ScubaGear: la herramienta con la que CISA audita Microsoft 365 — y cómo leerla en español

Qué es ScubaGear

ScubaGear es el componente técnico del proyecto SCuBA — Secure Cloud Business Applications que CISA inició en 2022 para producir una línea base uniforme de Microsoft 365 (y Google Workspace) para agencias federales civiles de Estados Unidos. SCuBA tiene dos piezas: los Secure Configuration Baselines — documentos de política por producto (Entra ID, Defender for Office 365, Exchange Online, SharePoint, Teams, Power Platform, Power BI) — y ScubaGear, el módulo PowerShell open-source que evalúa el tenant contra esos baselines y produce un reporte.

Fuentes primarias:

• Página del proyecto: [cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project](https://www.cisa.gov/resources-tools/services/secure-cloud-business-applications-scuba-project)
• Código fuente: [github.com/cisagov/ScubaGear](https://github.com/cisagov/ScubaGear)
• Baselines de M365: [github.com/cisagov/ScubaGear/tree/main/PowerShell/ScubaGear/baselines](https://github.com/cisagov/ScubaGear/tree/main/PowerShell/ScubaGear/baselines)

Es read-only — corre con permisos delegados de un global reader y no escribe en el tenant.

La convención de IDs (importante para auditorías)

Cada política SCuBA tiene un identificador estable: `MS.<PRODUCTO>.<SECCIÓN>.<REGLA>v<VERSIÓN>`. Por ejemplo:

• `MS.AAD.3.1v1` — "Phishing-resistant MFA shall be required for all users" (MFA resistente a phishing requerido para todos los usuarios)
• `MS.AAD.7.4v1` — Cuentas de acceso de emergencia (break-glass) configuradas
• `MS.EXO.2.2v2` — SPF configurado con hard fail (`-all`)
• `MS.EXO.1.1v1` — Auto-forwarding a dominios externos bloqueado
• `MS.SHAREPOINT.1.1v1` — Sharing externo restringido a dominios permitidos

Cuando un auditor o un cliente potencial pregunta "¿contra qué baseline evaluaron este control?", la respuesta correcta es el ID — no "buenas prácticas" o "estándares internacionales". El ID rastrea a un documento de CISA con la justificación, la severidad y la condición exacta para considerar el control en cumplimiento.

Qué cubre — y qué no

SCuBA cubre exclusivamente Microsoft 365. Los baselines publicados al momento de escritura: AAD (Entra ID), Defender for Office 365, Exchange Online, SharePoint / OneDrive, Teams, Power Platform, Power BI. Purview está en cola.

Lo que SCuBA no cubre:

• Azure Resource Manager (máquinas virtuales, networking, bases de datos en Azure). Esto cae bajo CIS Azure Foundations Benchmark y Microsoft Cloud Security Benchmark.
• Defender XDR como producto end-to-end (Sentinel, Defender for Endpoint integraciones).
• Requisitos de regulación local — LFPDPPP, CNBV, NOM-024. SCuBA es framework federal estadounidense; la traducción al contexto mexicano la tiene que hacer alguien.

Cómo se relaciona con CIS Benchmark y con Microsoft Secure Score

Son tres capas distintas:

| Framework | Emisor | Pregunta que responde |

|---|---|---|

| Microsoft Secure Score | Microsoft | "¿Qué porcentaje de las recomendaciones de seguridad de Microsoft has implementado?" |

| CIS Microsoft 365 Benchmark v3.0 | Center for Internet Security | "¿Tu configuración cumple con los controles que el consorcio de la industria considera estándar mínimo defensible?" |

| CISA SCuBA / ScubaGear | CISA (US federal) | "¿Tu tenant cumple con la línea base que aplica a agencias federales civiles de EE.UU.?" |

No son sustitutos. Un tenant puede tener Secure Score de 80% y fallar SCuBA porque Secure Score recompensa habilitar features mientras SCuBA exige configuraciones específicas dentro de cada feature. CIS está más cerca de SCuBA en intención pero su scope es más amplio (incluye prácticas operativas, training, auditoría documental) mientras SCuBA es estrictamente técnico.

Cómo simiriki lo usa

simiriki publica el [mapping rule-por-rule contra políticas SCuBA en docs/SCUBAGEAR_MAPPING.md](https://github.com/jjdlr-simiriki/simiriki/blob/main/docs/SCUBAGEAR_MAPPING.md). De las 23 reglas críticas que evalúa el [free scan](https://simiriki.com/scan), 14 mapean directo a una política SCuBA publicada. Las 9 restantes cubren controles fuera del scope SCuBA (Defender XDR, Sentinel, Azure RM) — mapeados a CIS Azure Foundations y Microsoft Cloud Security Benchmark.

La extensión al contexto mexicano que SCuBA no provee — retención de logs CNBV Art. 168 Bis 11 VIII, archivo inmutable de incidentes Art. 168 Bis 11 IX, controles LFPDPPP de transferencia de datos personales — está documentada en las reglas `AUD-014`, `AUD-015` y la familia `DLP-*` del catálogo.

Si tu equipo quiere correr ScubaGear directamente

ScubaGear corre en Windows con PowerShell 7+. Requiere instalar los módulos `Microsoft.Graph`, `MicrosoftTeams`, `ExchangeOnlineManagement`, `PnP.PowerShell`. Conexión con `Connect-MgGraph -Scopes ...` (read-only). Documentación de instalación en el README del repo.

El reporte sale en HTML + JSON. El JSON es el que importa para auditoría — es persistente, indexable, y se compara contra corridas anteriores para detectar drift. Si tu MSP solo te entrega el HTML como screenshot, no estás recibiendo el artefacto operativo, estás recibiendo marketing.

Conclusión

ScubaGear no es la única herramienta para auditar Microsoft 365 — pero es la única que viene firmada por un emisor federal de EE.UU., con código auditable, publicada en GitHub, y con identificadores de control estables. Para una PyME mexicana evaluando proveedores de seguridad de M365, la pregunta correcta no es "¿cuál es tu metodología?" sino "¿contra qué baselines mapean tus controles, y dónde está publicado ese mapping?". Si la respuesta no incluye SCuBA, falta una capa de la cadena de evidencia.

Lecturas relacionadas:

• [¿Qué es el CIS Benchmark de Microsoft 365? Una explicación honesta](/blog/cis-benchmark-microsoft-365-explicado)
• [Microsoft Secure Score vs CISA CPG: qué mide cada uno](/blog/secure-score-vs-cisa-cpg)
• [Auditoría de Microsoft 365 para PyMEs mexicanas: la guía completa](/blog/auditoria-microsoft-365-pyme-mexico)
• [Metodología simiriki — frameworks que calibran las 197 reglas](/metodologia)