Política antiphishing de Office 365: cómo configurarla

Microsoft 365 (Office 365) incluye protección antiphishing integrada, pero confiar en la configuración predeterminada deja importantes brechas de seguridad. La realidad es que la mayoría de las organizaciones utilizan configuraciones predeterminadas que dejan grandes brechas de seguridad a las que los piratas informáticos pueden aprovechar. Si quieres proteger eficazmente tu entorno, debes comprender exactamente qué cubre la política de Microsoft, en qué aspectos se queda corta y cómo ajustar la configuración para mantener a raya las amenazas.

¿En qué consiste la política antiphishing de Office 365?

La política antiphishing de Office 365 es un control de seguridad fundamental dentro de Exchange Online Protection (EOP) y Microsoft Defender, diseñado para detectar y bloquear los correos electrónicos de phishing entrantes. En cada inquilino de Microsoft 365 existe una política antiphishing básica predeterminada que se aplica automáticamente a todos los destinatarios. De forma predeterminada, se obtiene un nivel básico de seguridad sin necesidad de activar la protección manualmente.

Esta política predeterminada abarca funciones esenciales, entre las que se incluyen:

• Inteligencia contra la suplantación: Detección y análisis de dominios de remitentes suplantados para comprobar si proceden de una infraestructura autorizada.
• Consejos de seguridad para el primer contacto: avisar a los usuarios finales cuando reciban un mensaje de un remitente con el que no suelen comunicarse.
• Indicadores de remitente no autenticado: Mostrar un símbolo de interrogación (un icono «?») en Outlook junto a la foto o las iniciales del remitente si el sistema no puede verificar la identidad del correo electrónico.

Sin embargo, los mecanismos de detección avanzados requieren planes de suscripción de mayor nivel. Funciones como la protección contra la suplantación de identidad de usuarios, la protección contra la suplantación de dominio, la inteligencia de buzones de correo y los umbrales de phishing ajustables solo están disponibles en los planes avanzados.

Descripción general de las licencias de seguridad de Microsoft 365

Para evitar confusiones y saber qué herramientas están disponibles en su entorno específico, consulte este breve resumen sobre las licencias:

¿Contra qué protege la política contra el phishing?

En función de tu nivel de suscripción, la política de Microsoft se centra en bloquear cuatro tipos principales de suplantación de identidad por correo electrónico.

1. Protección contra la suplantación de identidad (todos los planes)

Esta protección detecta los casos en los que el nombre de dominio que figura en la dirección del remitente ha sido falsificado de forma explícita. El motor de inteligencia contra la suplantación de identidad de Microsoft evalúa si la dirección IP del servidor de correo remitente está realmente autorizada para enviar correo en nombre de ese dominio concreto. Los mensajes entrantes que no superan esta comprobación técnica se marcan como sospechosos o se trasladan automáticamente a la carpeta de correo no deseado del usuario.

2. Protección contra la suplantación de identidad de usuarios (Plan Defender 1+)

Los atacantes suelen dirigirse a los empleados comunes haciéndose pasar por directivos de la organización o figuras públicas de renombre, una táctica habitual en las campañas de suplantación de correo electrónico empresarial (BEC). Esta función protege cuentas individuales específicas y designadas (como las del director general, el director financiero o los administradores principales de TI). Detiene los nombres de usuario similares y las variaciones sutiles en direcciones de correo electrónico externas alternativas que las herramientas de autenticación estándar no pueden detectar.

3. Protección contra la suplantación de dominio (Plan Defender 1+)

Más allá de personas concretas, los actores maliciosos suplantan dominios enteros. Esta función evita que se suplanten dominios concretos en el campo «De» del encabezado. Esta herramienta resulta increíblemente útil para proteger tanto los nombres de dominio de su propia empresa como los dominios de proveedores externos clave o socios comerciales.

4. Mailbox Intelligence (Plan Defender 1+)

La inteligencia del buzón de correo aprovecha el aprendizaje automático avanzado para crear un gráfico interno de comunicación entre remitentes y destinatarios para cada empleado. Al comprender los patrones habituales de comunicación, la inteligencia artificial puede detectar y marcar fácilmente los mensajes procedentes de remitentes externos no verificados que coincidan en gran medida con el comportamiento o el nombre de un contacto existente.

Umbral ajustable para correos electrónicos de phishing (Plan Defender 1+)

Microsoft utiliza una escala estándar del 1 al 4 para determinar el grado de rigor con el que sus algoritmos de aprendizaje automático clasifican un correo electrónico como posible intento de phishing.

• Nivel 1 (Estándar): La configuración predeterminada. Ofrece una detección equilibrada con bajos índices de falsos positivos.
• Nivel 2 (Agresivo): La configuración predeterminada recomendada por Microsoft y los equipos de seguridad del sector para la mayoría de los entornos empresariales.
• Nivel 3 (más agresivo): Ideal para objetivos de alto riesgo u organizaciones que sufren ataques digitales frecuentes y altamente especializados.
• Nivel 4 (el más agresivo): Maximiza la detección, pero conlleva un riesgo considerable de interceptar comunicaciones legítimas.

Cómo configurar la política antiphishing en Office 365

Antes de empezar, asegúrate de que se te ha asignado uno de los siguientes roles:

• Microsoft Defender XDR RBAC unificado: Configuración de seguridad básica (administrar) o Configuración de seguridad básica (leer).
• Permisos de Exchange Online: Administrador de la organización o Administrador de seguridad (para una gestión completa); Lector global, Lector de seguridad o Administrador de la organización con acceso de solo lectura (para acceso de solo lectura).
• Permisos de Microsoft Entra: Administrador global (utilizar según el principio del mínimo privilegio), Administrador de seguridad, Lector global o Lector de seguridad.

Nota: La aplicación de una política nueva o actualizada en todo su tenant puede tardar hasta 30 minutos.

Paso 1: Accede a la página contra el phishing

Fuente

1. Abre tu navegador web y ve al portal de Microsoft Defender
2. En el menú de navegación de la izquierda, ve a «Correo electrónico y colaboración» > «Políticas y reglas» > «Políticas de amenazas».

Fuente

En la sección «Políticas», haz clic en «Anti-phishing».

• Atajo: Puedes saltarte los menús e ir directamente a https://security.microsoft.com/antiphishing.

Paso 2: Inicie el asistente para la creación de políticas

1. En la página «Anti-phishing», selecciona «+ Crear» para abrir el asistente de la nueva política anti-phishing.

2. En la página «Nombre de la política », configura lo siguiente:

• Nombre: Introduce un nombre único y descriptivo.
• Descripción: Introduce una descripción (opcional).

3. Selecciona «Siguiente».

Fuente

Paso 3: Identificar destinatarios (usuarios, grupos y dominios)

En la página «Usuarios, grupos y dominios», define los destinatarios internos a los que se aplica la política:

• Usuarios: Indique los buzones de correo o los usuarios de correo.
• Grupos: Seleccione grupos de distribución, grupos de seguridad habilitados para correo o grupos de Microsoft 365 (no se admiten los grupos de distribución dinámicos ni los grupos dinámicos de Microsoft Entra ID).
• Dominios: Selecciona los dominios aceptados. Se incluirán todos los destinatarios cuya dirección de correo electrónico principal pertenezca a estos dominios (los subdominios se incluyen automáticamente, salvo que se excluyan expresamente).
• Excluir estos usuarios, grupos y dominios: añade excepciones si deseas que determinados destinatarios internos queden excluidos de esta política.

Consejo lógico: Cuando hay varios valores dentro de una misma condición, se aplica la lógica «O ». En cambio, cuando se combinan diferentes tipos de condiciones, se aplica la lógica «Y» (por ejemplo, una política aplicada a un usuario concreto y a un grupo concreto solo se aplicará si ese usuario pertenece a ese grupo).

Cuando hayas terminado, selecciona «Siguiente ».

Paso 4: Configurar el umbral de phishing y los ajustes de protección

En la página «Umbral y protección contra el phishing », ajusta los límites de detección de amenazas:

Umbral de correos electrónicos de phishing

Utiliza el control deslizante para seleccionar uno de los siguientes valores:

• 1 – Estándar (Predeterminado)
• 2 – Agresivo
• 3 – Más agresivo
• 4 – El más agresivo

Fuente

Configuración de suplantación de identidad

• Permitir a los usuarios proteger: Marca la casilla para activar la suplantación de identidad del usuario. Selecciona Gestionar remitentes sumar 350 usuarios internos o externos concretos por su dirección de correo electrónico.
  • Nota: Esta protección no se activará si el remitente y el destinatario se han comunicado previamente por correo electrónico.
• Habilitar los dominios que se desean proteger: Marca la casilla y selecciona Incluir los dominios que poseo y/o Incluir dominios personalizados (seleccionando Gestionar dominios personalizados).
• Añadir remitentes y dominios de confianza: Selecciona Gestionar remitentes y dominios de confianza para especificar excepciones (hasta un total de 1.024 entradas).

Inteligencia del buzón

• Activar la inteligencia del buzón: Dejar seleccionado (Predeterminado y recomendado).
• Habilitar la función inteligente de protección contra la suplantación de identidad: Marca esta casilla para permitir que la función de inteligencia del buzón de correo tome medidas ante los intentos detectados.
  • Nota: Esto no se activará si el remitente y el destinatario se han comunicado previamente por correo electrónico.

Sección de parodias

• Habilitar detección de suplantación: déjelo seleccionado (opción predeterminada y recomendada) para supervisar la suplantación entrante.

Cuando hayas terminado, selecciona «Siguiente ».

Paso 5: Definir las medidas de la política

Fuente

En la página «Acciones», configura cómo reacciona Microsoft 365 cuando se detecta una amenaza:

Acciones del mensaje

• Si se detecta que un mensaje es una suplantación de identidad: Seleccione una acción del menú desplegable (Predeterminado: No aplicar ninguna acción). Las opciones incluyen: No aplicar ninguna acción, Redirigir, Mover a correo no deseado, Poner el mensaje en cuarentena, Entregar y CCO, o Eliminar antes de la entrega.
• Si se detecta que el mensaje procede de un dominio suplantado: Seleccione una acción en el menú desplegable (Predeterminado: No aplicar ninguna acción).
• Si la función de inteligencia del buzón detecta que se está suplantando la identidad de un usuario: Seleccione una acción en el menú desplegable (Predeterminado: No aplicar ninguna acción).
• Respetar la política del registro DMARC cuando se detecte que el mensaje es falso: (Seleccionado por defecto) Ajustar las reglas de alineación:
  • Si DMARC es p=quarantine: Selecciona Poner el mensaje en cuarentena (Predeterminado) o Mover el mensaje a Correo no deseado.
  • Si DMARC es p=reject: Selecciona Rechazar el mensaje (Predeterminado) o Poner el mensaje en cuarentena.
• Si el sistema de detección de suplantación identifica el mensaje como falso: Seleccione una acción en el menú desplegable (Predeterminado: Mover el mensaje a las carpetas de correo no deseado de los destinatarios).

Consejos e indicadores de seguridad

Marca o desmarca las casillas de verificación para activar o desactivar estos indicadores visuales del buzón:

• Mostrar consejo de seguridad para el primer contacto
• Mostrar consejo de seguridad sobre la suplantación de identidad
• Mostrar consejo de seguridad sobre la suplantación de dominio
• Mostrar consejo de seguridad sobre caracteres inusuales en la suplantación de identidad de usuarios
• Mostrar (?) para remitentes no autenticados en caso de suplantación (Seleccionado por defecto)
• Mostrar la etiqueta «via» (Seleccionada por defecto)

Cuando hayas terminado, selecciona «Siguiente ».

Paso 6: Revisar y enviar

1. En la página «Revisión», comprueba bien tus configuraciones personalizadas. Puedes seleccionar «Editar» en cualquier sección para realizar modificaciones.
2. Cuando estés listo, haz clic en «Enviar».
3. En la página de confirmación, selecciona «Hecho».

Modificación de las políticas existentes

Si necesitas modificar la configuración más adelante, en lugar de crear una nueva política:

1. Ve a la página del panel de control de antiphishing.
2. Haz clic en cualquier punto de la fila de la política de destino (como la política «Office 365 AntiPhish Default (Predeterminada)») que no sea la casilla de verificación situada junto al nombre.
3. En el panel desplegable que se abre a la derecha, haz clic en «Editar» en la sección correspondiente que desees modificar. Desde esta vista también se pueden activar, desactivar, eliminar o priorizar las políticas personalizadas.

¿Qué es lo que no cubre la política antiphishing de Office 365?

La idea de que ya no se necesita DMARC no es más que un mito sobre la seguridad de Office 365. Aunque Microsoft Defender ofrece defensas sólidas para el seguimiento del tráfico entrante, confiar exclusivamente en él crea un peligroso punto ciego. Existen vías de ataque críticas en las comunicaciones contra las que la política de tráfico entrante, por su propio diseño, no puede proteger.

Suplantación de dominios salientes hacia el público

La política antiphishing de Microsoft evalúa la seguridad del correo entrante que llega a su entorno. Sin embargo, no impide que los ciberdelincuentes pongan en marcha servidores de correo electrónico ajenos a Microsoft 365 y envíen millones de correos maliciosos que aparentan proceder de su dominio concreto a destinatarios externos.

Para evitar que los atacantes utilicen tu nombre en contra de destinatarios externos, debes implementar una tecnología de autenticación de salida como la Autenticación, Notificación y Conformidad de Mensajes Basada en Dominios (DMARC).

Echa un vistazo a nuestra guía completa sobre «Por qué los usuarios de Microsoft 365 siguen necesitando DMARC».

Aprovechamiento indebido de la reputación de tu marca

Si un ladrón de identidad suplantara el nombre de dominio exacto de su empresa para engañar a sus clientes, socios comerciales o consumidores, la política antiphishing de su entorno no se daría cuenta en absoluto. El servidor de correo independiente del destinatario debe detectar un registro publicado y aplicar una regla DMARC de salida para bloquear y descartar de forma segura esos mensajes fraudulentos. Confiar únicamente en los filtros de entrada deja a su marca corporativa totalmente desprotegida frente al exterior.

Nombres de dominio similares y homógrafos

Ni una estrategia antiphishing de entrada ni DMARC pueden impedir por sí mismas que un atacante adquiera dominios similares que puedan confundir a simple vista (por ejemplo, registrando micros0ft.com con un cero en lugar de una «o»). Dado que el dominio en sí es, técnicamente, un activo registrado independiente y único, bloquearlo requiere una supervisión proactiva y estructurada de la marca, medidas legales de retirada y prácticas defensivas de registro de dominios.

Suplantación del nombre de usuario a través de proveedores públicos

Un atacante puede crear una cuenta válida y totalmente gratuita en Gmail o Outlook.com y modificar el texto del nombre para que coincida con el de los miembros de tu equipo directivo. Aunque la configuración de suplantación de identidad de Microsoft detecta algunas variaciones a nivel interno, sigue siendo increíblemente difícil mitigar de forma segura las variaciones generalizadas de suplantación de nombres procedentes de proveedores de correo externos válidos únicamente mediante políticas de correo entrante, sin poner en riesgo la comunicación empresarial habitual.

Para proteger mejor tu marca, consulta los análisis técnicos de «¿Qué es un ataque de suplantación de identidad?».

¿Cómo se complementan la política antiphishing y DMARC?

Para comprender la protección del correo electrónico, es necesario ver cómo se complementan la política de entrada y la autenticación de salida. Se trata de mecanismos complementarios, no de alternativas que compiten entre sí.

• Política antiphishing de Microsoft (Inbound Defense): este sistema inspecciona el tráfico de correo entrante que llega a los buzones de correo de sus empleados. Decide si un mensaje debe pasar el cortafuegos, enviarse directamente a la carpeta de spam o bloquearse por completo, basándose en perfiles de comportamiento locales.
• DMARC para Office 365 (salida y protección de marca): La autenticación, notificación y conformidad de mensajes basados en dominio (DMARC) es un protocolo estándar de autenticación de correo electrónico que se basa en SPF y DKIM para evitar la suplantación de dominio. Implementado como un registro DNS publicado a nivel mundial, DMARC indica explícitamente a Exchange Online Protection (EOP) y a los servidores receptores externos de todo el mundo cómo gestionar los correos electrónicos que afirman provenir de su dominio. Si un correo electrónico no supera las comprobaciones básicas de alineación de autenticación, su política DMARC proporciona instrucciones de aplicación explícitas (como p=quarantine o p=reject), lo que ayuda a proteger la reputación de la marca de su organización frente a su uso indebido en campañas de phishing.

Una organización eficaz requiere ambos componentes. La política antiphishing protege a tu personal interno, mientras que DMARC protege la reputación del dominio de tu empresa a nivel mundial para evitar que se utilice en tu contra frente a tu base de clientes.

Además, DMARC envía información de forma activa a tu entorno de Microsoft. Cuando la opción «Aplicar la política del registro DMARC cuando se detecte que el mensaje es falso» está habilitada en tu política antiphishing, Microsoft aplicará automáticamente tu propia regla global publicada contra cualquier correo electrónico entrante no autorizado y falsificado que intente llegar a tu personal.

¿Cuáles son las mejores prácticas contra el phishing para Office 365?

Para optimizar la seguridad de su correo electrónico y cumplir mejor con los requisitos de remitentes de Microsoft, aplique estas configuraciones:

• Aplicar políticas predefinidas: Utilice perfiles de seguridad predefinidos estándar o estrictos en lugar de tener que ajustar manualmente cada configuración una y otra vez. Microsoft actualiza automáticamente estos perfiles para hacer frente a la evolución constante de las amenazas a nivel mundial.
• Aislar identidades VIP: Alimente su motor de defensa contra la suplantación de identidad con objetivos de alto valor. Asegúrese de que todos los altos directivos, los responsables del departamento financiero y los principales administradores de infraestructura figuren en la lista para contrarrestar las amenazas de BEC.
• Niveles de clasificación de Harden: Cambia el valor predeterminado del parámetro de umbral de phishing avanzado al nivel 2 (Agresivo). Aumenta el nivel del sistema hasta el 3 en entornos que se enfrenten a campañas frecuentes y altamente dirigidas de spear-phishing.
• Aplicar comprobaciones de cumplimiento de DMARC para el correo entrante: Asegúrate de que el sistema esté configurado para cumplir con la política de registros DMARC que has publicado. Esta configuración garantiza que tu entorno bloquee el correo entrante falsificado que no cumpla con tus reglas de autenticación.
• Publica una política DMARC de salida estricta: crea y aloja un registro DMARC explícito para tus dominios. Esfuérzate por actualizar tu regla a niveles de aplicación (p=quarantine o p=reject) para que los proveedores externos bloqueen los correos falsificados que pretenden proceder de tu dominio.
• Auditar los datos de telemetría agregados de DMARC: Realizar un seguimiento y un análisis continuos de los informes agregados XML entrantes. Estos informes revelan los fallos de DMARC y los activos externos que envían correo utilizando la identidad de su dominio, lo que permite detectar la «TI en la sombra» y a los actores maliciosos.

Protege todo tu ecosistema de correo electrónico

Las medidas antiphishing de Microsoft ayudan a proteger tu bandeja de entrada. DMARC protege tu dominio. Para eliminar las lagunas de visibilidad y garantizar una protección integral de la marca, debes utilizar ambas capas conjuntamente.

PowerDMARC facilita la implementación, la supervisión y la aplicación de la autenticación DMARC junto con la configuración antiphishing de Office 365 en una única plataforma centralizada.

No dejes que los atacantes se aprovechen de la reputación de tu dominio. Toma el control total de tu visibilidad de salida y elimina hoy mismo los riesgos de suplantación de identidad. ¡Empieza ahora tu prueba gratuita de 15 días de PowerDMARC!

Preguntas frecuentes

¿Cuál es la política contra el phishing de Office 365?

Se trata de un control de seguridad integrado en Exchange Online Protection (EOP) y Microsoft Defender para Office 365 que ayuda a identificar, señalar y mitigar los intentos de phishing, suplantación de dominio y suplantación de identidad dirigidos a sus buzones de correo.

¿Está activada de forma predeterminada la protección contra el phishing en Microsoft 365?

Sí, cada inquilino incluye una política antiphishing predeterminada que se aplica a todos los usuarios inmediatamente después de la configuración. Sin embargo, esta política básica solo ofrece funciones básicas de detección de suplantación de identidad y notificaciones a los usuarios; las funciones de protección avanzadas requieren una configuración administrativa específica y una licencia de nivel superior.

¿Cuál es la diferencia entre EOP y la protección antiphishing de Microsoft Defender para Office 365?

El EOP está incluido en todos los modelos de suscripción y abarca medidas básicas contra la suplantación de identidad y consejos fundamentales de seguridad. Microsoft Defender para Office 365 añade funciones de detección avanzadas, como medidas de protección contra la suplantación de identidad de usuarios y dominios, gráficos de comportamiento de inteligencia del buzón y controles deslizantes para ajustar los umbrales de detección.

¿Protege la política antiphishing de Office 365 contra la suplantación de dominios?

Protege a su personal interno frente a los intentos de suplantación de dominio entrantes. Sin embargo, no impide que delincuentes externos suplanten la identidad de su dominio corporativo al enviar correos electrónicos a terceros, clientes o socios.

¿Cómo configuro las políticas antiphishing en Microsoft Defender para Office 365?

Inicia sesión en el portal de Microsoft Defender (security.microsoft.com) y ve a «Correo electrónico y colaboración» → «Políticas y reglas» → «Políticas de amenazas» → «Antiphishing». Desde allí, puedes editar la política predeterminada o crear reglas de protección personalizadas.

¿Necesito DMARC si tengo activada la protección antiphishing de Office 365?

Sí. La configuración nativa de Microsoft se centra en filtrar el tráfico de correo electrónico entrante para proteger a tus usuarios internos. DMARC ofrece validación de dominios salientes, lo que impide que personas malintencionadas hagan un uso indebido de tu marca para engañar a entidades externas.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Seguridad del correo electrónico y de las nóminas en RR. HH.: buenas prácticas para equipos internacionales - 22 de junio de 2026
• Cómo bloquear agentes de IA de alto riesgo en Microsoft Entra - 15 de junio de 2026
• Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026