Cómo aplicar etiquetas de confidencialidad en documentos de Microsoft 365

Proteger la información sensible en Microsoft 365 ya no es una opción, es una necesidad absoluta para cualquier organización que comparta documentos y correos a diario. Los datos viajan entre dispositivos, nubes, aplicaciones y usuarios internos y externos, y es fundamental que esa información lo haga con un “sello” que indique su nivel de sensibilidad y, si hace falta, aplique protección automática.

Las etiquetas de confidencialidad de Microsoft Purview Information Protection son la pieza clave para conseguirlo: permiten clasificar, marcar visualmente y cifrar contenido, además de extender la protección a Teams, SharePoint, Power BI, Copilot y muchos otros servicios. A lo largo de este artículo vas a ver, de forma muy detallada y con un lenguaje cercano, qué son estas etiquetas, qué pueden hacer, cómo configurarlas en el portal de Microsoft Purview y, sobre todo, cómo aplicarlas en documentos y correos de Microsoft 365.

Qué son exactamente las etiquetas de confidencialidad en Microsoft 365

Una etiqueta de confidencialidad es, en la práctica, un “sello” digital que se aplica a documentos, correos electrónicos, reuniones y otros tipos de contenido para indicar su nivel de sensibilidad (por ejemplo, Público, Interno, Confidencial o Altamente confidencial) y, opcionalmente, activar medidas de protección como cifrado, marcas de agua o restricciones de uso.

Estas etiquetas son totalmente personalizables por cada organización: se definen los nombres, descripciones, colores y niveles (por ejemplo, Personal, Público, General, Confidencial, Altamente confidencial) en función de las políticas internas de seguridad y cumplimiento. Además, se gestionan y publican desde el portal de Microsoft Purview, dentro de Information Protection.

El gran punto fuerte de las etiquetas es que se almacenan como metadatos en texto no cifrado dentro del propio archivo o correo. Esto hace que aplicaciones y servicios de terceros puedan leer la etiqueta y aplicar acciones complementarias (por ejemplo, controles en una DLP o en un proxy). Al mismo tiempo, si la etiqueta aplica cifrado, ese cifrado se vincula a la configuración definida en la propia etiqueta.

Otra característica clave es su persistencia: al estar embebidas en los metadatos, las etiquetas viajan con el contenido donde quiera que se copie, descargue o reenvié, tanto dentro como fuera de la organización. Esa persistencia es la que permite mantener las políticas de protección incluso cuando el archivo abandona el “territorio” de Microsoft 365.

Para el usuario final, las etiquetas son muy visibles en las aplicaciones de Office: se muestran en la barra de título, en la barra o botón de Confidencialidad/Sensibilidad y se integran en el flujo normal de trabajo. Los usuarios de otras organizaciones pueden ver el nombre de la etiqueta aplicada a un contenido que reciben, pero no verán el catálogo completo de etiquetas que tiene configurada la organización emisora.

Qué ocurre al aplicar una etiqueta de confidencialidad

Cuando aplicas una etiqueta de confidencialidad a un archivo o correo, esa información de clasificación queda grabada en el elemento y se mantiene al moverlo entre dispositivos, aplicaciones de Office, SharePoint, OneDrive, Teams e incluso ciertos servicios de terceros. A partir de ese momento, según cómo se haya configurado la etiqueta, se pueden producir cambios automáticos en el contenido.

Una etiqueta puede aplicar cifrado mediante Information Rights Management (IRM o Microsoft Purview Information Protection, ver Azure Information Protection): esto significa que solo las personas o grupos autorizados podrán abrir el contenido y realizar ciertas acciones (leer, modificar, imprimir, reenviar, copiar texto, etc.). Estos permisos se definen en la propia etiqueta, bien de forma fija por el administrador o bien permitiendo que el usuario elija quién puede acceder.

También es posible que se inserten marcas de contenido como encabezados, pies de página o marcas de agua visibles en Word, Excel, PowerPoint y, en algunos casos, en componentes de Loop. El texto de esas marcas de contenido lo define el administrador (por ejemplo, “Confidencial – Uso interno únicamente”). Puedes ver ejemplos en formularios Word con contenidos controlados.

Además, se pueden usar marcas de agua dinámicas que incorporan información del usuario o del propio documento (como el nombre del destinatario, el correo o el nombre del archivo). Estas marcas dinámicas refuerzan la trazabilidad y dificultan la fuga de información, porque queda claro quién está visualizando el documento en cada momento.

Según la aplicación y la plataforma, el comportamiento exacto puede variar ligeramente. No todas las versiones de Office (escritorio, web, móvil) admiten exactamente las mismas capacidades de marcado y cifrado. Aun así, la etiqueta como tal siempre acompaña al contenido, y las acciones de protección se aplican de la forma más consistente posible en cada entorno.

Dónde y cómo se ven las etiquetas en las aplicaciones de Office

En las versiones de escritorio de Word, Excel y PowerPoint para Windows, la etiqueta de confidencialidad actual se muestra normalmente en la barra de título, junto al nombre del archivo. Al pasar el ratón por encima del icono de etiqueta puedes ver el nombre y, muchas veces, una breve descripción con las instrucciones de uso de esa clasificación.

En Office para Windows también está disponible la barra o botón de Confidencialidad (en la pestaña Inicio, normalmente bajo el nombre “Confidencialidad” o “Sensibilidad”). Desde ahí se despliega el listado de etiquetas publicado para ese usuario, y se puede seleccionar o cambiar la etiqueta aplicada al archivo.

En Office para la web (Word, Excel, PowerPoint online), la etiqueta se ve igualmente en la parte superior de la ventana como un icono o texto. Aunque la vista de permisos detallados aún no está disponible en la versión web, sí se respeta la configuración de cifrado y marcado aplicada desde el escritorio o desde la nube.

En Outlook, las etiquetas se aplican a correos e invitaciones de reuniones desde el botón de Confidencialidad/Sensibilidad en la cinta. El usuario selecciona la etiqueta adecuada y, si esta aplica cifrado, el mensaje se envía protegido con las restricciones definidas (por ejemplo, no reenviar, no imprimir, solo lectura, etc.). Si la etiqueta aplica cifrado o restricciones de uso, el mensaje se protege automáticamente al enviarse (ver cómo Defender for Office 365 protege correo y archivos).

En dispositivos móviles (Android, iOS, iPadOS), la interfaz cambia, pero el concepto es el mismo: en Word, Excel y PowerPoint se accede a las etiquetas desde la pestaña Inicio (o desde el menú de Más opciones representado por los tres puntos). La etiqueta activa se muestra en la parte superior y se puede cambiar desde esos menús.

Formas de aplicar etiquetas de confidencialidad en documentos de Microsoft 365

Las etiquetas de confidencialidad se pueden aplicar de forma manual, recomendada o automática, en función de cómo lo haya configurado el administrador. Para que los usuarios puedan aplicarlas, deben iniciar sesión en Microsoft 365 con su cuenta corporativa o educativa y tener asignadas las licencias adecuadas.

Aplicación manual desde la propia aplicación

La forma más habitual de etiquetar un documento en Word, Excel o PowerPoint (escritorio) es usar la barra de título o el botón de Confidencialidad:

• Desde la barra de título: haz clic en el área de la etiqueta, al lado del nombre del archivo, y selecciona en la lista la etiqueta adecuada (por ejemplo, General, Confidencial, etc.).
• Desde el botón Confidencialidad/Sensibilidad: ve a la pestaña Inicio y pulsa en Confidencialidad. Se abrirá el desplegable con todas las etiquetas disponibles para tu usuario y podrás elegir la más adecuada para ese contenido.

Cuando guardas un archivo nuevo, en algunos entornos puede aparecer un cuadro de diálogo de Guardar en el que ya se ofrece la posibilidad de elegir la etiqueta antes de terminar el guardado. De este modo, el documento nace ya con la clasificación correcta desde el primer momento.

Si tu organización ha establecido el etiquetado obligatorio, verás mensajes como “Selecciona una etiqueta” o indicadores de que falta una etiqueta en la barra de título. En ese caso no podrás guardar o seguir trabajando sin aplicar al menos una etiqueta al archivo (aunque sí puedes abrir el documento en modo solo lectura si no quieres etiquetarlo).

Aplicación desde Outlook a correos y reuniones

En Outlook para escritorio y para la web, el procedimiento es muy similar: al redactar un nuevo mensaje o una invitación de reunión, se usa el botón de Confidencialidad/Sensibilidad de la cinta. Al hacer clic, se muestra la lista de etiquetas disponibles y basta con elegir una.

Si la etiqueta aplica cifrado o restricciones de uso, el mensaje se protege automáticamente al enviarse. Por ejemplo, una etiqueta “CFE Confidencial” o “Altamente confidencial” puede impedir reenviar, copiar, imprimir o incluso responder al correo; además, puede aplicar una fecha de expiración para que el contenido deje de ser accesible pasado un tiempo.

Aplicación desde dispositivos móviles

En teléfonos y tabletas Android, el etiquetado suele hacerse desde la pestaña Inicio, seleccionando la opción Confidencialidad y luego la etiqueta deseada. En algunos casos, en teléfonos con pantallas más pequeñas, tendrás primero que tocar en un menú adicional de tres puntos para desplegar la opción.

En iPhone y iPad, la aplicación de etiquetas funciona de forma parecida: puedes acceder a Confidencialidad desde la pestaña Inicio o desde el menú Más opciones (los tres puntos de la parte superior). Al pulsar, verás las etiquetas y podrás cambiar la ya aplicada.

Etiquetado automático, recomendado y predeterminado

Además del etiquetado manual, el administrador puede configurar reglas para que Microsoft 365 detecte automáticamente información sensible (como números de tarjeta de crédito, números de la seguridad social u otros datos regulados) y aplique o recomiende una etiqueta específica.

• Etiquetado automático: si el contenido cumple ciertas condiciones, se aplica directamente una etiqueta concreta sin intervención del usuario. Este verá un aviso bajo la cinta de opciones indicando que el archivo se ha etiquetado automáticamente.
• Etiquetas recomendadas: en este caso, el sistema sugiere una etiqueta cuando detecta información sensible, pero deja al usuario la decisión final de aceptar o descartar la recomendación. La sugerencia aparece también como una notificación bajo la cinta.
• Etiquetas predeterminadas: se puede definir una etiqueta por defecto para nuevos documentos, correos, reuniones o incluso para bibliotecas de documentos de SharePoint. Cuando se crea un archivo nuevo sin etiqueta, se le asignará la predeterminada al guardarlo por primera vez (o en cuanto se abra después de implementar la política).

Es importante entender que el etiquetado automático no sobrescribe decisiones del usuario: Microsoft 365 no aplicará una etiqueta automática si el archivo ya tiene una etiqueta establecida manualmente o si la etiqueta existente tiene un nivel de confidencialidad superior al que se pretende aplicar de forma automática.

Cambio y justificación de cambios de etiqueta

En muchas organizaciones se exige justificar los cambios a etiquetas menos restrictivas. Si intentas bajar el nivel de confidencialidad (por ejemplo, de “Altamente confidencial” a “General”), se puede mostrar un cuadro donde debes seleccionar un motivo o escribir una explicación. Esa justificación queda registrada en los registros de actividad para auditoría.

También se puede impedir quitar por completo la etiqueta cuando el etiquetado obligatorio está activado. En ese caso, podrás cambiar a otra etiqueta, pero nunca dejar el archivo sin clasificar.

Qué pueden hacer las etiquetas de confidencialidad además de clasificar

Las etiquetas no solo sirven para “pegar una pegatina” al documento, sino que son el eje de muchas otras capacidades de seguridad y cumplimiento dentro de Microsoft 365 y de Microsoft Purview.

Control de acceso y cifrado

Una etiqueta puede incluir reglas de cifrado muy detalladas que especifiquen quién puede abrir un archivo o correo y qué acciones puede realizar: ver, modificar, copiar, imprimir, reenviar, guardar como, etc. Puedes definir permisos para usuarios y grupos de dentro o fuera de la organización, establecer fechas de expiración o impedir el acceso desde dispositivos no administrados.

En algunos casos, la etiqueta permite permisos definidos por el usuario: cuando se aplica ese tipo de etiqueta, el usuario que etiqueta el archivo elige a qué personas concretas se les concede acceso, y con qué nivel de permisos. Es especialmente útil para documentos muy sensibles que solo deben ver un grupo reducido de personas.

Marcas de contenido: encabezados, pies y marcas de agua

Las etiquetas pueden insertar marcas de contenido visual como encabezados, pies de página y marcas de agua. Es una forma sencilla de que cualquiera que abra el archivo entienda rápidamente que está ante información sensible (por ejemplo, un gran texto “CONFIDENCIAL” en diagonal).

Estas marcas de contenido admiten variables dinámicas como el nombre de la etiqueta, el nombre del documento o el usuario. Eso permite crear plantillas que se adaptan sola y automáticamente al contexto del archivo sin tener que editar el texto en cada caso.

Protección de contenedores: Teams, grupos y sitios de SharePoint

Las etiquetas de confidencialidad también se pueden aplicar a contenedores como equipos de Microsoft Teams, grupos de Microsoft 365, sitios de SharePoint y áreas de trabajo de Loop. En este caso, la etiqueta no clasifica cada archivo individual, sino que controla cómo se puede acceder y compartir ese contenedor.

Por ejemplo, una etiqueta para un equipo de proyecto muy confidencial puede bloquear el acceso de invitados externos, impedir el uso desde dispositivos no administrados y restringir cómo se comparten los canales con otros equipos. De esta manera, todo lo que haya dentro de ese contenedor se beneficia de unas reglas de seguridad más estrictas.

Extensión a Power BI, Purview y servicios de terceros

Las etiquetas de confidencialidad se integran también con Power BI, de forma que los informes y conjuntos de datos pueden etiquetarse y seguir protegidos incluso cuando se exportan o se consumen fuera del servicio principal.

En el Mapa de datos de Microsoft Purview, se pueden extender las etiquetas a recursos de datos estructurados como SQL, Azure Synapse, Azure Cosmos DB o AWS RDS. Así se tiene una clasificación coherente entre ficheros de Office y activos de datos más técnicos.

Gracias al SDK de Microsoft Information Protection, aplicaciones y servicios de terceros (por ejemplo, soluciones de almacenamiento como Box o Dropbox, o aplicaciones SaaS especializadas) pueden leer y aplicar etiquetas, así como respetar las configuraciones de cifrado asociadas.

Integración con eDiscovery, DLP y Copilot

Las etiquetas de confidencialidad se utilizan como condición en búsquedas de eDiscovery: en un caso de litigio, se puede limitar una búsqueda a elementos con etiqueta “Altamente confidencial” o excluir los que tengan etiqueta “Público”. Esto simplifica mucho el filtrado legal de la información.

En el ámbito de la inteligencia artificial con Microsoft 365 Copilot y Microsoft 365 Copilot Chat, las etiquetas son respetadas por los agentes: cuando se combinan datos de distintas fuentes, se toma como referencia la etiqueta de mayor prioridad (la más restrictiva) y se comprueba si el usuario tiene permiso para extraer contenido (derecho EXTRACT) antes de devolver información en las respuestas.

Categorías de etiquetas y ejemplos de uso reales

Cada organización diseña su propio catálogo de etiquetas, pero suele haber un patrón bastante repetido de niveles, desde información pública hasta datos ultra sensibles. Un ejemplo típico podría ser:

• Personal: contenido personal del usuario, sin datos corporativos.
• Público: información que se puede compartir sin restricciones fuera de la organización.
• Interno: documentos para consumo interno de empleados, no para difusión externa.
• Confidencial: información sensible con restricciones en impresión, reenvío o copia.
• Altamente confidencial: máximo nivel de protección, con cifrado fuerte, expiración, marcas de agua obligatorias, etc.

Un ejemplo muy ilustrativo es el esquema de una institución con etiquetas como “CFE Público”, “CFE Interno”, “CFE Confidencial” y “CFE Alta Confidencialidad”. Cada una lleva asociadas restricciones concretas: impedir imprimir, copiar, reenviar correos, establecer caducidad del documento o añadir marcas de agua y pies de página permanentes que no se pueden quitar.

Estas políticas permiten ajustar la protección según el riesgo real del contenido: un folleto comercial se puede etiquetar como Público, mientras que un contrato estratégico se clasifica como Confidencial o Alta Confidencialidad, con controles mucho más estrictos sobre quién puede verlo y qué puede hacer con él.

Cómo se crean, configuran y publican las etiquetas en Microsoft Purview

Desde el punto de vista de administración, todo el ciclo de vida de las etiquetas (creación, configuración, publicación y modificación) se gestiona desde el portal de Microsoft Purview, en la sección de Information Protection.

Requisitos previos y permisos

Para crear y administrar etiquetas de confidencialidad necesitas permisos específicos en Purview o en el Centro de seguridad y cumplimiento (según el entorno). Normalmente, los roles relacionados con la protección de la información o la gestión de cumplimiento son los que tienen acceso.

Creación y configuración de una etiqueta

El proceso de creación de una etiqueta en el portal de Purview suele seguir estos pasos:

1. Iniciar sesión en el portal de Microsoft Purview y acceder a Soluciones > Information Protection > Etiquetas de confidencialidad.
2. Seleccionar “Crear > Etiqueta” para lanzar el asistente de configuración de una nueva etiqueta.
3. Definir el ámbito de la etiqueta: Archivos & otros recursos de datos, Correos electrónicos, Reuniones y/o Grupos & sitios. La combinación de ámbitos determina qué configuración se puede aplicar y en qué tipos de elementos aparecerá la etiqueta.
4. Configurar las opciones de protección: cifrado, marcas de contenido, etiquetado automático o recomendado, ajustes para contenedores (privacidad de Teams, uso compartido externo, acceso desde dispositivos no administrados, etc.).
5. Repetir el proceso para tantas etiquetas como sean necesarias, manteniendo una estructura lógica y clara para el usuario.

Para mejorar la gestión, se pueden agrupar las etiquetas en grupos de etiquetas (antes conocidos como etiquetas primarias y subetiquetas). Estos grupos organizan las etiquetas en dos niveles: un grupo general (por ejemplo, Confidencial) y subetiquetas con configuraciones específicas (por ejemplo, “Confidencial – Todos los empleados”, “Confidencial – Personas de confianza”).

El orden de las etiquetas importa: en la lista de Purview, las etiquetas se ordenan de menor a mayor prioridad. Normalmente se coloca la etiqueta menos restrictiva (Público) arriba y la más restrictiva (Altamente confidencial) abajo. Esta prioridad se tiene en cuenta, por ejemplo, cuando se exige justificación para bajar de nivel de sensibilidad o cuando se produce un conflicto en el etiquetado automático.

Publicación de etiquetas mediante directivas

Una vez creadas, las etiquetas no aparecen automáticamente en las aplicaciones. Es necesario publicarlas mediante una o varias directivas de etiqueta. Cada directiva define:

• Qué etiquetas se publican en esa directiva.
• A qué usuarios y grupos se aplica (grupos de seguridad, grupos de Microsoft 365, grupos de distribución, etc.).
• Qué configuración de política se impone: etiqueta predeterminada para documentos, correos, reuniones, grupos y sitios, obligatoriedad de etiquetar, requerir justificación para cambios, enlace de ayuda personalizado, etc.

La prioridad de las directivas también cuenta: si un usuario pertenece a varios grupos y, por tanto, recibe varias directivas, los posibles conflictos de configuración se resuelven aplicando la política con mayor prioridad (la que esté más abajo en la lista de Purview).

Después de crear o modificar una directiva, los cambios pueden tardar hasta 24 horas (y en algunos casos 48) en propagarse por completo. Es recomendable esperar ese tiempo antes de ponerse a depurar problemas de visibilidad de etiquetas.

Uso avanzado con PowerShell

Para escenarios avanzados o entornos grandes, es muy habitual usar los cmdlets de PowerShell de Seguridad y cumplimiento, como Set-Label y Set-LabelPolicy, para automatizar la creación y mantenimiento de etiquetas y directivas.

Por ejemplo, se puede configurar localización de nombres y descripciones para distintos idiomas mediante el parámetro LocaleSettings, de modo que los usuarios vean los nombres de las etiquetas en su idioma de interfaz de Office (francés, italiano, alemán, etc.). También se pueden ajustar opciones avanzadas de etiquetado integrado que no están expuestas directamente en la interfaz gráfica.

Quitar o eliminar etiquetas y su impacto

Durante fases de prueba es frecuente tener que retirar etiquetas de una directiva o incluso eliminar etiquetas del entorno, pero conviene entender bien las consecuencias de cada acción.

Si quitas una etiqueta de una directiva de publicación, esa etiqueta dejará de estar disponible para los usuarios cuando se actualice la política, pero los documentos y contenedores que ya la tengan aplicada conservarán la etiqueta en sus metadatos. Es decir, no se desclasifica automáticamente el contenido, simplemente ya no se puede elegir esa etiqueta para nuevos elementos.

Si eliminas una etiqueta por completo desde Purview, el efecto es más profundo:

• Si la etiqueta cifraba contenido, la plantilla de protección se archiva para que los usuarios sigan pudiendo abrir los documentos históricos, pero no podrás crear otra etiqueta nueva con ese mismo nombre que reutilice la plantilla sin más.
• En documentos de SharePoint y OneDrive con etiquetas habilitadas, al abrirlos en Office para la web puede dejar de mostrarse el nombre de la etiqueta, e incluso puede retirarse el cifrado si el servicio es capaz de procesar ese contenido. Para muchas acciones (descargar, copiar, mover, abrir en cliente de escritorio) se aplica el mismo comportamiento.
• En documentos y correos fuera de SharePoint/OneDrive, la información de la etiqueta permanece en los metadatos, pero las aplicaciones ya no pueden traducir el identificador de la etiqueta a un nombre para mostrar, por lo que el usuario verá el contenido como si no tuviera etiqueta (o verá referencias internas tipo GUID en herramientas de auditoría).
• En contenedores como Teams y sitios de SharePoint, la eliminación de la etiqueta provoca que dejen de aplicarse las configuraciones que esa etiqueta imponía (privacidad, uso compartido, acceso desde dispositivos no administrados, etc.), aunque este proceso puede tardar entre 48 y 72 horas en completarse.

Por todo ello, en entornos de producción se recomienda más bien ajustar o retirar etiquetas de las directivas, antes que eliminar etiquetas salvo que se tenga muy claro el impacto y se haya planificado cómo tratar el contenido histórico.

En conjunto, las etiquetas de confidencialidad en Microsoft 365 ofrecen un marco muy potente para identificar, proteger y controlar el uso de la información corporativa en documentos, correos, reuniones, sitios, equipos y recursos de datos, tanto dentro como fuera de la nube de Microsoft. Un diseño razonable del catálogo de etiquetas, una buena comunicación interna y un uso inteligente de las opciones de etiquetado manual, automático y obligatorio permiten equilibrar seguridad y productividad sin volver loco al usuario, y facilitan que la organización cumpla sus obligaciones legales y normativas sin perder agilidad en su día a día.