Seguridad de SharePoint Online: riesgos de la compartición externa
SharePoint Online es donde vive la mayoría de los documentos corporativos de un tenant Microsoft 365, y su modelo de compartición está diseñado para que compartir sea lo más fácil posible. Esa facilidad es también su principal riesgo: enlaces "cualquiera con el enlace" y permisos heredados que nadie revisa acaban exponiendo información sensible fuera de la organización.
Enlaces "cualquiera con el enlace": la fuga más común
La opción de compartición más permisiva en SharePoint y OneDrive genera un enlace que da acceso al archivo o carpeta a cualquiera que lo posea, sin necesidad de iniciar sesión ni pertenecer a la organización. Es cómoda y, por eso, la que eligen por defecto la mayoría de usuarios al compartir un documento con alguien externo. El problema es que ese enlace puede reenviarse, indexarse accidentalmente o quedar activo indefinidamente mucho después de que la necesidad de compartirlo haya desaparecido, sin que nadie en seguridad lo sepa.
Herencia de permisos y "sitios rotos" a nivel de carpeta
SharePoint aplica permisos por herencia desde el sitio hacia carpetas y documentos, pero es habitual romper esa herencia para dar acceso puntual a una carpeta concreta —típicamente para colaborar con un externo—. Cada ruptura de herencia crea un conjunto de permisos independiente que ya no sigue los cambios del sitio padre: si más adelante se revoca el acceso a nivel de sitio, esas carpetas con permisos "rotos" mantienen su propio acceso, invisible en una revisión superficial. Con cientos de sitios, esto genera un mapa de permisos que nadie tiene completamente claro.
Configuración de compartición externa a nivel de organización y de sitio
La compartición externa se controla en dos niveles que deben ser coherentes: la política del tenant (qué nivel máximo de compartición se permite globalmente) y la política de cada sitio individual (que puede ser más restrictiva, pero nunca más permisiva que la del tenant). Un error frecuente es configurar el tenant de forma restrictiva y asumir que todos los sitios heredan esa restricción, sin verificar que sitios creados antes del cambio de política —o sitios de equipo creados automáticamente por Teams— siguen usando una configuración más laxa.
Cómo auditar la compartición en SharePoint Online
Una auditoría cubre: (1) inventariar todos los enlaces "cualquiera con el enlace" activos y su antigüedad, priorizando los de sitios con datos sensibles; (2) revisar la política de compartición externa a nivel de tenant y de cada sitio individual, buscando incoherencias; (3) identificar carpetas con herencia de permisos rota y validar que el acceso sigue siendo necesario; (4) activar la caducidad automática de enlaces externos y exigir expiración obligatoria para enlaces "cualquiera"; (5) revisar los sitios de equipo creados automáticamente por Teams y Planner, que heredan configuraciones por defecto no siempre alineadas con la política corporativa.
FAQ
¿Es seguro usar enlaces "cualquiera con el enlace" alguna vez?
Solo para contenido genuinamente público, con caducidad configurada. Para cualquier documento con información de negocio, es preferible compartir con personas o grupos específicos (autenticados), que dejan un registro claro de quién tiene acceso y permiten revocarlo de forma granular.
¿Cómo sé si un sitio tiene permisos "rotos"?
El Centro de administración de SharePoint y herramientas como el informe de acceso de archivos permiten identificar elementos con permisos únicos (rotos respecto al sitio). Es una de las primeras comprobaciones en cualquier auditoría de SharePoint, porque suele revelar accesos que nadie recuerda haber concedido.