Productividad M365

Cómo proteger el correo corporativo en Microsoft 365 paso a paso

· Alejandro Garres
← Volver al Blog

Proteger el correo corporativo en Microsoft 365 requiere cinco capas: MFA (autenticación multifactor) para todas las cuentas, SPF/DKIM/DMARC en el dominio, políticas anti-phishing en el centro de seguridad, Safe Attachments y Safe Links si tienes Business Premium, y bloqueo del reenvío automático al exterior. Sin ellas, el correo es el punto de entrada más fácil para un atacante.

Por qué el correo corporativo sigue siendo el vector de entrada principal

El correo electrónico es el canal por el que entra la mayoría de los ataques a empresas, no porque los atacantes carezcan de otras opciones, sino porque funciona: es barato, automatizable y explota el factor humano sin necesidad de vulnerabilidades técnicas complejas.

Según el Balance de Ciberseguridad 2025 de INCIBE, en 2025 se gestionaron 122.223 incidentes en España, un 26% más que en 2024. Los ataques de fraude online y phishing representaron 45.445 de esos incidentes, y la gran mayoría empieza con un correo que parece legítimo.

En las PYMEs de 20 a 100 empleados, el patrón más habitual que vemos en IBERSYA es siempre el mismo: credenciales robadas por phishing que abren acceso al correo corporativo, desde donde el atacante reenvía facturas modificadas a clientes, accede a datos sensibles o lanza nuevos ataques usando una dirección de confianza. La doble consecuencia —pérdida económica directa y daño reputacional— convierte la seguridad del correo en una prioridad que no admite demoras. Si todavía no tienes una estrategia de ciberseguridad para empresas definida, la protección del correo es el punto de partida más crítico.

Qué protección incluye Microsoft 365 según tu licencia

Antes de configurar nada, conviene entender qué tienes disponible, porque la protección varía de forma significativa entre planes.

Exchange Online Protection (EOP): la base en todos los planes

Exchange Online Protection (EOP) está incluido en todos los planes de Microsoft 365 que incluyen correo (Business Basic, Business Standard y Business Premium). EOP filtra:

  • spam y correo masivo no deseado
  • malware conocido en adjuntos
  • mensajes de dominios o IPs en listas negras
  • suplantaciones básicas de dominio

EOP aplica políticas configurables desde el Centro de seguridad de Microsoft 365 (security.microsoft.com). Sus configuraciones predeterminadas ofrecen un nivel de protección básico, pero no están optimizadas para el riesgo real de una PYME. Hay que ajustarlas manualmente.

Microsoft Defender for Office 365 Plan 1: la capa avanzada

Microsoft Defender for Office 365 Plan 1 está incluido en Microsoft 365 Business Premium y disponible como complemento en Business Basic y Business Standard. Añade:

  • Safe Attachments: los adjuntos se detonan en un sandbox antes de llegar al buzón del usuario, bloqueando amenazas de día cero que EOP no detecta
  • Safe Links: las URLs en mensajes se analizan en tiempo real al hacer clic, no solo en la recepción — también aplica a Microsoft Teams
  • Protección avanzada contra phishing: detección de suplantación de identidad con modelos de IA, incluyendo ataques que imitan personas específicas de la organización

Para una PYME con información financiera de clientes, acceso a sistemas de gestión o datos personales, la diferencia entre EOP solo y Defender Plan 1 es concreta: EOP bloquea amenazas conocidas; Defender bloquea también las que no están en ninguna lista todavía.

Cómo proteger el correo corporativo en Microsoft 365: los cinco pasos

Paso 1. Activa MFA para todos los usuarios

La autenticación multifactor (MFA) es la medida de mayor impacto con el menor tiempo de configuración. Según el Microsoft Digital Defense Report 2024, MFA bloquea la inmensa mayoría de los ataques automatizados de robo de credenciales.

En Microsoft 365, la forma recomendada para una PYME es activar Security Defaults, que fuerza MFA a todos los usuarios y bloquea la autenticación heredada (que no admite MFA). Se activa desde el portal de Entra ID → Propiedades → Security Defaults.

Si necesitas más control (excluir cuentas de servicio, aplicar MFA solo fuera de la red corporativa o gestionar excepciones por grupos), necesitarás Acceso Condicional, disponible en Microsoft 365 Business Premium o con licencias Azure AD P1.

Prioridad absoluta: activa MFA primero en las cuentas de administrador global. Una cuenta admin sin MFA es la vulnerabilidad más crítica de cualquier entorno Microsoft 365, independientemente del resto de configuraciones.

Paso 2. Configura SPF, DKIM y DMARC en tu dominio

Estos tres registros DNS autentican que los correos enviados desde tu dominio son legítimos. Sin ellos, cualquier persona puede enviar correo haciéndose pasar por @tuempresa.com con una alta tasa de entrega.

SPF (Sender Policy Framework) se configura añadiendo un registro TXT en el DNS de tu dominio. Para Microsoft 365, el valor estándar es:

v=spf1 include:spf.protection.outlook.com -all

DKIM (DomainKeys Identified Mail) se activa desde el Centro de seguridad de Microsoft 365 → Políticas y reglas → Políticas de amenazas → DKIM. Microsoft genera las claves automáticamente; solo tienes que añadir los dos registros CNAME que te indica en el DNS de tu dominio.

DMARC (Domain-based Message Authentication) se publica también como registro TXT en el DNS. Un valor de inicio recomendado para PYMEs es:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@tuempresa.com

La política p=quarantine envía a cuarentena los mensajes que no pasan SPF o DKIM. Cuando tengas confianza en que la configuración es correcta y los informes no muestran falsos positivos, puedes escalar a p=reject. El parámetro rua te envía informes de agregado semanales para saber qué fuentes usan tu dominio.

Sin DMARC, aunque tengas SPF y DKIM, los servidores receptores no tienen instrucciones sobre qué hacer cuando un mensaje falla la autenticación. La cadena solo funciona completa.

Paso 3. Ajusta las políticas anti-phishing

EOP incluye una política anti-phishing básica activa por defecto. Reforzarla requiere ir a Centro de seguridad → Políticas de amenazas → Anti-phishing y modificar la política predeterminada con estos ajustes clave:

  • Umbral de phishing: cambia de 1 (estándar) a 3 (agresivo) para entornos con riesgo real de phishing dirigido
  • Protección de usuarios: añade a los directivos, responsables financieros y cuentas con acceso a datos críticos a la lista de identidades protegidas contra suplantación
  • Protección de dominio: activa la protección contra dominios similares al tuyo (por ejemplo, ibersya.net intentando suplantar a ibersya.com mediante typosquatting)
  • Inteligencia de buzón: viene activada por defecto; aprende los patrones habituales de comunicación de cada usuario y detecta desviaciones

Si tienes Microsoft 365 Business Premium, estas dos funciones son las más efectivas para detener amenazas que no están en ninguna lista de reputación conocida.

Safe Attachments: desde Centro de seguridad → Políticas de amenazas → Safe Attachments, crea una política que cubra a todos los usuarios y establece la acción como Bloquear. Los adjuntos que fallen el análisis en sandbox se bloquean antes de llegar al buzón; el usuario recibe una notificación con el adjunto retenido.

Safe Links: crea una política que cubra todos los mensajes de correo y todos los usuarios. Activa la reescritura de URLs y el análisis de clics en tiempo real. También puedes aplicarla a Microsoft Teams y a aplicaciones de Office, lo que cierra el vector de URLs maliciosas distribuidas por canales internos.

¿Quieres tener estas configuraciones en marcha sin dedicarle tiempo interno? En IBERSYA desplegamos y gestionamos la seguridad del correo en Microsoft 365 para PYMEs. Cuéntanos qué necesitas.

Paso 5. Bloquea el reenvío automático al exterior

El reenvío automático al exterior es uno de los vectores más explotados en ataques BEC (Business Email Compromise). Un atacante que consigue acceso a un buzón configura una regla de reenvío para recibir copia de todos los correos entrantes, y esa regla permanece activa incluso si la contraseña se cambia después.

Para bloquearlo en todos los usuarios del dominio:

  1. Ve a Centro de seguridad → Políticas de amenazas → Anti-spam
  2. Edita la política de correo saliente predeterminada
  3. En Reenvío automático, selecciona “Desactivado: el reenvío está deshabilitado”

Esta configuración impide que cualquier usuario —o cualquier atacante con acceso a un buzón— configure reglas de reenvío silencioso al exterior. Es una de las medidas más importantes y una de las menos implementadas en PYMEs.

Cómo usar el Microsoft Secure Score para saber dónde estás

El Microsoft Secure Score (security.microsoft.com/securescore) es un indicador numérico del nivel de seguridad del entorno Microsoft 365. Compara la configuración actual con las prácticas recomendadas por Microsoft y prioriza las acciones por impacto y esfuerzo de implementación.

Una PYME recién configurada suele situarse entre 30 y 50 puntos sobre 100. Las acciones con mayor impacto inmediato en el score relacionadas con el correo son:

  • MFA activado para todos los usuarios
  • DKIM habilitado para el dominio
  • Política DMARC publicada con p=quarantine o p=reject
  • Reenvío automático al exterior bloqueado
  • Revisión de aplicaciones de terceros con acceso al correo

El Secure Score no es un certificado de conformidad, sino un indicador de higiene de seguridad. Revisarlo una vez al mes y trabajar en las acciones pendientes de mayor puntuación —priorizar las de mayor impacto con menor esfuerzo— es una práctica que aplicamos de forma sistemática en los entornos Microsoft 365 que gestionamos en IBERSYA.

Errores frecuentes en la seguridad del correo de empresa

Activar MFA solo para administradores. Las cuentas de usuarios con acceso a datos financieros, correo del CEO o información de clientes son igual de valiosas para un atacante. MFA debe aplicarse a todos los usuarios sin excepción, incluidos los de servicios y cuentas funcionales.

Configurar SPF pero no DMARC. SPF sin DMARC equivale a declarar quién está autorizado a enviar en tu nombre, pero no dar instrucciones al receptor sobre qué hacer si alguien no autorizado envía igualmente. Los servidores receptores entregarán el mensaje de todas formas sin una política DMARC activa.

Dejar las políticas anti-phishing con los valores predeterminados. La configuración predeterminada de EOP es conservadora para minimizar falsos positivos. En una PYME con riesgo real de phishing dirigido o suplantación de directivos, el umbral estándar es insuficiente.

No revisar los registros de auditoría. Microsoft 365 registra todos los inicios de sesión, cambios de configuración y accesos a buzones en el centro de cumplimiento de Microsoft Purview. Si nadie revisa esos registros periódicamente, es posible que un acceso no autorizado lleve semanas activo sin que nadie lo haya detectado.

Olvidar las apps de terceros con acceso al correo. Muchas integraciones (CRM, herramientas de marketing, plataformas de envío) reciben permisos de acceso al correo durante la configuración inicial y nunca se revisan. Un acceso de terceros comprometido tiene el mismo impacto que un robo de credenciales directo. Revisar las apps con acceso en Centro de administración de Microsoft 365 → Configuración → Aplicaciones integradas debería hacerse al menos cada seis meses.

Preguntas frecuentes sobre la seguridad del correo en Microsoft 365

¿Qué diferencia hay entre Exchange Online Protection y Microsoft Defender for Office 365?

Exchange Online Protection (EOP) filtra spam, malware básico y correo de remitentes bloqueados. Está incluido en todos los planes de Microsoft 365. Microsoft Defender for Office 365 añade Safe Links (análisis de URLs en tiempo real al hacer clic), Safe Attachments (detonación de adjuntos en sandbox antes de llegar al buzón) y protección avanzada contra phishing con IA. Está disponible en Microsoft 365 Business Premium o como complemento en otros planes.

¿Es suficiente activar MFA para proteger el correo en Microsoft 365?

MFA bloquea la mayoría de los ataques de robo de credenciales, pero no protege contra phishing dirigido, adjuntos maliciosos ni reenvío automático al exterior. Para una protección completa hacen falta también SPF, DKIM y DMARC correctamente configurados, políticas anti-phishing activas, restricción del reenvío automático y revisión periódica del Secure Score.

¿Qué es SPF, DKIM y DMARC y por qué son imprescindibles?

SPF (Sender Policy Framework) declara qué servidores tienen autorización para enviar correo en nombre de tu dominio. DKIM (DomainKeys Identified Mail) firma digitalmente cada mensaje para verificar que no ha sido alterado en tránsito. DMARC (Domain-based Message Authentication) indica a los servidores receptores qué hacer cuando un mensaje falla SPF o DKIM, y te envía informes de uso del dominio. Sin los tres configurados juntos, cualquiera puede suplantar tu dominio con alta probabilidad de éxito.

¿Cuánto tiempo lleva configurar la seguridad del correo en Microsoft 365?

Con acceso al centro de administración de Microsoft 365 y al DNS del dominio, activar MFA y configurar SPF, DKIM y DMARC lleva entre 2 y 4 horas. Ajustar las políticas anti-phishing avanzadas, Safe Attachments y Safe Links requiere entre medio día y un día adicional según la complejidad del entorno.

En IBERSYA configuramos la seguridad del correo en Microsoft 365 para empresas de 15 a 80 empleados: MFA, SPF/DKIM/DMARC, políticas anti-phishing, Defender for Office 365 y bloqueo de reenvío automático. Si prefieres tenerlo bien configurado sin invertir tiempo interno, cuéntanos qué necesitas.

Recursos relacionados

Siguiente paso si quieres llevar este tema al entorno real de tu empresa

Servicio Ver servicio relacionado Siguiente paso práctico para llevar este tema al entorno real de la empresa. Pilar Formaciones bonificadas FUNDAE, Microsoft 365, IA, automatización y Odoo. BOFU Formación bonificada informática Áreas prioritarias y enfoque de negocio. BOFU Curso bonificado de Odoo Adopción del ERP con enfoque práctico.

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.