LinkedIn Post
¿Sabe realmente quién tiene las llaves de su entorno de Microsoft 365? Muchas pymes delegan la gestión de su correo, licencias y almacenamiento en un proveedor informático externo. Sin embargo, mantener accesos ilimitados y permanentes para su partner de soporte se ha convertido en uno de los mayores riesgos de ciberseguridad actuales. Microsoft acaba de endurecer las reglas de seguridad para su ecosistema de partners por una razón crítica: los atacantes están utilizando a las empresas de soporte como puente para acceder a los datos confidenciales de sus clientes.
El problema radica en el modelo tradicional de administración delegada (DAP), que concedía al proveedor externo el rol de “Administrador Global” de forma permanente. Si un ciberdelincuente comprometía la credencial de un solo técnico de soporte, obtenía automáticamente el control total de los sistemas de todas las pymes gestionadas por ese partner. Para atajar esta vulnerabilidad, Microsoft está imponiendo la transición obligatoria a GDAP (Permisos de Administración Delegada Granular). Este nuevo estándar técnico aplica el principio de mínimo privilegio: el partner solo recibe los accesos específicos que necesita para una tarea concreta (por ejemplo, gestionar licencias de Teams) y estos permisos caducan automáticamente tras un tiempo establecido.
Impacto empresarial: Un fallo de seguridad en su proveedor de informática puede dar acceso total a los atacantes a su correo, datos de clientes y facturación sin que se dé cuenta, paralizando su actividad por completo. Esto expone a su empresa a estafas de suplantación de identidad (como la interceptación y modificación de facturas legítimas) y a graves sanciones por la pérdida de datos bajo el RGPD. Ante la ley, la responsabilidad última de proteger la información sigue siendo de su pyme, no de su proveedor.
Para mitigar este riesgo en su organización, le recomendamos tomar tres medidas de gestión inmediatas:
- Solicite formalmente a su proveedor de soporte la transición de los accesos antiguos (DAP) al modelo granular (GDAP).
- Audite desde el centro de administración de Microsoft 365 la pestaña de “Relaciones de partners” para verificar quién tiene acceso a sus datos.
- Asegúrese de que la autenticación multifactor (MFA) esté activa y sea obligatoria para cualquier cuenta con privilegios de administración.
¿Ha verificado ya qué nivel de acceso tiene su proveedor de soporte actual en su consola de Microsoft 365? Comparta su experiencia o dudas en los comentarios para abrir el debate.