Cómo blindar Microsoft Teams: guía de seguridad para empresas

Teams no es solo un chat — es un riesgo de seguridad

Microsoft Teams es la herramienta de colaboración más usada en empresas mexicanas que tienen Microsoft 365. Pero la mayoría lo trata como un simple chat, sin considerar que Teams tiene acceso directo a SharePoint, OneDrive, correo, y en muchos casos a aplicaciones de terceros.

Cuando un empleado crea un equipo en Teams, automáticamente se crea un grupo de Microsoft 365, un sitio de SharePoint, un buzón compartido y una carpeta de OneDrive. Si no controlas quién puede crear equipos y qué permisos tienen, estás abriendo puertas invisibles a tu información.

Los 7 riesgos más comunes en Teams

1. Cualquiera puede crear equipos

Por defecto, todos los usuarios pueden crear equipos nuevos. En empresas de 200+ empleados, esto termina en decenas de equipos abandonados con documentos sensibles, sin dueño responsable.

Solución: Restringe la creación de equipos a un grupo específico de Azure AD. Los empleados solicitan equipos nuevos a través de un proceso aprobado.

2. Acceso de invitados sin restricción

La configuración por defecto permite que cualquier usuario invite a personas externas a cualquier equipo. Un proveedor invitado a un equipo de "Logística" puede ver archivos de SharePoint del equipo completo.

Solución: Desactiva el acceso de invitados globalmente y habilítalo solo para equipos específicos donde el acceso externo está justificado y aprobado.

3. Compartición de archivos sin control

Los archivos compartidos en Teams se almacenan en SharePoint. Si las políticas de compartición de SharePoint permiten "cualquiera con el enlace", un archivo confidencial compartido en un chat de Teams puede terminar en Google.

Solución: Configura SharePoint para permitir solo compartición a "personas en tu organización" por defecto. Habilita compartición externa solo en sitios específicos.

4. Aplicaciones de terceros sin revisión

Teams permite instalar aplicaciones de terceros (bots, conectores, tabs) que pueden acceder a datos del equipo. Si no restringes qué apps están permitidas, un empleado puede instalar una app no verificada que extrae datos.

Solución: Bloquea la instalación de apps de terceros por defecto. Crea una lista blanca de apps aprobadas por IT.

5. Grabaciones de reuniones accesibles a todos

Las grabaciones de Teams se almacenan en OneDrive del organizador (para reuniones regulares) o en SharePoint (para reuniones de canal). Si los permisos no están configurados, cualquier persona con el enlace puede ver la grabación — incluyendo reuniones de directivos.

Solución: Configura políticas de reuniones para restringir quién puede grabar y dónde se almacenan las grabaciones. Aplica etiquetas de sensibilidad a las grabaciones de directivos.

6. Mensajes de chat sin retención

Por defecto, los mensajes de chat de Teams no tienen política de retención. Esto significa que datos sensibles compartidos en chat (contraseñas, números de cuenta, contratos) permanecen indefinidamente sin control.

Solución: Aplica políticas de retención de Teams en el Centro de Cumplimiento. Define periodos de retención según el tipo de contenido.

7. Sin DLP configurado

Microsoft 365 incluye DLP (Data Loss Prevention) que puede detectar cuando alguien comparte números de tarjeta de crédito, CURP, RFC u otra información sensible en Teams. La mayoría de las empresas nunca lo configura.

Solución: Activa políticas de DLP para Microsoft Teams que detecten y bloqueen la compartición de datos sensibles definidos por tu empresa.

Checklist de seguridad para Teams

• [ ] Creación de equipos restringida a grupo autorizado
• [ ] Acceso de invitados desactivado por defecto
• [ ] Compartición externa en SharePoint limitada a dominios aprobados
• [ ] Aplicaciones de terceros bloqueadas excepto lista blanca
• [ ] Políticas de reuniones configuradas (grabación, lobby, participantes anónimos)
• [ ] Políticas de retención para chats y mensajes de canal
• [ ] DLP habilitado para datos sensibles mexicanos (RFC, CURP, datos financieros)
• [ ] Revisión trimestral de equipos inactivos (archivar o eliminar)

Cómo evaluar tu configuración actual

No necesitas revisar cada configuración manualmente. Nuestro escaneo gratuito evalúa 192 reglas de seguridad sobre tu tenant de Microsoft 365, incluyendo configuración de Teams, políticas de invitados, compartición externa y DLP. En 90 segundos tienes un diagnóstico completo.

[Escanea tu Teams gratis →](/scan)