Volver al blog
Microsoft 365 y Google Workspace: Cómo asegurar la oficina que vive en la nube
Mejores Prácticas

Microsoft 365 y Google Workspace: Cómo asegurar la oficina que vive en la nube

M365 y Google Workspace son las herramientas más usadas por PYMEs en Centroamérica y también las más atacadas. Conocé las configuraciones de seguridad críticas que vienen apagadas por defecto y cómo activarlas antes de que sea demasiado tarde.

Equipo Cibershield5 Jun, 202611 min de lectura

Tu oficina tiene puertas que nadie cerró porque "venían abiertas de fábrica"

Imaginá que te mudás a una oficina nueva. El edificio es moderno, tiene sistema de cámaras, tarjetas de acceso y todo lo necesario. Pero el encargado del edificio te entrega las llaves y menciona, casi de pasada, que las cerraduras de los archiveros vienen sin contraseña por defecto, que las cámaras no graban a menos que las configures manualmente, y que la alarma está apagada hasta que alguien la active. Si nunca nadie te lo dijo, muy probablemente tu oficina lleva meses —o años— sin esa protección básica. Exactamente eso pasa con Microsoft 365 y Google Workspace el día que una empresa los contrata.

Más del 70% de las PYMEs latinoamericanas que usan Microsoft 365 o Google Workspace lo hacen con la configuración predeterminada de fábrica. Eso significa que docenas de controles de seguridad críticos están desactivados, no porque alguien los apagó, sino porque nunca nadie los encendió.

En 2025, Microsoft reportó que el 99.9% de las cuentas comprometidas no tenían autenticación multifactor activa. Google, por su parte, identificó que las cuentas con configuración predeterminada tienen 10 veces más probabilidades de ser comprometidas que las que tienen controles adicionales activos.

Por qué M365 y Google Workspace son el blanco favorito

Los atacantes van donde está la data. Y hoy, la data de la mayoría de empresas vive en correo electrónico, documentos compartidos y videollamadas: es decir, en Microsoft 365 o en Google Workspace.

Solo en Costa Rica, el 68% de las empresas con entre 10 y 200 empleados usan alguna de estas dos plataformas como su herramienta de trabajo principal. En Guatemala y Honduras, la adopción creció más del 40% entre 2022 y 2024 impulsada por el trabajo remoto.

Esto las convierte en un objetivo de altísimo valor. Un atacante que logra comprometer la cuenta de Microsoft 365 de un empleado no solo accede a su correo: puede ver todos los archivos en SharePoint, escuchar las grabaciones de Teams, leer los chats internos, y en muchos casos, desde esa misma cuenta, enviar correos internos a toda la empresa haciéndose pasar por ese empleado.

Los ataques más comunes contra estas plataformas

Credential stuffing:: El atacante prueba combinaciones de usuario/contraseña obtenidas de filtraciones previas. Si María usa la misma contraseña de su cuenta de Netflix filtrada en 2023 para su correo del trabajo, el acceso es instantáneo.
Phishing dirigido a login pages:: Páginas falsas idénticas a la pantalla de inicio de Microsoft o Google que roban credenciales.
OAuth app abuse:: Una app de terceros pide permisos sobre la cuenta de Microsoft o Google y, una vez autorizada, puede leer correos y archivos indefinidamente, incluso si el usuario cambia su contraseña.
Forwarding rules maliciosas:: Cuando un atacante accede a una cuenta, lo primero que hace es configurar una regla para que todos los correos se reenvíen silenciosamente a una dirección externa. Así sigue viendo todo aunque el usuario recupere la cuenta.

Las configuraciones de seguridad que vienen apagadas por defecto

Esta es la lista que le entregamos a toda empresa que contratamos en CiberShield. Son configuraciones que existen en ambas plataformas, son gratuitas (o están incluidas en el plan que ya pagás), y que la mayoría de empresas no tienen activas.

1. MFA obligatorio para todos

En M365, el MFA no es obligatorio por defecto. Podés activarlo como requerimiento para toda la organización desde el Centro de Administración en menos de 10 minutos. En Google Workspace también está disponible pero requiere activación manual por parte del administrador.

Por qué importa: Con MFA activo, incluso si un atacante obtiene la contraseña de un usuario, no puede entrar sin el segundo factor (un código de la app Authenticator, una llave física, una huella dactilar).

2. Alertas de inicio de sesión desde países o IPs inusuales

M365 tiene políticas de acceso condicional (Conditional Access) que permiten bloquear o requerir verificación adicional cuando alguien intenta entrar desde un país donde tu empresa no opera. Si tu empresa está en Costa Rica y de repente alguien intenta entrar al correo desde Rusia a las 3 de la mañana, el sistema puede bloquearlo automáticamente.

Advertencia: Esta funcionalidad requiere Microsoft Entra ID P1 (antes Azure AD Premium), que no viene en el plan básico de Microsoft 365 Business Basic. Está disponible a partir del plan Business Premium o E3.

3. Auditoría unificada de eventos

Por defecto, el registro de auditoría de Microsoft 365 puede no estar activo en todos los planes. Sin él, si ocurre una brecha, no hay forma de saber qué archivos se descargaron, qué correos se leyeron ni desde dónde se accedió.

En el Centro de Administración de M365 → Cumplimiento → Auditoría, verificá que el registro esté activo. En Google Workspace, los reportes de actividad están en el panel de administrador bajo "Reportes" → "Auditoría".

4. Prevención de reenvío automático externo

Esta es una de las configuraciones más importantes y menos conocidas. Por defecto, los usuarios pueden crear reglas para reenviar automáticamente todo su correo a una cuenta externa (como Gmail personal o correo del atacante).

En M365, esto se configura bloqueando el reenvío externo desde Exchange Admin Center → Políticas de flujo de correo. En Google Workspace, en Configuración de Gmail → Opciones avanzadas.

5. Gestión de aplicaciones de terceros autorizadas

Cada vez que un empleado hace clic en "Iniciar sesión con Google" o "Conectar con Microsoft" en una app de terceros, esa app recibe permisos sobre su cuenta. Muchas de esas apps pueden leer correos, acceder a calendarios o descargar archivos.

Ambas plataformas permiten al administrador revisar qué apps tienen permisos y revocarlos. En M365 está en Entra ID → Aplicaciones empresariales. En Google Workspace en Seguridad → Controles de API.

Dato de impacto: Un estudio de Obsidian Security en 2024 encontró que la empresa promedio con 1000 empleados tiene más de 2000 apps de OAuth conectadas a sus cuentas corporativas. Para una PYME de 30 personas, el número suele ser entre 150 y 300 apps, muchas de ellas olvidadas o ya sin uso.

6. Microsoft Defender for Business (solo M365)

Si usás Microsoft 365 Business Premium, ya tenés incluido Microsoft Defender for Business, un antivirus y EDR (Endpoint Detection and Response) de nivel empresarial. Pero viene deshabilitado. Activarlo y configurar políticas básicas puede hacerse en una tarde y proporciona protección contra malware, ransomware y acceso no autorizado en todos los dispositivos conectados.

7. Protección avanzada contra phishing en correo

M365 tiene Microsoft Defender for Office 365, que incluye protección anti-phishing avanzada, Safe Links (verifica URLs antes de que el usuario haga clic) y Safe Attachments (escanea archivos adjuntos en un entorno aislado antes de entregarlos). En el plan básico estas funciones están limitadas; en Business Premium están completas.

Google Workspace tiene protecciones similares en Gmail bajo "Configuración avanzada de seguridad" que incluyen advertencias de phishing, escaneo de adjuntos y protección contra spoofing.

Caso real: la cuenta de M365 que se convirtió en fábrica de spam

Una empresa de consultoría en San José con 45 empleados sufrió en 2024 algo que vemos frecuentemente. Un empleado recibió un correo de phishing que imitaba perfectamente la pantalla de inicio de Microsoft. Ingresó sus credenciales. El atacante entró a su cuenta.

Lo primero que hizo el atacante fue crear una regla de reenvío para copiar todos los correos a una cuenta externa. Luego usó esa cuenta para enviar correos de phishing a todos los contactos de la empresa: clientes, proveedores, socios. Como venían de una cuenta legítima de la empresa, los filtros anti-spam de los destinatarios no los bloquearon.

En 48 horas, la empresa tenía clientes reportando que habían recibido solicitudes de transferencia bancaria "urgentes" que parecían venir del gerente financiero. Uno de esos clientes transfirió 8,500 USD antes de darse cuenta.

El daño total, incluyendo recuperación técnica, comunicación a clientes y el monto transferido: cerca de $22,000. Todo por una contraseña sin MFA.

¿Qué habría detenido el ataque? MFA obligatorio. Con ese segundo factor activo, la contraseña robada era inútil.

Diferencias clave entre planes de seguridad

No todos los planes incluyen las mismas capacidades de seguridad. Esto es lo que necesitás saber:

Microsoft 365

Business Basic ($6/usuario/mes):: MFA disponible pero manual. Sin Conditional Access. Sin Defender for Business. Sin Safe Links ni Safe Attachments.
Business Standard ($12.50/usuario/mes):: Igual en seguridad que Basic. Las mejoras son de productividad, no de seguridad.
Business Premium ($22/usuario/mes):: Incluye Conditional Access, Defender for Business, Intune para gestión de dispositivos, Azure Information Protection. Este es el plan recomendado para cualquier empresa que maneja datos sensibles.

Google Workspace

Business Starter ($6/usuario/mes):: MFA disponible. Controles de seguridad básicos.
Business Standard ($12/usuario/mes):: Añade DLP básico y más controles de auditoría.
Business Plus ($18/usuario/mes):: eDiscovery, auditoría avanzada, Vault para retención de datos.
Enterprise:: Controles avanzados de DLP, integración con herramientas SIEM, acceso a Google Security Center completo.

Recomendación: Para la mayoría de PYMEs centroamericanas, Microsoft 365 Business Premium o Google Workspace Business Plus ofrecen el mejor balance entre costo y seguridad.

Lista de verificación: 10 acciones que podés hacer esta semana

1.Activar MFA para todos los usuarios — Prioridad máxima. Sin excepciones, incluyendo al CEO.
2.Revisar qué apps de terceros tienen permisos — Revocar todo lo que no reconocés o no usen activamente.
3.Activar el registro de auditoría — Verificá que esté activo y configurá alertas para eventos críticos.
4.Bloquear el reenvío externo automático — Regla de política de correo, 5 minutos de configuración.
5.Revisar las cuentas de administrador — ¿Cuántas personas tienen acceso de administrador global? Deberían ser máximo 2, con MFA estricto.
6.Activar alertas de inicio de sesión inusual — Para que el usuario y el admin reciban una notificación cuando alguien entra desde un nuevo dispositivo o ubicación.
7.Configurar contraseñas de aplicación si tenés apps legacy — Algunas apps antiguas no soportan MFA moderno y necesitan contraseñas separadas.
8.Revisar usuarios invitados — Google y Microsoft permiten invitar usuarios externos como colaboradores. ¿Sabés quiénes son los de tu organización?
9.Activar Safe Links y Safe Attachments — Si tenés el plan que lo incluye y no está activo, activalo hoy.
10.Hacer un simulacro de phishing — Enviá un correo de prueba a tu equipo para ver cuántos harían clic. Los números suelen sorprender.

La trampa del "ya lo tenemos configurado"

Uno de los errores más frecuentes que encontramos en auditorías es la empresa que dice "sí, ya tenemos MFA" pero cuando revisamos, resulta que solo está habilitado para los gerentes, o está activo pero no enforced (es decir, los usuarios pueden omitirlo).

El MFA que no es obligatorio no protege. Si el sistema permite que el usuario haga clic en "Recordar este dispositivo por 30 días" o "Saltear por ahora", esa vulnerabilidad existe.

Lo mismo aplica para las políticas de acceso condicional: están configuradas pero en modo "solo reportar" en lugar de "bloquear". El sistema detecta el acceso sospechoso, lo anota en un log que nadie lee, y deja pasar al atacante de todas formas.

El siguiente nivel: integrar M365 o Workspace con tu stack de seguridad

Cuando las configuraciones básicas están al día, el siguiente paso es integrar la plataforma con herramientas complementarias:

SIEM:: Exportar los logs de auditoría a una herramienta de análisis centralizado permite detectar patrones de ataque que no son obvios viendo un evento aislado.
DLP (Data Loss Prevention):: Configurar políticas para que ciertos tipos de datos (números de tarjeta, IBAN bancario, datos de pasaporte) no puedan enviarse por correo sin aprobación.
Password Manager corporativo:: Elimina la reutilización de contraseñas, que es la puerta de entrada más común en ataques de credential stuffing.
Plataformas de gestión de dispositivos (MDM):: Asegurarse de que solo dispositivos corporativos gestionados puedan acceder a datos corporativos.

Tu plataforma de productividad también debe ser tu primera línea de defensa

Microsoft 365 y Google Workspace no son solo herramientas de trabajo. Son el núcleo de la información de tu empresa. Correos con propuestas comerciales, hojas de cálculo con listas de clientes, contratos en Google Drive, acuerdos de confidencialidad en SharePoint: todo eso vive ahí.

La buena noticia es que ambas plataformas tienen controles de seguridad muy potentes. La mala noticia es que la mayoría vienen apagados.

En CiberShield realizamos auditorías de seguridad específicas para Microsoft 365 y Google Workspace. Revisamos más de 80 configuraciones de seguridad, identificamos las brechas más críticas y te entregamos un plan de acción priorizado. Si tu empresa usa alguna de estas plataformas y nunca ha hecho una revisión de seguridad, es hora de hacerlo. Escribinos y en 48 horas coordinamos una evaluación sin costo inicial.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Estrategia

Gestión de Vulnerabilidades: La diferencia entre un parche y un desastre anunciado

La mayoría de ataques exitosos explotan vulnerabilidades para las que ya existía un parche disponible. Aprendé cómo funciona el ciclo de vida de las vulnerabilidades, cómo priorizar qué actualizar primero y cómo implementar un proceso de patch management accesible para empresas de cualquier tamaño.

Amenazas

Dark Web Monitoring: Lo que los ciberdelincuentes ya saben sobre tu empresa

En foros oscuros de internet se venden credenciales corporativas, listas de clientes y datos de empleados por unos pocos dólares. La pregunta no es si los datos de tu empresa están ahí afuera, sino cuándo te vas a enterar y qué vas a hacer al respecto.