Hardening de Microsoft 365: los 12 ajustes que toda PYME debería cambiar hoy

El Microsoft Secure Score de un tenant Microsoft 365 Business Premium recién provisionado suele estar entre 35% y 50%. Los valores por defecto de Microsoft priorizan la rapidez de despliegue sobre la seguridad: la autenticación heredada está habilitada, MFA no se obliga para no-admins, los adjuntos se escanean con heurística por defecto y los logs se retienen 90 días. Nada de esto pasa una auditoría NIS2 o ISO 27001. La buena noticia: 12 ajustes le pasan de "por defecto" a "defendible en auditoría" en una tarde.

Aplique en este orden. Cada uno toma 5–15 minutos; total 2–3 horas para un admin con experiencia. Todos están en el Centro de administración M365, portal Entra ID o portal Defender.

• 1. Deshabilite autenticación heredada (Entra ID → Acceso Condicional → bloquear "Other clients"). Cierra el 99% de los ataques de password-spray al instante.
• 2. Obligue MFA a todo usuario vía Acceso Condicional (no Security Defaults — necesita políticas granulares). MFA resistente a phishing (FIDO2/WebAuthn o number-match) para todos los admins.
• 3. Bloquee inicios de sesión desde países donde no opera (Acceso Condicional → ubicaciones con nombre → bloquear).
• 4. Deshabilite el consentimiento self-service a apps (Entra ID → Enterprise Apps → Consent and permissions → "Do not allow user consent"). Mata el phishing OAuth.
• 5. Active Continuous Access Evaluation (Entra ID → Security → CAE) — revoca tokens en minutos cuando cambia el riesgo.
• 6. Configure Defender for Office 365 Safe Links y Safe Attachments (preset Strict). El preset Standard por defecto es demasiado permisivo.
• 7. Active anti-phishing impersonation protection (Defender → Anti-phishing → añada CEO/CFO/MD como usuarios protegidos).
• 8. Suba la retención de auditoría de buzón a 1 año mínimo (90 días por defecto; 365+ es necesario para cualquier línea forense NIS2/RGPD).
• 9. Active la búsqueda en Unified Audit Log (off por defecto en algunos tenants — Portal de Cumplimiento → Audit → Start recording user and admin activity).
• 10. Bloquee reglas de reenvío de correo externo (Defender → Anti-spam outbound → forwarding to external addresses: Off). Frena el truco BEC más común.
• 11. Restrinja acceso de invitados en Teams y SharePoint (Compartir externo → "Solo invitados nuevos y existentes"). El "Cualquiera" por defecto es un vector de fuga.
• 12. Habilite el log de auditoría de buzón para todos los buzones vía PowerShell (Set-Mailbox -Identity * -AuditEnabled $true) — Microsoft lo activa por defecto pero las migraciones suelen desactivarlo silenciosamente.

En nuestras auditorías de 40+ tenants PYME, la checklist de 12 pasos mueve el Secure Score de una mediana del 42% al 78%, bloquea los tres patrones de ataque más comunes que vemos en incidentes reales y produce evidencia de auditoría suficiente para los controles ISO 27001 A.5.15 y A.8.5 sin trabajo adicional.

Necesitan algo más de planificación — pilotar primero.

• Integración Microsoft Defender for Endpoint (o Bitdefender GravityZone si lo usa) — EDR completo en cada dispositivo M365
• Privileged Identity Management (PIM): elevación just-in-time para Global Admin y Exchange Admin
• Etiquetas de sensibilidad Information Protection: clasificar y cifrar automáticamente documentos confidenciales
• Políticas Conditional Access basadas en riesgo: bloquear logins marcados "high risk" por Entra ID Protection
• Restringir app passwords y acceso desde dispositivos no gestionados (solo Intune-compliant o hybrid-joined pueden sincronizar correo)

Tres razones que oímos en PYMEs para no hacerlo — y la respuesta del regulador en casos reales:

• "MFA es demasiado disruptivo." → AEPD resolvió en 2024 que una PYME violada por password-spray sin MFA había incumplido Art. 32 RGPD; multa de €60k. La UX no es defensa.
• "No tenemos quien gestione Acceso Condicional." → ICO y CNIL lo tratan como problema del responsable, no del usuario. Externalícelo.
• "Usamos el plan gratuito Office E1." → Su tenant no puede pasar la base del Art. 21 NIS2. Suba a Business Premium (€21/usuario/mes) o adopte un stack de seguridad de correo de terceros.

Aplicamos la checklist de 12 ajustes + el stack del trimestre 2 a su tenant en 4 horas, documentamos el antes/después del Secure Score con capturas y le entregamos el paquete de evidencias. Precio cerrado, sin sorpresas. Reserve una llamada y le presupuestamos en un día laborable.