispositivos no confiables.

Riesgo de no hacerlo: una contraseña filtrada o adivinada puede bastar para tomar control de la cuenta.

2. Proteger especialmente las cuentas de administrador

Las cuentas con privilegios elevados son el objetivo más valioso para un atacante. Si una de ellas es comprometida, el impacto puede ser masivo.

Qué revisar:

  • Cuántas cuentas administradoras existen realmente.
  • Si cada administrador tiene una cuenta separada para tareas administrativas y otra para trabajo diario.
  • Si esas cuentas tienen MFA obligatorio y políticas más estrictas.
  • Si se evita usar cuentas globales para actividades rutinarias como leer correo o navegar.
  • Si se registran y monitorean las acciones administrativas.

Buena práctica: aplicar el principio de mínimo privilegio. Cada persona debe tener solo los permisos necesarios para su función.

3. Deshabilitar protocolos heredados o inseguros

En muchos incidentes, los atacantes aprovechan protocolos antiguos que no soportan autenticación moderna o MFA. Esto ocurre especialmente en configuraciones antiguas de correo.

Qué revisar:

  • Si están deshabilitados protocolos heredados cuando ya no son necesarios.
  • Si existen aplicaciones o dispositivos antiguos que todavía dependen de ellos.
  • Si se han definido excepciones temporales y controladas para casos justificados.

Riesgo de no hacerlo: aunque MFA esté activo, un protocolo antiguo puede transformarse en una vía de acceso paralela.

4. Configurar políticas de acceso condicional o contexto de acceso

No todos los inicios de sesión tienen el mismo nivel de riesgo. Una conexión desde una ubicación habitual y un equipo administrado no debería tratarse igual que un acceso desde otro país o desde un dispositivo desconocido.

Qué revisar:

  • Si existen reglas según ubicación geográfica, nivel de riesgo o tipo de dispositivo.
  • Si se bloquean o desafían accesos sospechosos.
  • Si se exige mayor verificación para aplicaciones sensibles o usuarios críticos.
  • Si se restringe el acceso desde países donde la empresa no opera.

Este tipo de control permite equilibrar seguridad y experiencia de usuario.

5. Revisar políticas de contraseñas y recuperación de cuentas

Aunque el MFA reduce mucho el riesgo, las contraseñas siguen siendo relevantes. También lo es el proceso de recuperación, porque muchas tomas de cuenta ocurren por mecanismos débiles de restablecimiento.

Qué revisar:

  • Si se promueve el uso de contraseñas robustas y únicas.
  • Si se bloquean contraseñas comunes o comprometidas.
  • Si el proceso de recuperación de cuenta está protegido y documentado.
  • Si los datos de recuperación están actualizados y bajo control.

En organizaciones con mayor madurez, conviene avanzar hacia esquemas con menos dependencia de la contraseña tradicional.

6. Asegurar el correo contra phishing y suplantación

El correo sigue siendo la principal puerta de entrada para ataques. Por eso, la seguridad del correo debe ir más allá del filtro antispam básico.

Qué revisar:

  • Si el dominio tiene correctamente configurados SPF, DKIM y DMARC.
  • Si existen políticas anti-phishing y anti-suplantación activas.
  • Si se marcan o bloquean mensajes sospechosos.
  • Si se revisan reglas de reenvío automático, especialmente hacia cuentas externas.
  • Si se monitorean campañas de phishing dirigidas a ejecutivos o finanzas.

Punto crítico: una mala configuración de autenticación de correo facilita fraudes como el Business Email Compromise, donde se suplanta a directivos o proveedores para pedir pagos o datos sensibles.

7. Controlar el uso compartido de archivos y enlaces

Tanto Microsoft 365 como Google Workspace facilitan compartir documentos en segundos. Esa facilidad mejora la colaboración, pero también puede exponer información si no se gobierna adecuadamente.

Qué revisar:

  • Si el uso compartido externo está permitido solo cuando es necesario.
  • Si los enlaces públicos o “cualquiera con el enlace” están restringidos.
  • Si existen vencimientos para enlaces compartidos.
  • Si se limita la descarga, copia o reenvío en documentos sensibles.
  • Si se monitorean archivos compartidos masivamente o con terceros no habituales.

Buena práctica: definir niveles de sensibilidad de la información y aplicar reglas distintas según el tipo de documento.

8. Gestionar dispositivos móviles y equipos conectados

El acceso a correo y archivos desde celulares, tablets y notebooks es parte del trabajo diario. Pero cada dispositivo sin control puede transformarse en un punto débil.

Qué revisar:

  • Qué dispositivos tienen acceso a datos corporativos.
  • Si existe gestión de dispositivos o al menos políticas mínimas de seguridad.
  • Si se exige bloqueo de pantalla, cifrado y versión actualizada del sistema operativo.
  • Si se puede revocar acceso o borrar información corporativa de forma remota.
  • Si los dispositivos personales están sujetos a políticas diferenciadas.

Esto es especialmente importante en esquemas híbridos o remotos.

9. Revisar aplicaciones de terceros conectadas

Muchas empresas autorizan herramientas externas para integrarse con correo, calendario, almacenamiento o identidad. A veces estas conexiones se aprueban sin suficiente evaluación.

Qué revisar:

  • Qué aplicaciones tienen permisos sobre cuentas o datos corporativos.
  • Si esos permisos son realmente necesarios.
  • Si existe un proceso de aprobación para nuevas integraciones.
  • Si se eliminan aplicaciones no usadas o de riesgo.
  • Si se restringe el consentimiento libre de usuarios a apps externas.

Una app con permisos excesivos puede exponer datos aunque la cuenta principal no haya sido comprometida directamente.

10. Activar auditoría y registros de actividad

No se puede proteger bien lo que no se observa. Los registros permiten detectar comportamientos anómalos, investigar incidentes y demostrar trazabilidad.

Qué revisar:

  • Si la auditoría está habilitada para eventos relevantes.
  • Si se registran inicios de sesión, cambios administrativos, compartición de archivos y reglas de correo.
  • Si los logs se conservan por un período adecuado.
  • Si existe revisión periódica o integración con herramientas de monitoreo.

Ejemplos de señales de alerta: múltiples intentos fallidos, inicios de sesión desde países inusuales, creación de reglas de reenvío, descargas masivas o cambios de permisos inesperados.

11. Configurar alertas de seguridad útiles

Tener registros es importante, pero reaccionar a tiempo lo es aún más. Las alertas ayudan a detectar eventos críticos antes de que el daño escale.

Qué revisar:

  • Si hay alertas para accesos sospechosos, elevación de privilegios y cambios de configuración sensibles.
  • Si se notifican actividades de riesgo en cuentas ejecutivas.
  • Si las alertas llegan a responsables definidos y no quedan sin seguimiento.
  • Si se revisa periódicamente la calidad de esas alertas para evitar ruido excesivo.

Una alerta mal diseñada puede perderse entre cientos de notificaciones irrelevantes. La clave es priorizar eventos de alto impacto.

12. Clasificar y proteger información sensible

No toda la información tiene el mismo valor ni el mismo nivel de exposición aceptable. Por eso, la seguridad moderna no solo protege cuentas, también protege datos.

Qué revisar:

  • Si la empresa ha definido qué considera información sensible.
  • Si existen etiquetas, categorías o niveles de clasificación.
  • Si se aplican restricciones automáticas a documentos con datos personales, financieros o contractuales.
  • Si se evita el envío accidental de información sensible fuera de la organización.

Dependiendo del plan y la madurez de la empresa, esto puede complementarse con políticas de prevención de pérdida de datos.

13. Configurar retención, respaldo y recuperación

Un error frecuente es asumir que sincronización equivale a respaldo. No es lo mismo. Si un archivo se elimina, cifra o modifica maliciosamente, la sincronización puede propagar el problema.

Qué revisar:

  • Qué políticas de retención existen para correos y archivos.
  • Cómo se recupera información eliminada o alterada.
  • Si hay necesidades regulatorias o contractuales de conservación.
  • Si la empresa cuenta con una estrategia de respaldo complementaria cuando corresponde.

La continuidad operativa depende tanto de prevenir incidentes como de recuperarse rápido.

14. Definir políticas para usuarios externos e invitados

La colaboración con proveedores, clientes o asesores externos es habitual. Sin embargo, los accesos de invitados suelen quedar activos más tiempo del necesario.

Qué revisar:

  • Cuántos usuarios externos tienen acceso actualmente.
  • Si esos accesos expiran automáticamente.
  • Si se revisan periódicamente los permisos de invitados.
  • Si los invitados tienen acceso solo a recursos específicos.

Un acceso externo olvidado puede convertirse en una brecha silenciosa.

15. Capacitar a los usuarios en riesgos reales

La tecnología sola no basta. Un usuario puede tener MFA y aun así caer en una página falsa, aprobar una notificación fraudulenta o compartir un archivo con la persona equivocada.

Qué revisar:

  • Si la empresa realiza capacitaciones breves y periódicas.
  • Si se enseñan señales concretas de phishing, fraude y suplantación.
  • Si los usuarios saben cómo reportar un incidente o correo sospechoso.
  • Si se refuerzan buenas prácticas de uso compartido y protección de información.

La formación debe ser práctica, simple y continua, no una charla aislada una vez al año.

Diferencias prácticas entre Microsoft 365 y Google Workspace

Aunque el checklist es muy similar, hay diferencias operativas que conviene considerar.

En Microsoft 365, la seguridad suele apoyarse fuertemente en servicios de identidad, acceso condicional, protección de correo y administración de dispositivos dentro del ecosistema Microsoft. Esto ofrece mucha granularidad, pero también puede volver la configuración más compleja si no existe una estrategia clara.

En Google Workspace, la administración suele percibirse como más simple en ciertos escenarios, especialmente en organizaciones que priorizan rapidez y estandarización. Sin embargo, esa simplicidad no elimina la necesidad de revisar permisos, compartir archivos, aplicaciones conectadas y controles de acceso avanzados.

La conclusión no es que una plataforma sea “segura” y la otra no. Ambas pueden alcanzar un muy buen nivel de protección, siempre que la configuración responda al contexto real de la empresa, su tamaño, su industria y sus riesgos.

Errores comunes que conviene evitar

Más allá del checklist, hay fallas recurrentes que aparecen en muchas organizaciones:

  • Activar MFA solo para gerencia o TI, dejando al resto expuesto.
  • Mantener cuentas de administrador sin uso controlado.
  • Permitir compartir archivos públicamente por defecto.
  • No revisar reglas de reenvío de correo.
  • Dejar usuarios inactivos o exempleados con acceso vigente.
  • Autorizar aplicaciones de terceros sin evaluación.
  • No monitorear eventos de seguridad relevantes.
  • Confiar en la configuración inicial y no hacer revisiones periódicas.

Estos errores no siempre generan incidentes inmediatos, pero sí aumentan significativamente la superficie de riesgo.

Cómo priorizar si no puedes hacer todo al mismo tiempo

No todas las empresas tienen el mismo nivel de madurez ni los mismos recursos. Si hay que priorizar, una secuencia razonable sería:

  1. Activar MFA para todos.
  2. Proteger cuentas administrativas.
  3. Endurecer seguridad del correo y autenticación del dominio.
  4. Revisar compartición externa de archivos.
  5. Controlar dispositivos y aplicaciones conectadas.
  6. Habilitar auditoría, alertas y revisión periódica.
  7. Avanzar en clasificación de datos y políticas más finas.

Este enfoque permite reducir riesgos críticos rápidamente y luego madurar la postura de seguridad por etapas.

La seguridad como proceso, no como proyecto puntual

Uno de los mayores errores es tratar la seguridad de Microsoft 365 o Google Workspace como una tarea de una sola vez. La realidad cambia constantemente: entran nuevos usuarios, se suman integraciones, cambian los dispositivos, aparecen nuevas amenazas y evolucionan las funcionalidades de la plataforma.

Por eso, más que una configuración inicial, lo recomendable es establecer un proceso de revisión continua. Esto incluye auditorías periódicas, validación de permisos, análisis de incidentes, actualización de políticas y acompañamiento a los usuarios.

En empresas en crecimiento, este punto es aún más importante. Lo que funcionaba con 20 personas puede ser insuficiente con 100, especialmente si hay trabajo remoto, múltiples sedes, proveedores externos o exigencias regulatorias.

Conclusión

Microsoft 365 y Google Workspace son plataformas potentes, flexibles y ampliamente adoptadas, pero su seguridad depende en gran medida de cómo se configuran y administran. No basta con contratar la herramienta: hay que gobernarla.

Un buen checklist permite ordenar prioridades, cerrar brechas frecuentes y reducir riesgos concretos como phishing, suplantación, fuga de datos o accesos no autorizados. La clave está en combinar controles técnicos, buenas prácticas operativas y capacitación de usuarios.

Si tu organización usa alguna de estas suites y no ha revisado su configuración recientemente, probablemente existan oportunidades claras de mejora. Y muchas de ellas pueden implementarse con impacto rápido y sin afectar la productividad.

La mejor seguridad no es la más compleja, sino la que está bien diseñada, bien aplicada y revisada de forma constante.

Si tu empresa utiliza Microsoft 365 o Google Workspace, en HDTI podemos ayudarte a evaluar la configuración actual, detectar brechas y definir mejoras concretas según tu nivel de riesgo y operación. También te apoyamos en la implementación de controles, políticas y buenas prácticas para proteger cuentas, correos, archivos y accesos sin frenar la productividad.

Solicita una asesoría

Etiquetas:
CiberseguridadSeguridad informática ChileCloud computingAzureGoogle CloudConsultora informática

¿Necesitas proteger tu empresa de amenazas digitales?

En HDTI ofrecemos evaluaciones de vulnerabilidad, pentesting y monitoreo continuo de seguridad.

Conoce nuestros servicios de ciberseguridad
Buenas prácticas de compras TI: cómo elegir proveedores y evitar el cautiverio tecnológico
Claves para comprar tecnología con criterio, negociar mejor y mantener el control de tus sistemas y datos.