Imagina que la puerta de tu oficina se abre con una llave. Un día, alguien hace una copia. Con una cerradura normal, esa persona entra sin problema. Pero si la puerta fuera inteligente — si comprobara quién la usa, desde dónde, a qué hora y si algo no encaja — la copia no serviría de nada.
Eso es, en esencia, lo que hace el Acceso Condicional de Microsoft. Cada vez que alguien intenta entrar en el correo, en Teams, en los documentos compartidos o en cualquier aplicación de tu empresa, este sistema evalúa si todo cuadra antes de abrir la puerta. Y si algo huele raro, pide una verificación extra o directamente bloquea el acceso.
¿Cómo funciona en la práctica?
No hace falta ser informático para entender la lógica. El Acceso Condicional funciona con reglas de sentido común, traducidas a tecnología:
- Si alguien se conecta desde un país donde tu empresa no tiene actividad, se bloquea el acceso. Así de simple.
- Si un empleado entra desde su móvil personal en vez del ordenador de la empresa, se le pide que confirme su identidad con un segundo paso (un código, una notificación en el móvil, la huella dactilar).
- Si el sistema detecta que una contraseña ha sido filtrada en internet, corta el acceso automáticamente, sin esperar a que nadie se dé cuenta.
El resultado es que tus empleados trabajan con normalidad, pero quien intente colarse se encuentra con una barrera que no puede sortear.
Según Microsoft, las empresas que activan la verificación en dos pasos junto con estas políticas eliminan el 99 % del riesgo de que alguien entre con credenciales robadas.
¿Por qué debería importarte, aunque no seas informático?
Porque los ataques ya no van dirigidos solo a grandes empresas. Van dirigidos a las que están menos preparadas. Y muchas pymes españolas usan Microsoft 365 a diario — correo, documentos, facturación — sin saber que tienen esta herramienta disponible y, en muchos casos, sin activar.
Los riesgos más habituales son más cotidianos de lo que parece. Un correo que imita a un proveedor y pide un cambio de cuenta bancaria. Un empleado que pincha en un enlace que parece legítimo y entrega su contraseña sin saberlo. Un ordenador infectado que intenta acceder a los archivos compartidos de toda la empresa.
El Acceso Condicional no evita que llegue ese correo falso. Pero sí evita que el daño vaya a más. Si alguien roba una contraseña, se encontrará con una segunda barrera. Si un equipo está comprometido, el sistema le cierra la puerta a los recursos en la nube. Si una sesión se comporta de forma sospechosa, se revoca en el acto.
"Ya no basta con tener una buena contraseña. La seguridad tiene que comprobar cada acceso como si fuera el primero."
— Principio Zero Trust, base de la seguridad moderna¿Qué ha cambiado últimamente?
Microsoft ha dado varios pasos importantes en los últimos meses que afectan a todas las empresas que usan sus servicios, tengan o no equipo técnico dedicado.
El más relevante: Microsoft ya activa ciertas protecciones por defecto. Hasta hace poco, cada empresa tenía que configurar sus propias reglas. Ahora, si el sistema detecta un inicio de sesión sospechoso — porque viene de una ubicación inusual o porque las credenciales aparecen en una filtración conocida — exige verificación adicional automáticamente, aunque la empresa no lo haya configurado expresamente. Es como si tu seguro de hogar viniera con alarma incluida de serie.
Además, a partir de finales de marzo de 2026, se elimina un hueco técnico que permitía a ciertas aplicaciones menos comunes saltarse los controles. A partir de ahora, todo pasa por el mismo filtro. Sin excepciones.
También se ha añadido una especie de "papelera de reciclaje" para las reglas de seguridad: si alguien borra una política por error, se puede recuperar en los 30 días siguientes. Un detalle pequeño que evita problemas grandes.
Con solo tres reglas bien configuradas — verificación en dos pasos para todos, bloqueo de sistemas de acceso antiguos y comprobación del dispositivo — se frena la inmensa mayoría de ataques a cuentas de empresa.
¿Por dónde empezar?
No hace falta cambiarlo todo de golpe. Pero hay cosas que no deberían esperar:
- Comprobar que todos los usuarios de tu empresa tienen activada la verificación en dos pasos. Si hay cuentas que solo usan contraseña, son la puerta de entrada más fácil para un atacante.
- Revisar si vuestro entorno de Microsoft 365 tiene políticas de Acceso Condicional activas. Muchas empresas lo tienen disponible y no lo saben.
- Asegurarse de que existe una cuenta de emergencia preparada para situaciones críticas, como un bloqueo generalizado.
- Antes de activar reglas nuevas, probarlas en modo "solo observación" para ver a quién afectarían sin causar interrupciones.
El Acceso Condicional no es un producto adicional que haya que comprar. Viene incluido en las licencias de Microsoft 365 que muchas pymes ya tienen contratadas. La diferencia está en activarlo, configurarlo bien y mantenerlo actualizado.
En Expacom nos encargamos de que estas protecciones funcionen en tu empresa sin que tengas que convertirte en experto en ciberseguridad. Si no tienes claro si tu entorno está protegido o quieres saber qué opciones tienes disponibles, podemos revisarlo juntos.
