Todos los artículos
Workspace DakyLabs

Google Workspace: Las 10 Configuraciones de Seguridad que Tu Empresa Ignora

La mayoría de administradores de Google Workspace tienen habilitadas configuraciones que ponen en riesgo los datos corporativos. Te mostramos cómo auditarlas.

El riesgo invisible en Workspace

Google Workspace es la suite más adoptada por empresas latinoamericanas. Y exactamente por eso es el objetivo favorito de ataques de phishing, account takeover y fuga de datos.

Lo más preocupante: el 80% de los incidentes que atendemos no fueron por vulnerabilidades de Google — fueron por configuraciones incorrectas que el administrador nunca revisó.

1. 2FA no es obligatorio para todos

La vulnerabilidad #1. Si algún usuario de tu organización puede iniciar sesión sin segundo factor, toda tu postura de seguridad está comprometida.

Cómo verificar:

Admin Console → Seguridad → Verificación en 2 pasos
→ Obligatorio para toda la organización

Actívalo hoy. No mañana.

2. Compartir fuera del dominio está abierto por defecto

Drive permite compartir con cualquier persona que tenga el link por defecto. Eso incluye documentos con datos financieros, RH, o información de clientes.

Configuración correcta:

Admin Console → Apps → Google Workspace → Drive y Docs
→ Configuración de uso compartido
→ Solo usuarios de [tu-dominio.com]

Para colaboración externa, usa Drives compartidos con permisos explícitos.

3. OAuth apps sin restricción

¿Sabes cuántas aplicaciones de terceros tienen acceso a los datos de Google de tus empleados? Probablemente docenas. Muchas sin tu conocimiento.

Activa la lista de apps de confianza y bloquea acceso de apps no verificadas:

Admin Console → Seguridad → Controles de API
→ Trust internal, domain-installed apps
→ Don't allow users to access any third-party apps

4. Gmail sin protección avanzada contra phishing

Google tiene protección avanzada contra phishing y malware que viene desactivada por defecto en planes Business Starter.

Admin Console → Apps → Google Workspace → Gmail
→ Seguridad → Phishing y malware
→ Activar todas las opciones de protección

5. Logs de auditoría sin alertas

El panel de auditoría existe pero nadie lo monitorea. Configura alertas para:

  • Inicios de sesión desde países inusuales
  • Descarga masiva de archivos
  • Cambios en permisos de administrador
  • Eliminación de usuarios
Admin Console → Informes → Alertas
→ Nueva regla de alerta

6. Sesiones que nunca expiran

Tokens de sesión que duran indefinidamente son una puerta abierta si un dispositivo se pierde o roba.

Configuración recomendada: Sesiones web de 8 horas, apps móviles con require reauthentication mensual.

7. Recuperación de cuenta sin verificación estricta

Los métodos de recuperación de cuenta (número de teléfono personal, email de respaldo) pueden ser el eslabón débil en un ataque de ingeniería social.

8. Drive sin DLP activado

Data Loss Prevention puede detectar y bloquear compartición de números de tarjeta de crédito, CURP, RFC y otros datos sensibles automáticamente.

9. Meet sin restricciones de acceso externo

Reuniones de Meet accesibles para cualquier persona con el link.

Fix: Activar aprobación del anfitrión para participantes externos.

10. Dispositivos no administrados con acceso total

Empleados accediendo a datos corporativos desde dispositivos personales sin MDM. Si el dispositivo se infecta, los datos también.

Implementa Chrome Enterprise o usa Context-Aware Access para restringir por dispositivo.

La auditoría que recomendamos

Cada trimestre, ejecuta una revisión completa con el Security Health Advisor integrado en Admin Console. Es gratuito y cubre más de 20 vectores de riesgo.

¿Quieres que hagamos la auditoría de seguridad de tu Workspace? Es el primer paso que recomendamos a todos nuestros clientes.

← Ver más artículos Habla con nosotros