Seguridad de Power Platform y Power Automate: shadow IT en Microsoft 365

Power Platform —Power Automate, Power Apps, Power BI— permite a cualquier empleado con una cuenta de Microsoft 365 crear flujos de automatización y aplicaciones sin pasar por IT. Esa accesibilidad es también su mayor riesgo: cientos de flujos creados por usuarios no técnicos, conectados a datos corporativos, sin revisión de seguridad ni inventario centralizado.

Qué es Power Platform y por qué es un riesgo de shadow IT

Power Platform está integrado de serie en la mayoría de licencias de Microsoft 365: cualquier usuario puede crear un flujo de Power Automate o una app de Power Apps sin permisos de administrador ni aprobación de IT. El resultado, tras unos años de adopción, suele ser un inventario oculto de cientos de flujos y aplicaciones creados por empleados individuales para resolver problemas puntuales —automatizar un informe, sincronizar una hoja de cálculo, exportar datos a un servicio externo— que nadie en seguridad ha revisado ni sabe que existen. Es shadow IT en su forma más pura: funcionalidad corporativa real, fuera del perímetro de gobierno.

Flujos de Power Automate como vector de exfiltración de datos

Un flujo de Power Automate puede leer datos de SharePoint, Outlook, Teams o Dataverse y enviarlos a cualquier destino que el conector permita: una hoja de Google Sheets personal, un webhook externo, un correo a una cuenta ajena a la organización. Un empleado que crea un flujo "para su comodidad" que reenvía automáticamente ciertos correos a su Gmail personal es, técnicamente, un canal de exfiltración de datos corporativos que nunca pasó por una revisión de seguridad — y que persiste activo incluso después de que el empleado abandone la empresa, si el offboarding no revisa explícitamente los flujos que creó.

Conectores DLP: la barrera que casi nadie configura

Microsoft ofrece políticas de prevención de pérdida de datos (DLP) específicas para Power Platform que clasifican los conectores en grupos (bloqueado, empresarial, no empresarial) y restringen qué combinaciones puede usar un mismo flujo — por ejemplo, impidiendo que un flujo combine un conector de SharePoint corporativo con un conector de Gmail personal en la misma automatización. Es la barrera técnica más efectiva contra la exfiltración vía Power Automate, pero en la práctica rara vez está configurada: por defecto, Microsoft 365 no restringe combinaciones de conectores, y activar esta política exige que alguien en IT sepa que existe.

Cómo auditar el uso de Power Platform en tu organización

Una auditoría de Power Platform cubre: (1) inventario completo de flujos y apps activos vía el Centro de administración de Power Platform, identificando quién los creó y cuándo se usaron por última vez; (2) revisión de conectores usados por cada flujo, marcando combinaciones de riesgo (conectores corporativos + conectores personales/externos en el mismo flujo); (3) estado de las políticas DLP —si existen, y si cubren todos los entornos, no solo el por defecto—; (4) flujos huérfanos de empleados que ya no están en la organización, que deberían desactivarse en el proceso de offboarding.

FAQ

¿Desactivar Power Platform por completo es una opción realista?

Es posible pero rara vez recomendable: Power Platform aporta automatización legítima de valor real. La alternativa más práctica es gobernarlo —políticas DLP, entornos gestionados, revisión periódica de flujos— en vez de bloquearlo por completo, salvo en organizaciones con requisitos de aislamiento muy estrictos.

¿Este riesgo aparece en una auditoría estándar de Microsoft 365?

No siempre. Muchas auditorías de M365 se centran en identidades, correo y Drive/SharePoint, y dejan fuera Power Platform por ser una superficie menos conocida. Conviene pedirlo explícitamente como parte del alcance si tu organización lo usa activamente.