Conditional Access: el control de seguridad más ignorado de Microsoft 365

Qué es Conditional Access y por qué importa

Conditional Access (Acceso Condicional) es el motor de decisiones de seguridad de Azure AD. Cada vez que un usuario intenta acceder a un recurso de Microsoft 365, Conditional Access evalúa una serie de condiciones y decide: ¿permito el acceso, lo bloqueo, o le pido verificación adicional?

Piensa en él como un guardia de seguridad inteligente en la puerta de tu edificio. No solo revisa la credencial — también verifica si la persona viene de un lugar esperado, si su dispositivo está en buenas condiciones, si el horario es normal, y si hay algo sospechoso en su comportamiento reciente.

Microsoft reporta que Conditional Access puede prevenir más del 99% de los ataques basados en identidad cuando está bien configurado. El problema es que la mayoría de las PYMEs mexicanas no tiene ni una sola política activa.

Por qué las PYMEs no lo usan

Tres razones principales:

1. Requiere Azure AD P1 o superior — Las licencias Business Basic y E1 no incluyen Conditional Access. Necesitas Business Premium, E3, o Azure AD P1 como add-on.

2. Miedo a bloquear usuarios legítimos — Sin experiencia, es fácil crear una política que bloquee a tu propio CEO. Esto causa que muchos lo ignoren completamente.

3. Falta de visibilidad — Si no sabes qué ataques de identidad estás recibiendo hoy, no ves la urgencia de configurarlo.

Las 6 políticas que toda PYME necesita

Política 1: MFA para todos

Qué hace: Requiere MFA para todo acceso, sin importar ubicación o dispositivo.

Por qué: Es la base de todo. Sin MFA, las demás políticas son inútiles porque el atacante con una contraseña robada entra directo.

Cuidado: Excluye una cuenta de emergencia (break-glass account) que NO tiene MFA, guardada en caja fuerte. Si tu MFA falla, necesitas una forma de entrar.

Política 2: Bloquear autenticación heredada

Qué hace: Bloquea protocolos que no soportan MFA (POP3, IMAP, SMTP básico, Exchange ActiveSync legacy).

Por qué: Estos protocolos son el bypass más usado por atacantes. El 95% de los ataques de password spray usan autenticación heredada.

Cuidado: Verifica que no tengas impresoras multifuncionales o apps legacy que usen estos protocolos antes de activarla.

Política 3: Requerir dispositivo compliant para apps móviles

Qué hace: Solo permite acceso desde dispositivos registrados en Intune que cumplan tus políticas de compliance.

Por qué: Un usuario puede tener MFA pero acceder desde un teléfono con root/jailbreak y sin cifrado. Eso es un riesgo.

Cuidado: Necesitas que los dispositivos estén enrolled en Intune primero. Hazlo gradualmente.

Política 4: Bloquear acceso desde países no esperados

Qué hace: Bloquea intentos de inicio de sesión desde países donde tu empresa no opera.

Por qué: Si tu empresa opera solo en México y EE.UU., un login desde Rusia o Nigeria es casi seguro un ataque.

Cuidado: Si tienes empleados viajeros, usa una condición de "requerir MFA" en lugar de "bloquear" para países inusuales.

Política 5: Proteger acciones de administrador

Qué hace: Requiere MFA + dispositivo compliant + ubicación conocida para cualquier acción administrativa.

Por qué: Las cuentas de admin son el objetivo principal. Si un admin está comprometido, el atacante controla todo.

Cuidado: Asegúrate de que tus admins tengan dispositivos enrolled antes de activar esta política.

Política 6: Sesiones con tiempo limitado

Qué hace: Fuerza re-autenticación cada X horas para aplicaciones sensibles (email, SharePoint con datos confidenciales).

Por qué: Limita el tiempo que un token robado es útil.

Cuidado: No pongas tiempos demasiado cortos (menos de 1 hora) o frustrarás a tus usuarios.

Cómo implementar sin romper nada

1. Comienza en modo "solo reporte" — Conditional Access permite crear políticas en modo report-only. Esto te muestra qué sesiones serían afectadas sin bloquear a nadie.

2. Analiza durante 2 semanas — Revisa los logs de Conditional Access para identificar falsos positivos (sesiones legítimas que serían bloqueadas).

3. Activa gradualmente — Primero MFA, luego bloqueo de legacy auth, luego los demás controles. Nunca todo al mismo tiempo.

4. Mantén la cuenta break-glass — Una cuenta de emergencia excluida de todas las políticas, con contraseña en caja fuerte, monitoreada con alerta si se usa.

Evalúa tu Conditional Access hoy

Nuestro escaneo gratuito evalúa 192 reglas de detección incluyendo la configuración de Conditional Access, estado de MFA, autenticación heredada, y políticas de sesión. En 90 segundos sabes exactamente qué te falta.

[Evalúa tu Conditional Access gratis →](/scan)