Lista de verificación de seguridad Microsoft 365 para pymes (gratis) — Guía de endurecimiento 2026
Cyberlords Editorial Team
Microsoft 365 es el sistema operativo predeterminado de las pymes. Email, almacenamiento de archivos, colaboración, identidad — todo pasa por ahí. Eso lo convierte en el objetivo de mayor valor de su organización, y los atacantes lo saben.
Los ataques de phishing dirigidos a tenants de Microsoft 365 aumentaron un 58 % en 2024. Microsoft es ahora la marca más suplantada en campañas de phishing de credenciales, con el 45 % de los correos de phishing haciéndose pasar por notificaciones de Microsoft. Mientras tanto, el 64 % de las empresas sufrieron un ataque BEC (Business Email Compromise) en 2024, con pérdidas promedio de 150.000 $ por incidente.
El problema no es Microsoft 365 en sí — es que el 99 % de las brechas en la nube resultan de configuraciones incorrectas prevenibles (Gartner). La mayoría de las funciones de seguridad existen pero no están activadas por defecto. Esta lista de verificación de seguridad Microsoft 365 le guía a través de más de 40 pasos de endurecimiento alineados con las bases CISA SCuBA y los CIS Benchmarks.
Resumen rápido
- El MFA bloquea el 99 %+ de los ataques por credenciales — actívelo para cada usuario.
- Aumento del 58 % en ataques de phishing contra tenants M365 en 2024.
- El 64 % de las empresas sufrieron ataques BEC en 2024 (pérdida prom. 150.000 $).
- El 99 % de las brechas en la nube se deben a configuraciones incorrectas prevenibles.
- Microsoft es la marca #1 suplantada en phishing (45 % de los emails de phishing de credenciales).
- Esta lista cubre 40+ pasos de endurecimiento en Entra ID, Exchange, Teams, SharePoint y Defender.
- Alineada con las bases CISA SCuBA, CIS M365 Foundations Benchmark y mejores prácticas de Microsoft.
Por qué su tenant de Microsoft 365 es un objetivo de alto valor
El panorama de amenazas
| Estadística | Fuente |
|---|---|
| El MFA bloquea más del 99 % de los ataques por credenciales | Microsoft |
| Aumento del 58 % en ataques de phishing contra M365 (2024) | Hoxhunt / AI-Techpark |
| El 64 % de las empresas sufrieron ataques BEC en 2024; pérdida prom. 150.000 $ | Hoxhunt 2024 |
| Microsoft es la marca #1 suplantada en phishing (45 % de los emails) | Múltiples fuentes 2024 |
| 99 %+ de brechas en la nube por configuraciones incorrectas | Gartner 2025 |
| El 40 % de los emails BEC ahora son generados por IA | Hoxhunt 2025 |
| El phishing es el método de ataque en el 33,3 % de todos los ataques por email | Hornetsecurity 2024 |
| El 43,3 % de las brechas de email en salud involucraron Microsoft 365 | BusinessWire 2025 |
| Los ataques de phishing en Teams se dispararon desde abril de 2024 | Microsoft / SCWorld |
| CISA exigió cumplimiento SCuBA para tenants M365 federales en junio 2025 | CISA BOD 25-01 |
La lista de verificación de seguridad Microsoft 365
Sección 1: Identidad y acceso — Entra ID (Azure AD)
- Activar MFA para todos los usuarios — Active los Valores predeterminados de seguridad (gratis) o configure políticas de Acceso condicional.
- Bloquear la autenticación heredada — Desactive POP3, IMAP, SMTP AUTH y protocolos de clientes antiguos.
- Imponer Microsoft Authenticator o FIDO2 — Desaconseje MFA por SMS (riesgo de SIM swap).
- Limitar las cuentas de Administrador global — Máximo 2-4. Use roles de privilegio mínimo.
- Activar Privileged Identity Management (PIM) — Activación justo a tiempo para roles admin.
- Crear cuentas de acceso de emergencia (break-glass) — Al menos 2 cuentas en la nube excluidas del Acceso condicional.
- Implementar políticas de Acceso condicional — MFA para todos, bloquear auth heredada, exigir dispositivos conformes, bloquear inicios de sesión riesgosos.
- Activar políticas de riesgo de inicio de sesión y usuario — Bloquear o desafiar automáticamente inicios riesgosos.
- Desactivar el consentimiento de usuario a apps de terceros — Prevenir phishing por consentimiento OAuth.
- Revisar y eliminar cuentas de invitado obsoletas — Auditoría trimestral de cuentas externas.
Sección 2: Seguridad de email — Exchange Online
- Configurar registros SPF — Publique un registro TXT SPF con
-all(rechazo duro). - Activar la firma DKIM — Genere y publique claves DKIM para todos los dominios.
- Implementar DMARC — Comience con
p=quarantiney avance ap=reject. - Activar políticas anti-phishing — Protección contra suplantación de identidad de ejecutivos.
- Activar Safe Links — Reescritura y análisis de URLs al momento del clic.
- Activar Safe Attachments — Detonación de adjuntos en sandbox.
- Bloquear el reenvío de email externo — Regla de transporte para prohibir el reenvío automático.
- Activar el registro de auditoría de buzones — Verificar que esté activo.
- Agregar advertencias de remitente externo — Banner o prefijo "[EXTERNO]" en emails externos.
- Restringir la creación de grupos de distribución — Evitar que los usuarios creen grupos no restringidos.
Sección 3: Seguridad de dispositivos y endpoints
- Inscribir dispositivos en Microsoft Intune — Requerir inscripción para acceder a datos (Business Premium).
- Exigir cumplimiento de dispositivos — Bloquear dispositivos no conformes vía Acceso condicional.
- Activar cifrado BitLocker — Cifrado completo del disco vía política Intune.
- Aplicar políticas de protección de aplicaciones — Conteneurizar datos corporativos en móviles.
- Exigir actualizaciones automáticas del sistema — Configurar anillos de actualización para parches oportunos.
Sección 4: Seguridad de Microsoft Teams
- Restringir el acceso externo — Permitir solo dominios aprobados en la lista blanca.
- Desactivar la participación anónima en reuniones — Requerir autenticación.
- Bloquear la carga de archivos de usuarios externos — En canales de Teams.
- Desactivar la instalación de apps de terceros por usuarios — Aprobación admin requerida.
- Restringir la creación de equipos — Limitar a grupos de seguridad específicos.
- Capacitar a los empleados sobre phishing en Teams — Los atacantes suplantan servicios de TI en chats de Teams.
Sección 5: Seguridad de SharePoint y OneDrive
- Establecer el uso compartido predeterminado en "Personas específicas" — Evitar el compartido abierto.
- Desactivar enlaces de uso compartido anónimos — O establecer fechas de vencimiento (7-30 días máx.).
- Bloquear la sincronización desde dispositivos no gestionados — Sincronización de OneDrive solo desde dispositivos gestionados.
- Activar etiquetas de confidencialidad — Clasificar documentos y aplicar cifrado automáticamente.
- Auditar la actividad de uso compartido externo — Informes mensuales en el Centro de administración de SharePoint.
Sección 6: Monitoreo, registro y respuesta
- Revisar Microsoft Secure Score semanalmente — En security.microsoft.com.
- Activar el registro de auditoría unificado — Verificar en el portal de cumplimiento Microsoft Purview.
- Configurar políticas de alerta — Reenvíos email inusuales, descargas masivas, cambios de roles admin, viajes imposibles.
- Ejecutar la evaluación CISA SCuBAGear — Herramienta gratuita para escanear su tenant.
- Activar la simulación de ataques Defender — Simulaciones de phishing mensuales.
- Crear un procedimiento de respuesta a incidentes M365 — A quién llamar, cómo desactivar cuentas comprometidas.
Guía de priorización
| Prioridad | Acción | Costo | Impacto |
|---|---|---|---|
| 🔴 P0 — Hoy | Activar MFA para todos (Valores predeterminados) | Gratis | Bloquea 99 %+ de ataques por credenciales |
| 🔴 P0 — Hoy | Bloquear la autenticación heredada | Gratis | Cierra la evasión de MFA |
| 🔴 P0 — Hoy | Configurar SPF + DKIM + DMARC | Gratis | Previene suplantación de email |
| 🟠 P1 — Esta semana | Limitar cuentas Admin global a 2-4 | Gratis | Reduce superficie de ataque admin |
| 🟠 P1 — Esta semana | Bloquear el reenvío de email externo | Gratis | Previene exfiltración de datos |
| 🟡 P2 — Este mes | Activar políticas anti-phishing | Business Premium | Bloquea ataques de suplantación |
| 🟡 P2 — Este mes | Restringir acceso externo de Teams | Gratis | Bloquea phishing en Teams |
| 🟢 P3 — Este trimestre | Desplegar Intune + cumplimiento dispositivos | Business Premium | Aplica seguridad de endpoints |
| 🟢 P3 — Este trimestre | Ejecutar evaluación SCuBAGear | Gratis | Valida contra bases CISA |
Errores comunes
- Activar MFA solo para admins — Los atacantes apuntan a cuentas de usuario regulares. El MFA debe cubrir todos los usuarios.
- Ignorar la autenticación de email — Sin SPF, DKIM y DMARC con
p=reject, cualquiera puede enviar emails que parecen provenir de su dominio. - Dejar la autenticación heredada habilitada — Un solo protocolo heredado abierto crea una puerta trasera.
- Demasiados roles de admin — No se necesitan 10 Administradores globales. Use roles dedicados.
- Tratar SharePoint como un sistema de archivos privado — La configuración de uso compartido predeterminada puede exponer datos al público.
- Ignorar Microsoft Secure Score — Un panel gratuito que le dice exactamente qué corregir.
- Sin estrategia de respaldo para M365 — Las políticas de retención de Microsoft no son una solución de respaldo.
Marcos y estándares referenciados
| Marco | Relevancia |
|---|---|
| CISA SCuBA (BOD 25-01) | Bases de configuración segura para servicios M365 |
| CIS Microsoft 365 Foundations Benchmark | Guía de endurecimiento para Entra ID, Exchange, Teams, SharePoint |
| Microsoft Security Defaults | Base gratuita: MFA, bloqueo de auth heredada |
| NIST SP 800-63B-4 | Directrices de autenticación y MFA |
| Arquitectura Zero Trust | Verificación explícita, privilegio mínimo, asumir la brecha |
Citas y referencias
- Microsoft — El MFA bloquea más del 99 % de los ataques por credenciales. MFA obligatorio para inicios admin M365 en febrero 2026.
- Hoxhunt / AI-Techpark 2024 — Aumento del 58 % en phishing contra M365. Microsoft, marca más suplantada.
- Hoxhunt 2025 — El 64 % de las empresas sufrieron ataques BEC en 2024; 40 % de emails BEC generados por IA.
- Gartner 2025 — Más del 99 % de las brechas en la nube resultan de configuraciones incorrectas prevenibles.
- Hornetsecurity 2024 — Análisis de 55.600 millones de emails: phishing en primer lugar (33,3 %).
- CISA BOD 25-01 — Cumplimiento SCuBA exigido. Herramienta SCuBAGear disponible gratuitamente.
- CIS — M365 Foundations Benchmark cubriendo Entra ID, Exchange, Teams, SharePoint.
- Microsoft / SCWorld 2024 — Explosión del phishing en Teams desde abril 2024.
Cómo Cyberlords puede ayudarle
En Cyberlords, ayudamos a las pymes a:
- Realizar una auditoría completa de seguridad Microsoft 365 — Escaneo de su tenant contra las bases CISA SCuBA y CIS Benchmarks con informe de remediación priorizado.
- Implementar el endurecimiento de esta lista — Configuración de MFA, Acceso condicional, autenticación de email, políticas Defender e inscripción Intune.
- Ejecutar simulaciones de phishing — Pruebas con la simulación de ataques de Defender para Office 365.
- Monitorear y responder — Servicios de seguridad gestionados con monitoreo continuo y soporte de respuesta a incidentes.
Contacte al equipo de Cyberlords hoy.
Preguntas frecuentes
¿Cuál es la configuración de seguridad M365 más importante?
La autenticación multifactor (MFA). Microsoft confirma que el MFA bloquea más del 99 % de los ataques por credenciales. Actívelo para cada usuario, no solo para los administradores. Como mínimo, active los Valores predeterminados de seguridad, una función gratuita que impone MFA en todo su tenant. Para un control más granular, actualice a políticas de Acceso condicional (Business Premium).
¿Microsoft 365 es seguro por defecto?
No. Microsoft 365 ofrece muchas funciones de seguridad, pero la mayoría no están habilitadas por defecto. Gartner estima que más del 99 % de las brechas en la nube resultan de configuraciones incorrectas prevenibles. Debe configurar proactivamente MFA, Acceso condicional, políticas anti-phishing, autenticación de email (SPF/DKIM/DMARC), registros de auditoría y prevención de pérdida de datos.
¿Qué es CISA SCuBA y por qué importa?
CISA SCuBA proporciona bases de configuración segura para servicios M365. Bajo la directiva BOD 25-01, las agencias federales debían implementar todas las bases SCuBA en junio 2025. CISA recomienda encarecidamente que todas las organizaciones adopten estas bases. La herramienta gratuita SCuBAGear verifica automáticamente su tenant.
¿Necesito Business Premium para la seguridad?
Business Premium proporciona Acceso condicional, Defender Plan 1, Intune y Azure Information Protection. Incluso con Business Basic, puede activar Valores predeterminados de seguridad (MFA gratis), configurar SPF/DKIM/DMARC, bloquear la autenticación heredada y restringir el uso compartido de SharePoint.
¿Cómo proteger M365 contra el phishing?
Superponga las defensas: políticas anti-phishing en Defender, DMARC/DKIM/SPF, bloqueo de autenticación heredada, simulación de ataques, Safe Links y Safe Attachments, restricción del reenvío externo y banners de remitente externo.
¿Debo bloquear la autenticación heredada?
Sí, inmediatamente. Los protocolos heredados no soportan MFA, creando una evasión directa. Los Valores predeterminados de seguridad los bloquean automáticamente.
¿Cómo asegurar Microsoft Teams?
Restrinja el acceso externo a dominios aprobados, desactive la participación anónima, bloquee el uso compartido de archivos externo, exija aprobación admin para apps de terceros y capacite a los empleados sobre phishing en Teams.
¿Qué es Microsoft Secure Score?
Una medición gratuita de su postura de seguridad en security.microsoft.com. Consúltelo semanalmente y priorice las acciones de alto impacto.
lista verificación seguridad microsoft 365 resumen
Decisiones clave, riesgos y acciones de implementación para la seguridad de Microsoft 365.