No dejes que la puerta de Microsoft 365 quede entreabierta: utiliza la "visión de Dios" de BSM para identificar con precisión los riesgos de seguridad

En un mundo donde los riesgos digitales son cada vez más complejos, ¿cómo pueden las empresas detectar anticipadamente las amenazas de seguridad y lograr un salto de la defensa pasiva a la gestión proactiva? La Mode de Seguridad Base (Baseline Security Mode, en adelante Microsoft BSM), lanzada por Microsoft a finales de 2025, se está convirtiendo en una dirección clave en la evolución de la arquitectura de ciberseguridad empresarial a nivel global.

Como socio estratégico de Microsoft, PwC no solo participó en la implementación inicial de Microsoft BSM, sino que también acumuló experiencia avanzada en múltiples escenarios prácticos. Basándose en sus propias prácticas de seguridad en arquitecturas complejas, PwC ayuda a las organizaciones a identificar y consolidar configuraciones y protocolos heredados de alto riesgo aún en uso en Microsoft 365 (M365, en adelante M365) y Entra ID, mediante informes de impacto y evaluación de dependencias y efectos en el negocio, promoviendo de manera controlada el fortalecimiento de la línea base, ofreciendo caminos concretos para resolver problemas de protección en sistemas antiguos y consolidar la línea base de seguridad.

Por ello, hemos preparado y publicado por primera vez este artículo, con la intención de compartir nuestras percepciones y prácticas pioneras en el campo de Microsoft BSM, con empresas que ya utilizan o planean utilizar esta tecnología, ayudando a los clientes a adelantarse en la construcción de seguridad y a ganar en inteligencia y eficiencia.

1. ¿Por qué la “línea base de seguridad” se vuelve más urgente en la actualidad?

Las amenazas en la red están entrando en una nueva fase de “aceleración por IA”: los atacantes, aprovechando grandes modelos y herramientas automatizadas, pueden escanear superficies expuestas, localizar puntos débiles y alcanzar objetivos con mayor rapidez y precisión en entornos empresariales. Los grupos de ciberdelincuentes encuentran más fácil aprovechar vulnerabilidades heredadas de sistemas antiguos. Estas vulnerabilidades no solo provienen de sistemas tradicionales obsoletos, sino que también son frecuentes en configuraciones y protocolos heredados en plataformas como M365 y Entra ID, que muchas organizaciones aún mantienen. Cuando estas configuraciones de alto riesgo se combinan con arquitecturas multicloud o híbridas, los defensores suelen verse sobrepasados, mientras que los atacantes se vuelven más audaces.

Para superar a estos adversarios, las empresas necesitan establecer una “visión global”: que incluya tanto los inquilinos y aplicaciones en la nube como los puntos clave de control en la cadena de identidad y acceso. El reto real radica en que las configuraciones heredadas son muy “ocultas” y “dependientes”: pueden haberse heredado repetidamente en múltiples iteraciones, pero carecen de mecanismos continuos de inventario y consolidación; si el ritmo de actualización y fortalecimiento no se mantiene, los atacantes pueden aprovecharlo para eludir controles, ampliar privilegios o moverse lateral y verticalmente. Además, existen riesgos asociados a configuraciones en la nube desplazadas, integración entre sistemas y otros problemas fundamentales, que los adversarios con nuevas tecnologías están elevando aún más.

El informe “Perspectivas Globales de Confianza Digital 2026” de PwC confirma esta tendencia desde la investigación: las amenazas relacionadas con la nube son consideradas la principal vulnerabilidad para las empresas; las configuraciones heredadas y la cadena de suministro ocupan los primeros lugares en vulnerabilidades, y más de la mitad de los encuestados admite que solo pueden responder de manera limitada ante ataques relacionados. Por ello, aunque los enfoques varían según la industria, la respuesta efectiva requiere volver a las prácticas básicas de seguridad: fortalecer la línea base para que la defensa tenga una base sólida.

En este contexto, los obstáculos comunes en la implementación de “configuración de línea base de seguridad” suelen centrarse en:

2. Microsoft BSM: la capacidad de “Security-by-default” que ofrece Microsoft

Con más del 90% de las empresas del Fortune 500 ya cubiertas por M365 y sus herramientas de copiloto1, Microsoft lanzó a finales de 2025 un nuevo producto de seguridad basado en M365, Microsoft BSM, que está profundamente integrado en el centro de administración de M365. Es una capacidad de configuración de línea base de seguridad para empresas, que consolida en una interfaz unificada las configuraciones clave dispersas en Office, Exchange, Teams, SharePoint/OneDrive y otros puntos de gestión, y, basándose en análisis de datos de ataques reales, prioriza la cobertura de configuraciones heredadas o de alto riesgo más explotadas.

Con Microsoft BSM, los administradores pueden visualizar rápidamente en un panel único el estado de las configuraciones y las prioridades de corrección, y, tras evaluar el impacto de los cambios mediante informes y simulaciones (What-if), aplicar una “gobernanza por interruptores” para habilitar configuraciones predeterminadas de seguridad o bloquear funciones de alto riesgo a nivel global.

Su enfoque principal es eliminar, mediante gestión centralizada, las configuraciones heredadas en M365 y Entra ID que muchas empresas mantienen y que son conocidas por ser vulnerables a abusos por parte de atacantes.

Servicios principales actuales de Microsoft BSM

Identidad y permisos: reducir la tasa de éxito en ataques por credenciales y movimientos laterales

Los protocolos y tokens de autenticación antiguos siguen siendo una de las vías más comunes de intrusión. Microsoft BSM recomienda reducir la exposición de estos protocolos en servicios como Exchange, SharePoint/OneDrive, Teams y aplicaciones M365, cerrando configuraciones heredadas relacionadas para disminuir riesgos de phishing, ataques de fuerza bruta y uso de credenciales robadas.

Bloqueo de protocolos antiguos: deshabilitar en el nivel de protocolos POP (Post Office Protocol), IMAP (Internet Message Access Protocol), SMTP (Simple Mail Transfer Protocol), EWS (Exchange Web Services) y otros que no soporten MFA (Autenticación Multifactor) o controles de acceso condicional, cortando directamente los canales de inicio de sesión de alto riesgo.

Prevención de solicitudes de autenticación básica: bloquear las ventanas emergentes tradicionales de “nombre de usuario/contraseña” para evitar que los usuarios ingresen credenciales en entornos inseguros, reduciendo así el riesgo de robo y phishing.

Archivos y colaboración: reducir la superficie de ataque por documentos maliciosos y configuraciones heredadas

Las aplicaciones M365 (como Word, Excel, PowerPoint) mejoran la productividad, pero los formatos antiguos (como .doc de Word) y los controles ActiveX incrustados representan riesgos de seguridad significativos. Microsoft BSM recomienda y puede impulsar la migración progresiva a formatos más modernos y seguros, además de limitar o eliminar archivos con ActiveX para reducir desde la fuente la superficie de ataque.

Con el consentimiento para acceder a datos diagnósticos detallados, Microsoft BSM también ofrece visibilidad granular: por ejemplo, contar cuántos usuarios en el inquilino han utilizado documentos antiguos con ActiveX en los últimos 28 días, y cuántos archivos de este tipo han sido abiertos, ayudando a los administradores a educar a los usuarios y consolidar estrategias de seguridad, acelerando la implementación de estándares.

Salas de reuniones y dispositivos compartidos: devolver el control a los “activos ciegos”

Microsoft BSM implementa en escenarios de salas de reuniones dos prácticas clave para reducir el riesgo de uso indebido y fuga de datos:

• Restringir el acceso a aplicaciones M365 desde dispositivos no gestionados y cuentas de recursos (como cuentas de salas de reuniones), limitando los puntos de entrada potenciales.

• Limitar el acceso de cuentas de recursos en dispositivos Teams Rooms a archivos de reuniones, evitando que contenidos sensibles sean leídos o descargados sin autorización.

Estas configuraciones mejoran significativamente la seguridad en entornos de salas de reuniones y protegen la información confidencial.

Descripción de funciones de Microsoft BSM

Planes futuros de Microsoft BSM

La primera versión de Microsoft BSM — Microsoft BSM 2025 — ya incluye 20 configuraciones de línea base en 5 aplicaciones principales. Microsoft Digital ha ayudado a validar y desplegar estas funciones en toda la empresa. La próxima actualización, ya en marcha, será aún más amplia, con 46 funciones, más del doble de la primera versión. El equipo de producto de Microsoft BSM está ampliando su alcance, con énfasis en: restricciones más profundas en protocolos, control más amplio de aplicaciones y estrategias de autenticación más granuladas.

3. Obstáculos comunes en la implementación de la línea base de seguridad vs cómo Microsoft BSM los aborda

Microsoft BSM no reemplaza un sistema completo de seguridad (como detección de amenazas, respuesta, gobernanza de datos), sino que prioriza fortalecer la “fundación”: mediante configuraciones predeterminadas más estrictas, reduce las entradas explotables por atacantes, y apoya a las empresas en avanzar en las correcciones con simulaciones de impacto y datos diagnósticos, en un ritmo aceptable para el negocio.

Obstáculos en la implementación de la línea base y capacidades de Microsoft BSM

4. Escenarios típicos de aplicación de Microsoft BSM

Con base en las necesidades reales de protección en todo el proceso de digitalización empresarial, las capacidades de Microsoft BSM se aplican con precisión en diversos escenarios clave de negocio y operación. Sus soluciones de protección, diseñadas para riesgos frecuentes en el entorno laboral, ofrecen protección efectiva en aspectos como cuentas, autenticación, scripts, transmisión, controles y acceso a dispositivos, alineándose con los puntos críticos de control de seguridad en la rutina diaria de las empresas.

5. Diferencias entre Microsoft BSM y otros productos de seguridad de Microsoft: evitando errores comunes

Muchas empresas ya han implementado Microsoft Secure Score, Entra Access, la serie Defender y otros scripts de línea base, por lo que a menudo preguntan si Microsoft BSM es redundante. Nuestra recomendación es entender claramente los diferentes enfoques y evitar confusiones en funciones.

Resumen comparativo de productos de seguridad de Microsoft

6. De “configuración” a “implementación”: la experiencia práctica de PwC

Debido a su tamaño y arquitectura compleja, PwC también enfrenta riesgos potenciales derivados de configuraciones heredadas, que pueden convertirse en nuevos vectores de ataque ante cambios en el entorno de amenazas. Gracias a la colaboración estratégica con Microsoft en el marco de la asociación Inner Circle, y en calidad de uno de los primeros en probar Microsoft BSM a nivel global, hemos adoptado un enfoque de “validación previa y consolidación” para ofrecer metodologías y caminos reutilizables para una adopción escalada en las empresas.

¿Qué hemos aprendido en las pruebas piloto?

Primero, Microsoft BSM proporciona una interfaz de control y gestión más centralizada y operativa. Antes, configuraciones similares estaban dispersas en múltiples consolas y ubicaciones, requiriendo revisiones y ajustes individuales; ahora, con Microsoft BSM, podemos identificar en un solo vista las configuraciones heredadas aún en uso y, cuando es necesario, aplicar estrategias simples de “interruptores” para consolidar y bloquear rápidamente capacidades de alto riesgo, transformando la gestión de riesgos de “puntual” a “ sistémica”.

Es importante destacar que Microsoft BSM no es una lista de configuraciones que se puedan aplicar con un clic. En las pruebas, hemos observado que muchas recomendaciones implican cambios que afectan significativamente las dependencias existentes, los métodos de autenticación y los protocolos históricos. Por ello, integramos estas recomendaciones en los procesos de gestión de cambios y evaluación de riesgos, diseñando hojas de ruta por fases: revisiones periódicas de los datos de impacto, identificación previa de usuarios y aplicaciones afectadas, y alineación con responsables de negocio para definir soluciones alternativas, ventanas de transición y excepciones personalizadas, asegurando que las recomendaciones se implementen de manera controlada, sin comprometer la continuidad del negocio.

Nuestro valor radica en traducir las “recomendaciones de seguridad” de Microsoft BSM en rutas de corrección, ritmos de cambio y mecanismos de responsabilidad, logrando fortalecer la línea base sin afectar la continuidad operativa.

¿Cómo operamos con esto?

Aunque Microsoft BSM puede generar datos automáticamente, somos conscientes de que los usuarios necesitan planes de implementación claros y factibles. Con base en nuestra experiencia, hemos desarrollado varias capacidades complementarias:

• Soluciones de automatización: herramientas y paneles personalizados para interpretar datos de Microsoft BSM, priorizar correcciones y seguir la reducción de riesgos.

• Centro de soporte periódico: establecimiento de un centro de soporte que brinde recursos y soporte técnico desde la planificación hasta la implementación.

• Manuales de operación estandarizados: guías basadas en prácticas para facilitar la ejecución eficiente de las recomendaciones de Microsoft BSM.

Con estas soluciones y experiencia, PwC ayuda a las empresas a convertir las funciones de seguridad de Microsoft BSM en resultados tangibles, cerrando el ciclo desde la percepción de riesgos hasta su control.

Visión integral de la implementación de Microsoft BSM por PwC

El acelerador (Accelerator) desarrollado por PwC para BSM recopila en un solo lugar los informes de impacto dispersos y que requieren descarga individual, integrándolos con los metadatos de usuarios y aplicaciones de Microsoft Entra, transformando información que antes solo contenía IDs de aplicaciones y sin responsables en un mapa que incluye líneas de negocio, responsables y alcance del impacto. Así, los equipos de seguridad pueden gestionar en una vista única los impactos por departamento, aplicación y responsable, evitando comunicaciones repetidas y facilitando el seguimiento visual de la reducción de riesgos, además de soportar informes periódicos a la dirección, elevando la implementación de Microsoft BSM de una acción puntual a un proyecto colaborativo, rastreable y cerrado.

7. Conclusión: convertir “seguridad predeterminada” en un lenguaje común en la organización con Microsoft BSM

Las empresas ahora pueden identificar rápidamente configuraciones y protocolos heredados vulnerables. Microsoft BSM ofrece mecanismos proactivos para bloquear componentes de alto riesgo desde su origen. Ante la creciente supervisión de auditorías y reguladores, estas inversiones no solo cumplen con requisitos de cumplimiento, sino que también se convierten en ventajas estratégicas.

En un entorno altamente interconectado, una vulnerabilidad de seguridad puede desencadenar riesgos sistémicos. Invertir en medidas proactivas como Microsoft BSM es fundamental: la protección básica ya no es solo un asunto interno, sino una responsabilidad compartida en toda la industria. La fortaleza del ecosistema depende de cada eslabón; solo mediante una optimización conjunta se puede elevar el nivel de seguridad general.

El equipo de ciberseguridad de PwC, especializado en seguridad, cumplimiento de datos y confianza digital, centra sus prácticas en las ideas y experiencias relacionadas con Microsoft BSM, combinando conocimientos globales y capacidades locales para ofrecer servicios de seguridad en todo el ciclo de vida, desde la planificación estratégica hasta la operación, ayudando a las empresas a consolidar su seguridad en la transformación digital.