Guía completa de Defender for Office 365: protege correo y archivos

Si usas Microsoft 365, tu correo y tus archivos son el caramelo favorito de los atacantes, así que conviene ponerse serios con la seguridad. Microsoft Defender para Office 365 añade capas clave de protección sobre Exchange Online Protection, vigilando mensajes, enlaces, adjuntos y colaboración en OneDrive, SharePoint y Teams.

En esta guía práctica vas a encontrar un recorrido completo y accionable: desde la autenticación del correo (SPF, DKIM, DMARC) y las políticas preestablecidas Standard/Strict, hasta cómo priorizar cuentas, recibir informes de los usuarios, gestionar listas de permitidos/bloqueos, lanzar simulaciones de phishing y responder a incidentes. También verás licenciamiento, privacidad, retención de datos y trucos para mejorar resultados sin volverte loco, como evitar que Microsoft Defender bloquee archivos seguros.

Requisitos y permisos clave

De serie, Microsoft 365 ya pone barreras básicas de correo con EOP, pero Defender para Office 365 amplía esa protección con funcionalidades avanzadas. Para poder configurarlo sin tropiezos, necesitarás permisos adecuados.

La forma más sencilla de delegar es asignar el rol de Administrador de seguridad en Microsoft Entra a quienes vayan a tocar Defender para Office 365. Si prefieres grano fino, puedes usar permisos de Exchange Online o permisos específicos de Email & Collaboration en el portal de Defender, pero evita dar rol de Administrador global a todo el mundo y sigue el principio de mínimo privilegio.

Paso 1: configura la autenticación del correo (SPF, DKIM, DMARC y ARC)

Antes de pensar en spam o malware, toca blindar el origen. La autenticación de correo confirma que los mensajes son legítimos y no han sido manipulados. Debes aplicar estos estándares en este orden para cada dominio personalizado que envíe correo desde Microsoft 365.

• SPF (TXT): declara qué hosts pueden enviar en nombre de tu dominio. Publica un registro SPF correcto para evitar suplantaciones y mejorar la entregabilidad.
• DKIM: firma saliente que viaja en el encabezado y sobrevive reenvíos. Actívalo para tus dominios y usa las claves CNAME que te proporciona Microsoft 365.
• DMARC: indica qué hacer si SPF/DKIM fallan. Incluye política p=reject o p=quarantine y destinatarios para informes agregados y forenses, así tus servidores de destino sabrán a qué atenerse.
• ARC: si un servicio intermedio modifica mensajes entrantes, regístralo como sellador ARC de confianza para conservar la trazabilidad y que no se rompa la autenticación de origen.

Si usas el dominio ‘*.onmicrosoft.com’ como origen de correo, ya tienes parte del trabajo hecho. SPF y DKIM vienen configurados por defecto, pero deberás crear el registro DMARC manualmente para ese dominio si lo empleas en envíos.

Paso 2: políticas de amenazas y cómo se aplican

En Defender para Office 365 existen tres capas conceptuales: directivas predeterminadas, directivas de seguridad preestablecidas y directivas personalizadas. Entender la diferencia y la precedencia te ahorra muchos sustos.

Tipos de directivas disponibles

• Directivas predeterminadas: viven desde que creas el tenant, siempre aplican a todos los destinatarios y no puedes cambiar su ámbito (sí su configuración en algunos casos). Son tu red de seguridad.
• Directivas de seguridad preestablecidas: perfiles cerrados con mejores prácticas de Microsoft, en dos sabores: Standard y Strict. La protección integrada de vínculos y adjuntos se activa por defecto; Standard/Strict debes habilitarlas y definir destinatarios y excepciones.
• Directivas personalizadas: cuando necesitas ajustes específicos (bloqueo por idioma/país, cuarentenas a medida, notificaciones personalizadas), creas cuantas necesites y asignas condiciones por usuarios, grupos o dominios.

Las preestablecidas evolucionan automáticamente: si Microsoft endurece una recomendación, el perfil se actualiza y te beneficias sin tocar nada. En Standard y Strict solo puedes editar las entradas y excepciones de suplantación de usuarios y dominios; lo demás va fijado al nivel recomendado.

Orden de precedencia

Cuando un mensaje o elemento se evalúa, la primera política aplicable es la que manda y el resto ya no se consideran. En general el orden es:

1. Directivas de seguridad preestablecidas: primero Strict, luego Standard.
2. Directivas personalizadas de esa característica, ordenadas por prioridad (0, 1, 2…).
3. Directiva predeterminada (o la protección integrada en el caso de Safe Links/Attachments).

Para evitar solapamientos raros, usa grupos de destinatarios distintos en cada nivel y añade excepciones en Strict/Standard para los usuarios que llevarás con directivas personalizadas. Los que no caigan en niveles superiores quedarán protegidos por las predeterminadas o la protección integrada.

Estrategia recomendada

Si no hay un requerimiento que te empuje a personalizar, arranca con la directiva Standard para toda la organización y reserva Strict para colectivos de alto riesgo. Es simple, robusto y se autoajusta conforme cambian las amenazas.

Paso 3: asigna permisos a administradores sin sobredimensionar

Aunque tu cuenta inicial tenga poder para todo, no es buena idea regalar rol de Global Admin a cualquiera que deba tocar seguridad. Asigna, como norma, el rol de Administrador de seguridad en Microsoft Entra a administradores, especialistas y soporte que vayan a gestionar Defender para Office 365.

Si únicamente gestionarán correo, puedes optar por permisos de Exchange Online o los roles de Email & Collaboration del portal de Defender. Mínimo privilegio, siempre para reducir superficie de riesgo.

Paso 4: cuentas prioritarias y etiquetas de usuario

Defender para Office 365 permite marcar hasta 250 usuarios como cuentas prioritarias para destacarlos en informes e investigaciones y aplicar heurísticas adicionales. Es ideal para directivos, finanzas o TI.

Con el Plan 2 también dispones de etiquetas de usuario personalizadas para agrupar colectivos (proveedores, VIP, departamentos) y filtrar análisis. Identifica a quién conviene etiquetar desde el primer día.

Paso 5: mensajes reportados por los usuarios

Que los usuarios levanten la mano es oro: los falsos positivos/negativos que reportan te permiten ajustar políticas y entrenar los filtros de Microsoft.

• Cómo reportan: con el botón de Informe integrado en Outlook (web/escritorio) o con herramientas de terceros compatibles que usen el formato admitido; así aparecerán en la pestaña Informe del usuario de Envíos.
• Dónde van: por defecto a un buzón designado y a Microsoft. Puedes cambiar a solo buzón (y reenviar manualmente a Microsoft) o solo Microsoft. Crea un buzón exclusivo para estos reportes, no uses la cuenta inicial.

Enviar los reportes a Microsoft ayuda a que los filtros aprendan más rápido. Si optas por solo buzón, recuerda remitir desde la pestaña de Envíos los correos relevantes para análisis.

Paso 6: bloquear y permitir con cabeza

Las listas de inquilino de permitidos/bloqueados son potentes, pero abusar de permitir abre puertas innecesarias. Prima el bloqueo y usa las concesiones temporales solo tras verificar a conciencia.

• Bloquear: añade dominios/correos, archivos y URL en sus pestañas correspondientes o envía elementos a Microsoft desde Envíos para que se cree la entrada automáticamente. La Inteligencia de suplantación muestra remitentes bloqueados/permitidos; puedes cambiar decisiones o crear entradas proactivas.
• Permitir: puedes permitir dominios/correos y URL para anular veredictos de masivo, spam, high-confidence spam o phishing no de alta confianza. No se puede permitir directamente malware ni URL/domínios marcados como phishing de alta confianza; en esos casos, remite desde Envíos y marca ‘He confirmado que está limpio’ para crear una excepción temporal.

Vigila las excepciones: revísalas y cadúcalas cuando ya no hagan falta. Evitarás que pase lo que no debe por permisividad histórica.

Paso 7: simulaciones de phishing y formación

Con Attack Simulation Training (Plan 2) puedes lanzar campañas realistas de suplantación y asignar formación según la respuesta del usuario. Toca credenciales, QR-phishing, adjuntos peligrosos o BEC para cubrir el abanico.

La telemetría de estas campañas revela comportamientos de riesgo y ayuda a planear refuerzos. Idealmente, ejecuta simulaciones trimestrales para mantener el pulso.

Paso 8: investigar y responder sin perder tiempo

Cuando salta una alerta, el objetivo es claro: entender alcance y remediar rápido. Defender para Office 365 te da dos bazas principales en el día a día.

• Threat Explorer: filtra por malware, phish o URL detectadas, usa la vista de campañas para ver a todos los afectados y aplica acciones masivas (Soft delete/Purge) sobre los mensajes comprometidos.
• Investigación y Respuesta Automática (AIR) en Plan 2: inicia investigaciones, aísla mensajes, analiza enlaces, relaciona buzones y propone o ejecuta remediación.

Además, Zero-hour Auto Purge (ZAP) puede retirar correos tras su entrega si se vuelven a clasificar, lo que reduce ventana de exposición si algo se reevalúa como malicioso más tarde.

Protección de OneDrive, SharePoint y Teams

El correo es la puerta de entrada, pero los archivos son el botín. Extiende la protección a OneDrive, SharePoint y Teams para cortar infecciones y filtrar contenido malicioso en la colaboración.

• Antimalware en archivos: análisis y detonación de adjuntos en sandbox con Safe Attachments, incluido Dynamic Delivery para no frenar la lectura del mensaje mientras se inspecciona el archivo. También aprende a comprobar un archivo descargado.
• Safe Links: reescritura y análisis en tiempo real de URL en correos, documentos y Teams; puedes impedir clic-through para bloquear ignorar advertencias.
• DLP y etiquetas de sensibilidad (Purview): evita fugas de datos sensibles y aplica cifrado/controles por nivel de sensibilidad, incluso fuera de la organización, o aprende a ocultar y proteger correos confidenciales.

Complementa con Microsoft Defender for Cloud Apps para descubrir Shadow IT, aplicar políticas en tiempo real y detectar anomalías (ransomware, apps maliciosas) en servicios cloud, tanto de Microsoft como de terceros.

Licencias y activación rápida

Defender para Office 365 está disponible en dos planes: P1 (Safe Links, Safe Attachments y antiphishing avanzado) y P2 (añade Threat Explorer, AIR y simulaciones). E5 incluye P2; con E3 puedes añadir P1 o P2 según necesidades.

Funcionalidad	EOP	Plan 1	Plan 2
Antispam/antimalware estándar	✔	✔	✔
Safe Links	—	✔	✔
Safe Attachments	—	✔	✔
Antiphishing con IA	—	✔	✔
Threat Explorer / AIR	—	—	✔
Attack Simulation	—	—	✔

Para activarlo, entra en Microsoft 365 Defender, ve a Email & Collaboration > Policies & Rules y habilita Standard/Strict. Asigna el alcance (usuarios, grupos, dominios) y define excepciones donde toque.

Atajo con PowerShell para antiphishing

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

Recuerda que con Dynamic Delivery en Safe Attachments el usuario recibe el cuerpo del mensaje al instante y el adjunto se libera tras pasar la detonación; mejora la experiencia sin sacrificar seguridad.

Buenas prácticas, Zero Trust e integración

Para reforzar tu postura, aplica estas pautas. No requieren magia, solo constancia y criterio práctico.

• DMARC con p=quarantine/reject y DKIM en todos los dominios para cerrar suplantaciones.
• Revisa Secure Score semestralmente y apunta a ≥ 75%. Implementa las recomendaciones relevantes.
• Monitoriza falsos positivos en cuarentena y ajusta sin sobrepermitir. Menos es más.
• Simulaciones trimestrales para concienciar de verdad al usuario final.
• Integra con Microsoft Sentinel si tienes SIEM, para correlación multidominio y automatización SOAR.
• Documenta exenciones (por ejemplo, terceros que envían adjuntos poco comunes) y revísalas trimestralmente.

Dentro de una estrategia Zero Trust, Defender para Office 365 cubre correo y colaboración; añade Defender for Endpoint para frenar el movimiento lateral y responder en el dispositivo, y apóyate en SmartScreen para parar webs y descargas peligrosas en el endpoint, además de configurar administración de dispositivos móviles (MDM).

Datos y privacidad en Defender para Office 365

Al procesar mensajes de correo y Teams, Microsoft 365 maneja metadatos como nombres para mostrar, direcciones de correo, IP y dominios. Se usan para ML offline, reputación y capacidades como ZAP. Para capas adicionales considera proteger correo con Shielded Email.

Todos los informes están sujetos a identificadores EUPI (seudónimos) y EUII, con estas garantías: los datos se comparten solo dentro de tu organización, se almacenan en tu región y solo acceden usuarios autorizados. El cifrado en reposo se aplica mediante ODL y CDP.

Ubicación de datos

Defender para Office 365 opera en centros de datos de Microsoft Entra. Para ciertas geografías, los datos en reposo de organizaciones aprovisionadas se almacenan solo en su región. Regiones con residencia local incluyen:

• Australia
• Brasil
• Canada
• Unión Europea
• Francia
• Alemania
• India
• Israel
• Italia
• Japón
• Noruega
• Polonia
• Qatar
• Singapur
• Sudáfrica
• Corea del Sur
• Suecia
• Suiza
• Emiratos Árabes Unidos
• Reino Unido
• Estados Unidos

Entre los datos que se almacenan en reposo en la región local (protecciones por defecto en buzones cloud y en Defender para Office 365) están alertas, adjuntos, listas de bloqueos, metadatos de correo, análisis, spam, cuarentenas, informes, directivas, dominios de spam y URL.

Retención y compartición

Los datos de Defender para Office 365 se conservan 180 días en informes y registros. La información personal extraída se cifra y se elimina automáticamente 30 días después del periodo de retención. Al finalizar licencias y periodos de gracia, los datos se eliminan de forma irrecuperable a más tardar 190 días después del fin de suscripción.

Defender para Office 365 comparte datos con Microsoft 365 Defender XDR, Microsoft Sentinel y registros de auditoría (si el cliente tiene licencia), con excepciones específicas para nubes gubernamentales GCC.

Recuperación ante ransomware en Microsoft 365

Si, pese a todo, algo se cuela, actúa rápido: detén la sincronización de OneDrive y aísla equipos comprometidos para conservar copias sanas. Luego aprovecha las opciones nativas.

• Control de versiones: guarda múltiples versiones en SharePoint, OneDrive y Exchange. Puedes configurar hasta 50.000, pero ojo: algunos ransom cifran todas las versiones y el almacenamiento extra cuenta.
• Papelera de reciclaje: restaura elementos eliminados durante 93 días. Tras ese plazo y las dos fases de papelera, puedes pedir a Microsoft hasta 14 días adicionales para recuperación.
• Políticas de retención (E5/A5/G5): define cuánto tiempo conservar y qué se puede eliminar; automatiza retenciones por tipos de contenido.
• Preservation Hold Library: con retenciones activas, se guarda una copia inmutable en OneDrive/SharePoint; permite extraer archivos intactos tras el incidente.
• Copias de seguridad de terceros: Microsoft no hace backup tradicional de tu contenido de M365; valora una solución SaaS de backup para RTO/RPO exigentes y recuperación granular, o aprende a hacer una copia de seguridad de tus correos.

Para reducir vectores de entrada recuerda combinar protecciones de correo (EOP + Defender), autenticación multifactor, reglas de reducción de superficie de ataque y ajustes de Exchange que bajen el riesgo de phish y spoof.

Con todo lo anterior bien montado, tu entorno de Microsoft 365 queda notablemente más duro: correo autenticado, políticas coherentes y con precedencia clara, colaboración segura, usuarios que reportan, simulaciones que educan y capacidad real de investigación y respuesta. Remata con revisiones periódicas, Secure Score y exenciones mínimas y tendrás un sistema que aguanta el tipo frente a campañas modernas sin sacrificar usabilidad.