Checklist de seguridad para Google Workspace en PyMEs: 12 ajustes que deberias revisar hoy
Para muchas PyMEs, Google Workspace es el centro de todo: correo, documentos, calendarios, videollamadas, archivos, formularios y parte de la operacion diaria. Cuando una cuenta cae, no se compromete solo un inbox. Se comprometen conversaciones con clientes, cotizaciones, accesos a otros servicios y, a veces, hasta la facturacion.
Ese es el problema: muchas empresas usan Google Workspace todos los dias, pero casi nunca lo revisan con ojos de seguridad.
El riesgo no siempre viene de un ataque sofisticado. Muchas veces empieza con algo mas simple:
- un usuario sin segundo factor
- un reenvio automatico creado por un atacante
- archivos compartidos con cualquiera que tenga el enlace
- apps externas con permisos excesivos
- una cuenta con privilegios de administrador que nadie revisa
- autenticacion heredada activa cuando ya no deberia existir
La buena noticia es que una buena parte de estos riesgos se puede reducir con una revision ordenada.
En esta guia vas a ver 12 ajustes de seguridad que una PyME deberia revisar en Google Workspace para bajar riesgo real sin convertir la administracion en una pesadilla.
Antes de empezar: define que estas protegiendo
Antes de cambiar configuraciones, arma un inventario minimo:
- cuantos usuarios activos tiene tu dominio
- quienes tienen permisos de administrador
- que cuentas son criticas: gerencia, finanzas, ventas, soporte, RRHH
- que cuentas compartidas existen
- que dispositivos usan los empleados
- que apps externas se conectan a Google Workspace
- que carpetas o drives compartidos contienen informacion sensible
Sin ese mapa, es facil activar controles y dejar huecos en los lugares equivocados.
1. Activa MFA para todos, no solo para gerencia
Si hoy solo hicieras una cosa, que sea esta.
La mayoria de compromisos en correo corporativo empiezan con credenciales robadas: phishing, contrasenas reutilizadas o brechas previas. El segundo factor corta una enorme parte de ese riesgo.
Que revisar
- usuarios sin MFA activa
- metodos de segundo factor debiles o temporales
- cuentas criticas que siguen usando solo usuario y contrasena
Que hacer
- Exige MFA para todos los usuarios.
- Prioriza cuentas de admins, finanzas y direccion.
- Favorece passkeys o apps autenticadoras antes que SMS.
- Define una fecha limite corta y haz seguimiento.
Error comun
Muchas PyMEs activan MFA solo en la cuenta del dueno. El atacante no necesita la cuenta mas obvia; le basta una cuenta de soporte, ventas o asistente con acceso a conversaciones reales.
2. Reduce y separa las cuentas super admin
Una cuenta super admin es casi una llave maestra. Si se compromete, el atacante puede resetear contrasenas, crear usuarios, cambiar politicas y tomar control del entorno.
Que revisar
- cuantas cuentas tienen rol de super admin
- si esas cuentas se usan tambien para correo diario
- si hay cuentas antiguas con privilegios que ya no corresponden
Que hacer
- deja el minimo posible de super admins
- usa cuentas separadas para administracion y para trabajo diario
- protege esas cuentas con MFA fuerte
- documenta quien las usa y para que
Una buena practica para PyMEs es tener dos cuentas super admin bien protegidas para continuidad, pero que no se usen para navegar, responder correos o registrarse en servicios comunes.
3. Revisa roles delegados y privilegios heredados
No todo riesgo viene de los super admins. Tambien viene de permisos delegados que nadie recuerda haber otorgado.
Que revisar
- roles de help desk
- administradores de grupos
- administradores de usuarios
- roles personalizados con permisos amplios
Que hacer
- Compara permisos con responsabilidades reales.
- Elimina accesos que sobran.
- Evita cuentas compartidas para tareas administrativas.
- Revisa esto al menos una vez al mes o cuando alguien cambie de puesto.
Si una persona ya no gestiona usuarios, facturacion o dispositivos, su acceso debe reflejarlo. La seguridad tambien se rompe por acumulacion.
4. Bloquea autenticacion heredada si no la necesitas
IMAP, POP y otros metodos heredados suelen convertirse en una puerta comoda para atacantes, especialmente cuando el negocio nunca reviso si todavia hacen falta.
Que revisar
- clientes de correo antiguos conectados al dominio
- aplicaciones que usan protocolos viejos
- excepciones creadas para "no romper" algun flujo antiguo
Que hacer
- desactiva lo que no sea necesario
- documenta excepciones temporales
- migra a clientes y metodos modernos cuando sea posible
Cuanto menos legado dejes vivo, menos superficie regalaste.
5. Audita apps OAuth y herramientas de terceros
Muchas fugas no vienen de Google Workspace en si, sino de apps conectadas con permisos excesivos.
Una extension, un CRM, una herramienta de firmas o una automatizacion mal configurada puede pedir acceso a correo, contactos, drive o calendario. Si nadie lo revisa, la empresa pierde visibilidad.
Que revisar
- apps de terceros autorizadas por usuarios
- permisos amplios como lectura total de Gmail o Drive
- integraciones viejas que ya no se usan
Que hacer
- Lista las apps conectadas al dominio.
- Revoca las que ya no son necesarias.
- Restringe que usuarios autoricen apps de alto riesgo sin aprobacion.
- Define una politica simple: si una app toca correo o archivos sensibles, se revisa antes.
Este punto suele revelar sorpresas rapido.
6. Endurece el uso compartido en Drive
Google Drive es excelente para colaborar, pero tambien puede ser una maquina de fuga involuntaria si todo queda abierto por enlace.
Que revisar
- archivos compartidos con "cualquiera con el enlace"
- carpetas visibles fuera del dominio
- drives compartidos sin responsables claros
- usuarios que comparten documentos sensibles con cuentas personales
Que hacer
- limita el sharing externo segun el tipo de informacion
- define duenos para drives compartidos
- usa grupos para acceso en lugar de permisos persona por persona cuando aplique
- revisa permisos especialmente en carpetas de finanzas, legal, RRHH y ventas
No se trata de cerrar todo. Se trata de que compartir tenga criterio.
7. Configura SPF, DKIM y DMARC en tu dominio
Si tu dominio envia correo y no tienes bien configurada la autenticacion de correo, dejas abierta la puerta a suplantacion y phishing usando tu propia marca.
Que revisar
- registro SPF del dominio
- firma DKIM activa
- politica DMARC existente o inexistente
- reportes de alineacion si ya tienes DMARC
Que hacer
- Verifica que SPF incluya solo emisores validos.
- Activa DKIM para firmar correos salientes.
- Publica DMARC aunque empieces en modo monitoreo.
- Revisa reportes y endurece la politica gradualmente.
Esto no solo mejora entregabilidad. Tambien baja el riesgo de que clientes o proveedores reciban correos falsos "en tu nombre".
8. Busca reglas de reenvio y filtros sospechosos
Este es uno de los tecnicas favoritas en compromisos de correo corporativo: el atacante entra, crea un reenvio silencioso o una regla para ocultar alertas, y sigue leyendo sin llamar la atencion.
Que revisar
- reenvios automaticos externos
- filtros que archivan, marcan como leido o eliminan mensajes
- reglas extranas en cuentas de finanzas o gerencia
Que hacer
- revisa cuentas sensibles primero
- elimina reglas que nadie pueda explicar
- restringe reenvios automaticos externos cuando no hagan falta
- documenta cualquier excepcion de negocio real
Si alguna vez hubo un incidente, este punto merece prioridad.
9. Activa alertas y revisa logs de auditoria
No puedes proteger lo que no ves.
Google Workspace ofrece eventos y trazabilidad suficiente para detectar cambios importantes, pero muchas PyMEs nunca miran esos registros hasta que ya es tarde.
Que revisar
- eventos de inicio de sesion inusuales
- cambios de permisos administrativos
- activacion de reenvios
- descargas masivas o comparticion externa rara
- dispositivos nuevos accediendo a cuentas criticas
Que hacer
- Define que eventos son relevantes para tu negocio.
- Configura alertas para admins.
- Revisa los logs con una rutina simple, por ejemplo semanal.
- Si algo es sensible, conviertelo en procedimiento, no en memoria.
Una alerta vista a tiempo vale mas que una investigacion de dos semanas despues.
10. Gestiona dispositivos que acceden al dominio
Tu seguridad no termina en la nube. Tambien depende de los equipos y celulares que se conectan.
Que revisar
- dispositivos personales con acceso a correo y drive
- celulares perdidos o no gestionados
- laptops sin bloqueo, cifrado o actualizaciones
Que hacer
- define reglas minimas para equipos que acceden a correo corporativo
- activa gestion de dispositivos segun el nivel que tu operacion necesite
- revoca acceso a dispositivos que ya no deberian estar conectados
- aplica especial cuidado a equipos de administracion, finanzas y direccion
Si un dispositivo comprometido entra al entorno, el problema ya no es solo la contrasena.
11. Ordena cuentas compartidas, aliases y grupos
Las cuentas compartidas suelen crecer por practicidad y terminar siendo un agujero de trazabilidad.
Que revisar
- buzones usados por varias personas con una sola contrasena
- aliases olvidados
- grupos que siguen incluyendo ex empleados o proveedores
Que hacer
- reemplaza cuentas compartidas por grupos o delegacion cuando sea posible
- rota credenciales donde aun existan cuentas compartidas inevitables
- limpia miembros de grupos de forma periodica
- asegura que soporte, ventas y facturacion tengan ownership claro
La pregunta clave es simple: si pasa algo, sabes exactamente quien tuvo acceso?
12. Haz una revision mensual corta, pero real
No necesitas un proyecto eterno. Necesitas una rutina.
Una PyME gana mucho si convierte esta revision en un control de 30 a 45 minutos cada mes.
Checklist mensual sugerido
- usuarios nuevos y usuarios que salieron
- admins y roles delegados
- MFA pendiente
- apps OAuth nuevas
- sharing externo en Drive
- reglas de reenvio
- alertas y eventos relevantes
- correos del dominio expuestos en brechas conocidas
La diferencia entre seguridad razonable y seguridad improvisada casi siempre es la constancia.
Plan de accion de 48 horas para una PyME
Si quieres empezar sin hacerlo gigante, prioriza asi:
| Tiempo | Accion | Impacto |
|---|---|---|
| Hoy | Exigir MFA a todas las cuentas criticas | Muy alto |
| Hoy | Revisar super admins y quitar privilegios sobrantes | Muy alto |
| Hoy | Buscar reenvios sospechosos en cuentas sensibles | Alto |
| 24 horas | Auditar apps OAuth conectadas | Alto |
| 24 horas | Revisar sharing externo de Drive | Alto |
| 48 horas | Verificar SPF, DKIM y DMARC | Alto |
| 48 horas | Definir una revision mensual corta | Medio-alto |
Con eso ya bajas bastante riesgo sin detener la operacion.
Errores comunes al endurecer Google Workspace
- activar controles sin comunicar nada al equipo
- dejar cuentas de admin para uso diario
- permitir excepciones permanentes "solo por ahora"
- no revisar integraciones de terceros
- asumir que Drive y Gmail son seguros por defecto para cualquier contexto
- olvidar offboarding de empleados y proveedores
La meta no es tener la consola mas compleja. La meta es reducir riesgo real con reglas que el negocio pueda sostener.
Conclusion
Google Workspace puede ser una plataforma muy segura para una PyME, pero no por inercia. Necesita configuracion, criterio y revisiones pequenas pero constantes.
Si tu empresa depende del correo, archivos y colaboracion en Google, esta checklist te da un punto de partida claro para cerrar huecos frecuentes antes de que alguien los aproveche.
Quieres que revisemos tu entorno y te digamos por donde empezar primero?
Escribenos a contacto@zenlorlabs.com y te ayudamos a priorizar los ajustes con mayor impacto para tu negocio.