Seguridad de Microsoft Teams: acceso externo, guest sharing y federación
Teams dejó de ser solo un chat corporativo: concentra reuniones, archivos, canales y automatizaciones conectadas a SharePoint y Entra ID. Su configuración por defecto favorece la colaboración externa, y eso convierte el acceso externo, los invitados y la federación en una de las superficies peor auditadas de Microsoft 365.
Acceso externo vs. acceso invitado: dos superficies distintas
Microsoft Teams distingue dos formas de colaboración con terceros que se confunden con frecuencia. El "acceso externo" (federación) permite a usuarios de otros tenants de Microsoft 365 encontrarte, llamarte y chatear contigo sin invitación formal, similar a la federación de correo. El "acceso de invitado" (guest access) añade a una persona externa como miembro de un equipo o canal concreto, con una identidad invitada en tu propio Entra ID. Cada superficie tiene sus propios controles y ambas suelen estar activadas por defecto para cualquier dominio, sin lista de permitidos.
Políticas de federación abiertas: el riesgo más pasado por alto
Por defecto, Teams permite la comunicación federada con "todos los dominios", lo que significa que cualquier empleado puede recibir mensajes, llamadas y solicitudes de reunión de cualquier organización externa que también use Teams, sin que IT lo apruebe caso a caso. Es el vector de entrada preferido para el phishing dirigido vía Teams —incluyendo campañas que suplantan a soporte técnico de Microsoft— porque el mensaje llega dentro de una herramienta que el usuario percibe como interna y de confianza.
Guest sharing y persistencia de cuentas invitadas
Los invitados añadidos a un equipo obtienen acceso a los archivos de SharePoint y OneDrive vinculados a ese equipo, no solo al chat. En la práctica, los invitados rara vez se revisan o eliminan tras terminar un proyecto: la mayoría de tenants acumulan cuentas invitadas de colaboraciones cerradas hace meses o años, cada una con acceso residual a archivos que nadie ha vuelto a evaluar. Sin una política de expiración automática ni revisión de acceso periódica, cada invitado añadido es una entrada permanente en el modelo de amenazas del tenant.
Cómo auditar y endurecer la seguridad de Teams
Una auditoría de Teams cubre: (1) restringir el acceso externo a un dominio permitido explícito en lugar de "todos los dominios"; (2) revisar la política de acceso de invitados y activar la expiración automática de cuentas invitadas inactivas; (3) inventariar los equipos y canales con invitados activos y su nivel de acceso a archivos; (4) revisar las apps de terceros conectadas a Teams (bots, conectores) y sus permisos, un vector de consentimiento OAuth análogo al de Exchange; (5) verificar que las políticas de reunión bloquean la entrada anónima directa a reuniones sensibles.
FAQ
¿Debo desactivar por completo el acceso externo en Teams?
No suele ser realista si tu empresa colabora con clientes o proveedores. Lo recomendable es sustituir "todos los dominios" por una lista explícita de dominios permitidos y revisarla periódicamente, en lugar de dejar la federación abierta a cualquier organización.
¿Los invitados de Teams cuentan como licencias de Microsoft 365?
No, los invitados no consumen licencia, lo que reduce la fricción para añadirlos —y explica por qué se acumulan sin control. Precisamente por eso necesitan una política de revisión y expiración independiente del ciclo de altas y bajas de empleados.