5 configuraciones de Microsoft 365 que la mayoría de las pymes tiene desactivadas (y no deberían)

Microsoft 365 es la plataforma de trabajo de la mayoría de las pymes chilenas. Correo, Teams, OneDrive, SharePoint: todo pasa por ahí. Y justamente por eso es el principal vector de ataque. El 43% de las pymes latinoamericanas sufrió phishing durante 2024, y la mayor parte de esos ataques usó M365 como palanca: correos falsos que imitan notificaciones de OneDrive, Teams o SharePoint.

El problema no es que M365 sea inseguro. El problema es que viene con la seguridad en modo básico, y la mayoría de las empresas nunca lo configuran más allá de lo mínimo.

1. Autenticación Multifactor (MFA) para todos los usuarios

MFA es lo que se activa cuando además de la contraseña te piden un código en el celular o la app Microsoft Authenticator. La estadística es clara: MFA reduce el riesgo de compromiso de cuenta en un 99,9%, según los propios datos de Microsoft.

Y sin embargo, en muchas pymes solo está activado para los administradores —porque Microsoft lo hizo obligatorio— mientras los usuarios normales siguen entrando solo con contraseña. Un empleado con acceso a correos corporativos, sin MFA, es una puerta abierta.

Cómo activarlo: Centro de administración M365 → Seguridad → Autenticación multifactor. Se puede hacer por grupos para ir aplicándolo gradualmente.

2. Microsoft Secure Score: la radiografía de tu seguridad

Microsoft Secure Score es una herramienta gratuita dentro del portal que mide la postura de seguridad de tu organización. Te muestra un puntaje de 0 a 100 y te da una lista priorizada de acciones que mejorarían ese puntaje.

No necesitas saber nada de ciberseguridad para empezar: el sistema te explica qué hacer y qué impacto tiene. La mayoría de las pymes tiene un Secure Score por debajo de 40. Muchas acciones de alto impacto se implementan en menos de una hora.

Dónde encontrarlo: security.microsoft.com → Secure Score.

3. Acceso Condicional (Conditional Access)

Acceso Condicional es la funcionalidad que permite definir reglas sobre quién puede entrar, desde dónde y bajo qué condiciones. Por ejemplo: si alguien intenta entrar desde un país con el que tu empresa no trabaja, se bloquea el acceso. Si intenta entrar desde un dispositivo no registrado, se le pide MFA adicional.

Para pymes que tienen teletrabajo o accesos remotos, Conditional Access es la diferencia entre una política de seguridad que existe en papel y una que realmente funciona. Está disponible desde el plan Business Premium.

4. Protección contra phishing y links maliciosos (Safe Links y Safe Attachments)

Microsoft Defender para Office 365 incluye dos herramientas que muchos tienen pero pocos activan correctamente:

• Safe Links: analiza todos los links en correos y documentos en tiempo real. Si alguien hace clic en un enlace malicioso, lo bloquea antes de que cargue.
• Safe Attachments: abre los archivos adjuntos en un entorno aislado antes de entregarlos al destinatario. Si el archivo es malware, no llega al usuario.

Estos controles están disponibles en los planes que incluyen Microsoft Defender y se configuran desde el portal de seguridad. No activan solos: hay que ir a habilitarlos.

5. Auditoría unificada y alertas de actividad inusual

El registro de auditoría de M365 almacena un historial de todas las actividades: quién inició sesión, desde dónde, qué archivos abrió, qué correos envió. Es la base para cualquier investigación forense si algo pasa.

El problema: en muchos tenants está desactivado por defecto. Y cuando ocurre un incidente, los logs ya no existen. Activarlo es un clic en el Centro de Cumplimiento de Microsoft Purview.

Además, puedes configurar alertas automáticas para actividades sospechosas: múltiples intentos de login fallidos, descargas masivas de archivos, accesos desde ubicaciones nuevas. Eso te da tiempo de reaccionar antes de que el daño sea mayor.

La seguridad en M365 no requiere inversión adicional si ya tienes Business Premium: las herramientas están ahí. Lo que requiere es alguien que sepa activarlas y configurarlas correctamente. Ese es precisamente el trabajo de un equipo TI con foco en seguridad.