Desplegar MFA en M365: del 50% al 100% en dos semanas

MFA es la mejora de seguridad más económica que puedes hacer — y la más subestimada. Aquí tienes el plan de despliegue que minimiza la resistencia y maximiza la cobertura.

Si tienes que elegir una sola medida de seguridad para este año: MFA para todos. El 99% de los ataques basados en contraseñas se bloquean con MFA. La parte complicada es el despliegue.

Semana 1: preparación

• Decide: app Microsoft Authenticator (gratuita, la mejor opción) o YubiKey (€30/unidad, la más robusta). Para pymes, Authenticator es la opción estándar; YubiKey para cuentas con privilegios elevados.
• Configura Security Defaults o una política de Conditional Access que exija MFA a todos los usuarios.
• Comunícalo: una reunión general de 15 minutos en la que expliques el porqué, el cuándo y el cómo.

Semana 2: despliegue

• Días 1-3: inscripción voluntaria abierta. Los usuarios registran su app en aka.ms/mfasetup.
• Día 4: el equipo de TI apoya a quienes tengan dificultades. Con frecuencia son personas mayores que prefieren no usar el smartphone — valora SMS o una llave FIDO corporativa como alternativa.
• Día 7: se activa la obligatoriedad. Quienes aún no se hayan registrado serán forzados a hacerlo en su primer inicio de sesión.

Cuentas con privilegios: paso adicional

Los Global Admins deben usar un token de hardware o MFA con number-matching. Nada de SMS (riesgo de SIM-swap). Consulta el artículo sobre PAM.

El reto de los ex-empleados

Durante el proceso de offboarding: se eliminan los registros de MFA. De lo contrario, el teléfono de un ex-empleado seguiría siendo «válido» en caso de reactivación de cuenta o incidente de phishing.

Ver también: pilar M365, Conditional Access.