Microsoft 365 · Seguridad

Correo corporativo en Microsoft 365: las 7 configuraciones de seguridad que nadie activa

14 de marzo de 2026 8 min de lectura Equipo Yourdevs

Configurar el correo corporativo en Microsoft 365 toma menos de una hora. La mayoría de las empresas lo hace bien: crea las cuentas, configura el dominio propio y empieza a usarlo. El problema es lo que viene después: las configuraciones de seguridad críticas que vienen desactivadas por defecto y que nadie revisa. El correo electrónico es el vector de ataque número uno en las organizaciones. El 91% de los ciberataques comienza con un correo de phishing. Y tener un correo corporativo sin las protecciones adecuadas no es mejor que usar Gmail: es peor, porque da una falsa sensación de seguridad.

01

El correo corporativo: el vector de ataque más subestimado

El correo electrónico es la herramienta de trabajo más usada del mundo y, por eso mismo, el objetivo preferido de los atacantes. El 91% de los ciberataques comienza con un correo de phishing. El Business Email Compromise (BEC) —estafa donde el atacante se hace pasar por un ejecutivo o proveedor para redirigir pagos— le costó al mundo más de 2.9 mil millones de dólares en 2023, según el FBI.

En Chile, el panorama no es distinto: el phishing es la técnica más usada en ataques a empresas chilenas, y la mayoría de las víctimas son PYMEs que asumen que "eso les pasa a las empresas grandes".

¿Qué hace que el correo sea tan peligroso? Tres cosas:

  1. Es el punto de entrada a toda la organización: quien controla el correo, controla la identidad digital.
  2. Las personas lo usan sin pensar, todos los días.
  3. Las configuraciones de seguridad más efectivas vienen desactivadas por defecto.

02

Las 7 configuraciones de seguridad que debes activar

Estas configuraciones están disponibles en Microsoft 365 sin costo adicional (algunas requieren plan Business Premium). Activarlas puede hacerse en unas horas con conocimiento técnico adecuado.

01

Autenticación Multifactor (MFA)

El paso más impactante que puedes dar hoy. Con MFA activado, aunque un atacante robe tu contraseña, no puede acceder a tu cuenta sin el segundo factor (app móvil, SMS, llave física). Microsoft reporta que el MFA bloquea el 99,9% de los ataques de credenciales comprometidas. Actívalo para todos los usuarios sin excepción, comenzando por los administradores.

Centro de administración Microsoft 365 → Azure Active Directory → Seguridad → MFA.

02

Protección anti-phishing (Microsoft Defender)

Microsoft Defender for Office 365 incluye protección anti-phishing avanzada que detecta intentos de suplantación de identidad (impersonation): alguien que se hace pasar por tu CEO, tu banco o un proveedor conocido. Incluye protección anti-spoofing y análisis de reputación del remitente.

Portal de Defender (security.microsoft.com) → Políticas y reglas → Directivas de amenazas → Anti-phishing.

03

Autenticación de correo: SPF, DKIM y DMARC

Estos tres registros DNS son los que le dicen al mundo que un correo enviado desde tu dominio realmente viene de ti. Sin ellos, cualquiera puede enviar correos "desde" tu empresa. SPF define qué servidores pueden enviar correos de tu dominio. DKIM firma criptográficamente cada correo. DMARC le dice a los servidores receptores qué hacer si reciben un correo que falla SPF o DKIM (rechazarlo, ponerlo en cuarentena, o solo reportarlo).

Panel de DNS de tu proveedor de dominio + Centro de administración Microsoft 365.

04

Políticas de Acceso Condicional

El Acceso Condicional de Azure AD permite establecer reglas del tipo "si alguien intenta iniciar sesión desde un país donde no operamos, bloquear". O "si el riesgo del inicio de sesión es alto, pedir MFA adicional". Es una capa de inteligencia sobre el control de acceso que va más allá del usuario y contraseña.

Azure Active Directory → Seguridad → Acceso Condicional. Requiere plan Azure AD P1 (incluido en Microsoft 365 Business Premium).

05

Cifrado de Correo (OME — Office Message Encryption)

Permite enviar correos cifrados a cualquier destinatario, incluso si no usa Microsoft 365. Especialmente relevante si tu empresa maneja datos sensibles: datos de salud, información financiera, contratos, datos personales cubiertos por la Ley 21.719.

Centro de administración Microsoft 365 → Exchange → Reglas de flujo de correo.

06

Protección contra adjuntos maliciosos (Safe Attachments)

Los archivos adjuntos infectados —PDFs, Word, Excel con macros— son uno de los vectores más usados para instalar malware. Safe Attachments de Microsoft Defender analiza cada adjunto en un entorno aislado (sandbox) antes de entregarlo al destinatario. Si detecta comportamiento malicioso, lo bloquea.

Portal de Defender → Políticas y reglas → Safe Attachments. Requiere Microsoft Defender for Office 365 Plan 1.

07

Archivo y retención de correos

Las políticas de retención no son solo cumplimiento legal: son recuperación ante incidentes. Si un usuario elimina correos críticos (accidentalmente o a propósito), o si necesitas reconstruir una conversación para una auditoría, el archivo de correo es tu única opción. Microsoft 365 incluye Exchange Online Archiving y permite configurar políticas de retención granulares.

Centro de administración Microsoft 365 → Compliance → Directivas de retención.
¿Quieres que revisemos la configuración de seguridad de tu Microsoft 365? En Yourdevs hacemos auditorías de configuración en 48 horas. Ver servicio Microsoft 365 →

03

Señales de que tu correo ya fue comprometido

No siempre una brecha de correo se manifiesta con un ataque obvio. Estas son las señales de alerta que debes conocer:

Reglas de bandeja de entrada desconocidas

Muchos atacantes crean reglas automáticas para reenviar copias de tus correos a una dirección externa o mover correos de seguridad a una carpeta donde no los ves.

Correos enviados que no reconoces

Revisa la carpeta "Enviados". Si hay correos que no mandaste, alguien más tiene acceso a tu cuenta.

Destinatarios que reciben spam desde tu dominio

Si tus contactos empiezan a reportar spam de tu dirección, es probable que tu dominio esté siendo suplantado o que una cuenta esté comprometida.

Inicio de sesión desde ubicaciones inusuales

Los registros de auditoría de Microsoft 365 muestran desde dónde y cuándo se inició sesión. Un acceso desde un país desconocido a las 3 AM es una bandera roja obvia.

Autenticaciones fallidas masivas

Muchos intentos de acceso fallidos en poco tiempo indican un ataque de fuerza bruta o credential stuffing.

04

Lista de verificación para tu empresa

Usa esta lista para auditar el estado de seguridad de tu Microsoft 365. Cada ítem sin marcar es un riesgo activo.

MFA activado para todos los usuarios
MFA activado para administradores con método resistente a phishing (llave FIDO2)
Registro SPF configurado en DNS
Registro DKIM activado y publicado en DNS
Política DMARC en modo "reject" o al menos "quarantine"
Política anti-phishing activada en Defender
Safe Attachments activado
Safe Links activado
Acceso Condicional: bloquear países fuera de Chile y Latinoamérica
Revisión de reglas de bandeja de entrada de todos los usuarios
Auditoría de cuentas activas: eliminar cuentas de ex-empleados
Política de retención de correos documentada

¿Tu Microsoft 365 está configurado para proteger tu empresa?

La mayoría de las brechas de correo se evitan con configuraciones que ya están disponibles en tu plan. Hacemos una revisión completa de tu tenant de Microsoft 365 y entregamos un informe de seguridad en 48 horas.

Agendar revisión gratuita Hablar por WhatsApp
WhatsApp