¿Cómo proteger Microsoft 365 contra phishing?

Microsoft 365 es una de las plataformas más usadas por empresas para correo, documentos, Teams, SharePoint y colaboración. Pero esa misma centralidad la convierte en un blanco atractivo para phishing, robo de credenciales, fraude de pagos y suplantación de ejecutivos.

Proteger Microsoft 365 no significa solo pagar una licencia. Significa configurar correctamente identidades, correo, dispositivos, políticas, reportes y respuesta ante cuentas comprometidas.

Qué es el phishing en Microsoft 365

El phishing busca engañar a un usuario para que entregue su contraseña, apruebe un acceso, abra un archivo malicioso o realice una acción financiera. En empresas dominicanas, los casos más comunes suelen involucrar facturas falsas, cambios de cuenta bancaria, supuestos documentos compartidos, mensajes de bancos, notificaciones de Microsoft y suplantación de gerentes.

1. Active MFA para todos, no solo para gerencia

La autenticación multifactor reduce de forma importante el impacto de una contraseña robada. Debe estar activa para todos los usuarios, especialmente administración, finanzas, compras, gerencia, recursos humanos y TI.

• Use aplicaciones de autenticación en vez de SMS cuando sea posible.
• Aplique MFA a administradores sin excepciones.
• Revise métodos de autenticación registrados por los usuarios.
• Bloquee autenticación heredada o protocolos antiguos que evaden controles modernos.
• Implemente acceso condicional en entornos que lo permitan.

Una contraseña filtrada no debería ser suficiente para entrar a la empresa.

2. Configure SPF, DKIM y DMARC

Estos controles ayudan a reducir la suplantación de dominio. No eliminan todo el phishing, pero sí hacen más difícil que un atacante envíe correos aparentando venir desde su dominio corporativo.

• SPF: indica qué servidores pueden enviar correo por su dominio.
• DKIM: firma los correos para validar que no fueron alterados.
• DMARC: define qué hacer cuando un correo falla autenticación y permite monitoreo.

Para gerencia, el beneficio es claro: menos fraude por suplantación y mejor reputación del dominio.

3. Use políticas anti-phishing y anti-impersonación

Microsoft Defender for Office 365 permite configurar políticas que ayudan a detectar intentos de suplantar usuarios, dominios y marcas. Esto es especialmente importante para proteger nombres de gerentes, directores financieros y personal que autoriza pagos.

• Proteja usuarios de alto valor: gerencia, finanzas, compras y TI.
• Configure dominios internos y externos que no deben ser suplantados.
• Active advertencias visuales para correos externos.
• Revise cuarentena y falsos positivos de forma periódica.
• Ajuste políticas sin crear listas blancas peligrosas.

4. Active Safe Links y Safe Attachments si su licencia lo permite

Safe Links ayuda a revisar enlaces sospechosos y Safe Attachments analiza adjuntos antes de entregarlos al usuario. Son capas adicionales, no excusas para dejar de capacitar al personal.

En empresas donde finanzas recibe muchas facturas o logística recibe documentos de suplidores, estas protecciones agregan valor operativo.

5. Revise reglas de reenvío y buzones comprometidos

Una técnica común después de robar una cuenta es crear reglas de reenvío para copiar correos hacia cuentas externas o esconder mensajes. Revise periódicamente:

• Reglas de inbox inusuales.
• Reenvíos automáticos a dominios externos.
• Inicios de sesión desde países o ubicaciones no habituales.
• Cambios en métodos de MFA.
• Permisos delegados sobre buzones de ejecutivos.

6. Capacite con ejemplos locales y reales

La capacitación debe hablar el idioma del usuario. No basta con decir “no haga clic”. Use ejemplos de facturas, comprobantes, bancos, suplidores, compras, documentos compartidos y mensajes de WhatsApp que parezcan reales.

• Explique cómo verificar enlaces antes de abrirlos.
• Muestre señales de alerta: urgencia, errores, cambios de cuenta bancaria, dominios raros.
• Defina un proceso para confirmar pagos por un canal alterno.
• Habilite un botón o canal para reportar phishing.
• Reconozca a los usuarios que reportan a tiempo.

7. Tenga un procedimiento para cuentas comprometidas

Cuando una cuenta cae, las primeras acciones deben ser claras: bloquear acceso, cambiar contraseña, revocar sesiones, revisar reglas, inspeccionar correos enviados, alertar a contactos afectados y documentar el incidente.

Plan de mejora en 15 días

1. Día 1-2: activar MFA y revisar administradores.
2. Día 3-4: configurar SPF, DKIM y DMARC.
3. Día 5-6: revisar políticas anti-phishing.
4. Día 7-8: auditar reenvíos y reglas sospechosas.
5. Día 9-10: proteger usuarios de alto valor.
6. Día 11-12: capacitar finanzas, gerencia y compras.
7. Día 13-15: crear procedimiento de respuesta.

Preguntas frecuentes

¿Microsoft 365 ya trae protección por defecto?

Sí trae protecciones base, pero muchas funciones avanzadas requieren configuración, licencias adecuadas y monitoreo. El riesgo aumenta cuando la empresa nunca revisa políticas ni alertas.

¿MFA elimina el phishing?

No. Lo reduce, pero no lo elimina. Ataques modernos pueden intentar robar sesiones o engañar al usuario para aprobar accesos. Por eso se necesitan varias capas.

¿Qué usuarios deben recibir más protección?

Administradores, gerencia, finanzas, compras, recursos humanos, usuarios con acceso a datos sensibles y cualquier persona que apruebe pagos o maneje información crítica.

Conclusión

Microsoft 365 puede ser una plataforma muy segura, pero solo si está bien configurada. RDD puede evaluar su tenant, identificar brechas y ayudarle a proteger correo, identidades, dispositivos y datos empresariales.