La mayoría de pymes que usan Microsoft 365 lo configuran “como vino” y nunca más lo tocan. El problema: varias protecciones importantes no vienen activadas por defecto. Esta es la lista mínima que revisamos en cada cliente nuevo.
1. Autenticación de dos factores (MFA) para todos
Es la medida con mejor relación esfuerzo-beneficio que existe. Si una contraseña se filtra en un correo falso, el atacante sigue sin poder entrar. Hoy se activa desde las políticas de acceso condicional o los valores predeterminados de seguridad de Entra ID, y toma menos de una hora para toda la empresa.
2. Bloquear la autenticación heredada
Protocolos viejos como IMAP, POP y SMTP básico no entienden el MFA y son la puerta trasera favorita de los ataques de relleno de contraseñas. Si nadie usa clientes de correo antiguos, deben estar apagados.
3. Alertas de inicio de sesión inusual
Microsoft detecta patrones raros —sesiones desde países donde nadie trabaja, horarios imposibles— y puede notificar al administrador. Las alertas existen; hay que encenderlas y, más importante, asignar a alguien que las revise.
4. Protección contra phishing en Exchange Online
Las políticas anti-phishing permiten marcar correos externos, proteger contra suplantación del dominio propio y advertir cuando alguien escribe “desde el correo del gerente” sin serlo. Configurar el banner de “correo externo” solo, ya reduce muchísimo los errores humanos.
5. Retención y respaldo no son lo mismo
Microsoft garantiza la disponibilidad del servicio, no la recuperación de un buzón borrado hace tres meses. Defina políticas de retención y evalúe un respaldo externo si su información es crítica.
6. Revisar quién es administrador global
En muchas pymes, medio mundo tiene permisos de administrador “porque alguna vez hizo falta”. La regla: mínimo dos administradores (por si uno pierde acceso), máximo los indispensables, y todos con MFA.
Por dónde empezar
Si solo puede hacer una cosa esta semana: active el MFA. Si puede hacer dos, bloquee la autenticación heredada. Con eso ya eliminó la mayoría de los vectores de ataque que vemos en la práctica.
¿Quiere que revisemos su tenant? En SYSCOM hacemos auditorías de configuración de Microsoft 365 y dejamos documentado cada cambio.
