Los permisos en Microsoft 365 suelen crecer de forma silenciosa. Un usuario comparte una carpeta en SharePoint, otro crea un equipo en Teams, alguien invita a un colaborador externo, se generan enlaces de acceso y, poco a poco, la empresa deja de tener claro quién puede ver, editar o descargar determinada información.
El problema no suele aparecer el primer día. Microsoft 365 facilita la colaboración, y eso es positivo. El riesgo llega cuando esa colaboración no se acompaña de una gestión de permisos ordenada, revisada y alineada con las necesidades reales del negocio.
En muchas empresas, SharePoint y Teams se han convertido en el repositorio principal de documentación: contratos, propuestas comerciales, datos de clientes, documentación interna, información financiera, procedimientos, proyectos y archivos compartidos con proveedores. Si los permisos no están bien definidos, el riesgo no es solo técnico. También afecta a la confidencialidad, al cumplimiento normativo y a la continuidad operativa.
En este artículo explicamos por qué la gestión de permisos en SharePoint y Teams debe tratarse como una prioridad de sistemas y ciberseguridad, qué errores son más habituales y cómo una empresa puede recuperar el control antes de que el desorden se convierta en una brecha de seguridad.
Permisos en Microsoft 365: colaboración sí, descontrol no
Microsoft 365 está diseñado para que los equipos puedan trabajar de forma ágil. SharePoint permite gestionar documentos y sitios internos. Teams centraliza conversaciones, reuniones, canales y archivos. OneDrive facilita el trabajo individual y el intercambio puntual de información.
Pero esta flexibilidad también implica responsabilidad. Cada sitio, biblioteca, carpeta, canal, equipo, enlace compartido o usuario invitado puede modificar el mapa real de acceso a la información.
Microsoft diferencia distintos modelos de permisos en SharePoint, como propietarios, miembros y visitantes, y permite asignar accesos mediante usuarios individuales, grupos de seguridad o grupos de Microsoft 365. En sitios conectados a Teams, la gestión de permisos puede depender del grupo de Microsoft 365 asociado al equipo.
Esto significa que un cambio aparentemente sencillo, como añadir un usuario a un equipo de Teams, puede darle acceso a archivos almacenados en SharePoint. Y, si no existe una política clara, la empresa puede terminar con permisos duplicados, heredados o concedidos directamente a personas que ya no deberían acceder a esa información.
Por qué SharePoint y Teams se desordenan con tanta facilidad
El caos de permisos en Microsoft 365 no suele ser consecuencia de una única mala decisión. Normalmente aparece por acumulación de pequeñas acciones cotidianas que nadie revisa de forma global.
Algunas situaciones habituales son:
- Equipos de Teams creados sin una nomenclatura ni responsables claros.
- Canales privados utilizados para separar información sensible sin revisar sus miembros.
- Carpetas de SharePoint con permisos únicos que rompen la herencia del sitio.
- Usuarios invitados que siguen teniendo acceso cuando termina un proyecto.
- Enlaces compartidos que circulan por correo, chat o reuniones sin control posterior.
- Propietarios de equipos que cambian de departamento o dejan la empresa.
- Grupos de seguridad mal mantenidos o reutilizados para finalidades distintas.
El resultado es una falsa sensación de orden. La empresa cree que sus documentos están protegidos porque están dentro de Microsoft 365, pero en realidad no sabe con precisión quién tiene acceso efectivo a cada recurso.
Los enlaces compartidos: uno de los puntos más delicados
Uno de los elementos más sensibles en la gestión de permisos en SharePoint son los enlaces compartidos. Microsoft distingue varios tipos de enlaces, como enlaces para cualquier persona, enlaces para personas de la organización y enlaces para personas concretas. Cada uno tiene implicaciones distintas en seguridad y trazabilidad.
Los enlaces de tipo “cualquier persona” son especialmente delicados porque permiten acceder al contenido a quien tenga el enlace, sin necesidad de autenticarse. Microsoft los describe como enlaces transferibles y revocables, pero advierte que el acceso mediante este tipo de enlace no puede auditarse del mismo modo que un acceso autenticado.
En una empresa, esto puede convertirse en un problema cuando se comparten documentos con clientes, proveedores o colaboradores externos sin establecer caducidad, sin restringir descarga o sin revisar posteriormente si ese enlace sigue activo.
Por eso, una política segura no debe limitarse a “permitir o bloquear compartir”. Debe definir qué tipo de enlaces se pueden usar, en qué sitios, con qué usuarios, durante cuánto tiempo y bajo qué condiciones.
Usuarios invitados en Teams: necesarios, pero con control
El acceso de invitados en Teams es muy útil para trabajar con clientes, proveedores o partners. Permite colaborar en equipos, canales, documentos, chats y aplicaciones sin tener que crear una cuenta interna completa para cada colaborador externo.
Microsoft indica que, al invitar a un usuario externo a Teams, se crea una cuenta de invitado en Microsoft Entra ID, y ese usuario queda cubierto por mecanismos de cumplimiento y auditoría de Microsoft 365. También pueden aplicarse políticas como acceso condicional o autenticación multifactor para usuarios B2B.
El problema aparece cuando estos invitados se quedan indefinidamente. Un proveedor que participó en un proyecto hace un año, un consultor externo que ya no trabaja con la empresa o un cliente que solo necesitaba acceso temporal pueden seguir apareciendo en equipos, grupos o sitios si nadie revisa su ciclo de vida.
La colaboración externa debe gestionarse con fecha de inicio, objetivo, responsable interno y revisión periódica. No basta con invitar usuarios: hay que saber cuándo dejan de necesitar acceso.
Permisos únicos en SharePoint: cuando la estructura deja de ser comprensible
SharePoint permite romper la herencia de permisos y asignar accesos específicos a bibliotecas, carpetas o archivos. Esta funcionalidad puede ser útil en escenarios concretos, pero su abuso genera entornos difíciles de administrar.
Cuando cada carpeta tiene permisos distintos, el equipo de IT pierde visibilidad. Revisar quién accede a qué deja de ser sencillo. Además, cualquier cambio organizativo obliga a revisar múltiples niveles de permisos, con riesgo de dejar accesos residuales.
Microsoft establece límites para los permisos únicos en listas o bibliotecas de SharePoint. Aunque el límite soportado es alto, la recomendación general es no superar 5.000 permisos únicos por lista o biblioteca, precisamente para evitar problemas de gestión y rendimiento.
En la práctica, una empresa no debería esperar a acercarse a esos límites. Si una biblioteca documental necesita demasiadas excepciones, probablemente el problema no está en SharePoint, sino en el diseño de la estructura de información.
Riesgos reales de una mala gestión de permisos en Microsoft 365
Una gestión deficiente de permisos no siempre provoca una caída de servicio. Por eso pasa desapercibida. Sin embargo, puede abrir la puerta a riesgos importantes para la empresa.
- Fuga de información sensible: documentos internos accesibles para personas que no deberían verlos.
- Exposición de datos personales: riesgo de incumplimiento del RGPD si se comparten datos de clientes, empleados o proveedores sin control.
- Pérdida de confidencialidad comercial: ofertas, márgenes, contratos o estrategias disponibles para perfiles no autorizados.
- Accesos residuales: antiguos empleados, invitados o proveedores con permisos activos.
- Dificultad de auditoría: imposibilidad de responder con rapidez a la pregunta “quién ha tenido acceso a este documento”.
- Mayor impacto ante una cuenta comprometida: si un usuario tiene más permisos de los necesarios, un ataque sobre su cuenta puede afectar a más información.
En ciberseguridad, el principio de mínimo privilegio es clave: cada usuario debe tener solo los permisos necesarios para realizar su trabajo. En Microsoft 365, esto implica revisar no solo las licencias o las cuentas activas, sino también los sitios, equipos, grupos, enlaces e invitados.
Cómo recuperar el control de permisos en SharePoint y Teams
La gestión de permisos en Microsoft 365 no debe abordarse como una limpieza puntual. Debe convertirse en un proceso de gobierno continuo, con responsables claros y revisiones periódicas.
1. Inventariar sitios, equipos y propietarios
El primer paso es saber qué existe. Muchas empresas tienen equipos de Teams duplicados, sitios de SharePoint antiguos, espacios creados para proyectos terminados o propietarios que ya no están en la organización.
Conviene crear un inventario con:
- Nombre del equipo o sitio.
- Departamento o proyecto asociado.
- Propietario funcional.
- Propietario técnico.
- Tipo de información almacenada.
- Usuarios internos con acceso.
- Usuarios externos o invitados.
- Nivel de sensibilidad de la información.
2. Revisar invitados y accesos externos
Los invitados deben revisarse con especial atención. No todos los accesos externos son un riesgo, pero todos deben tener una justificación.
Es recomendable comprobar qué invitados existen, a qué equipos pertenecen, cuándo se crearon, quién los invitó y si siguen teniendo una necesidad real de acceso.
3. Limitar los enlaces compartidos
Los enlaces compartidos deben configurarse según el nivel de sensibilidad de la información. En muchos entornos empresariales, conviene priorizar enlaces para personas concretas frente a enlaces amplios o anónimos.
También es recomendable aplicar caducidad, restringir descarga cuando proceda y evitar que los usuarios puedan compartir externamente desde sitios que contienen información crítica.
4. Evitar permisos individuales siempre que sea posible
Asignar permisos directamente a usuarios concretos puede parecer rápido, pero complica la administración. Siempre que sea posible, es mejor trabajar con grupos bien definidos: dirección, administración, comercial, operaciones, soporte, proyectos o grupos específicos por cliente.
Esto facilita altas, bajas, cambios de departamento y revisiones periódicas. También reduce errores cuando una persona cambia de función dentro de la empresa.
5. Activar auditoría y revisar actividad
Microsoft Purview permite consultar actividades registradas en el registro de auditoría de Microsoft 365, incluyendo actividad de usuarios y administradores en Teams y otros servicios. Microsoft indica que el registro de auditoría está activado por defecto en organizaciones Microsoft 365, salvo que aparezca una advertencia indicando lo contrario.
La auditoría no sustituye a una buena política de permisos, pero ayuda a investigar accesos, cambios, comparticiones y comportamientos anómalos. Para que sea útil, debe formar parte de un proceso de revisión, no consultarse solo cuando ya ha ocurrido una incidencia.
Buenas prácticas para una política de permisos en Microsoft 365
Una política de permisos eficaz debe ser comprensible para usuarios y administradores. Si es demasiado compleja, nadie la aplicará correctamente. Si es demasiado permisiva, dejará huecos de seguridad.
Estas buenas prácticas ayudan a establecer una base sólida:
- Definir una nomenclatura clara para equipos, sitios y grupos.
- Asignar siempre al menos dos propietarios responsables por equipo o sitio.
- Evitar que cualquier usuario pueda crear equipos sin control si la empresa necesita gobierno centralizado.
- Clasificar la información según sensibilidad: pública interna, confidencial, crítica o regulada.
- Configurar políticas diferenciadas para sitios internos, proyectos con clientes y documentación sensible.
- Revisar usuarios invitados de forma periódica.
- Eliminar accesos cuando finaliza un proyecto o relación contractual.
- Documentar quién puede aprobar permisos especiales.
- Auditar cambios relevantes en permisos y compartición.
- Formar a los usuarios sobre el uso correcto de enlaces compartidos.
La tecnología ofrece las herramientas, pero el control real llega cuando se combinan configuración, procedimiento y seguimiento.
Cómo puede ayudar Inmove IT Solutions
En Inmove IT Solutions ayudamos a las empresas a revisar, ordenar y proteger sus entornos Microsoft 365 desde una visión práctica: seguridad, continuidad, productividad y cumplimiento.
Una revisión de permisos puede incluir el análisis de SharePoint, Teams, OneDrive, grupos de Microsoft 365, usuarios invitados, enlaces compartidos, políticas de acceso externo y configuración de auditoría. El objetivo no es bloquear la colaboración, sino asegurar que cada usuario accede solo a lo que necesita.
Este tipo de trabajo encaja especialmente bien dentro de una auditoría de sistemas IT, donde se revisa el estado real del entorno tecnológico y se identifican puntos de mejora.
También está directamente relacionado con la protección de datos y cumplimiento RGPD, ya que una mala gestión de permisos puede exponer información personal o confidencial sin que la empresa sea consciente.
Y, desde una perspectiva de seguridad global, debe complementarse con medidas de seguridad perimetral para empresas, control de identidades, autenticación multifactor, monitorización y políticas de acceso bien definidas.
Conclusión: los permisos también son ciberseguridad
La seguridad de Microsoft 365 no depende solo de contraseñas robustas, antivirus o firewalls. También depende de algo mucho más cotidiano: quién puede acceder a cada documento, desde dónde, durante cuánto tiempo y con qué nivel de permiso.
SharePoint y Teams son herramientas muy potentes para mejorar la colaboración empresarial, pero necesitan gobierno. Sin una gestión adecuada, los permisos se acumulan, los invitados permanecen, los enlaces se olvidan y la empresa pierde visibilidad sobre su propia información.
Revisar los permisos en Microsoft 365 no es una tarea administrativa menor. Es una medida de seguridad, cumplimiento y control operativo.
Si tu empresa utiliza SharePoint, Teams o OneDrive y no tiene claro quién accede a qué información, en Inmove IT Solutions podemos ayudarte a revisar el entorno, ordenar los permisos y establecer una política de acceso segura y sostenible.
Para cualquier cosa, contacta con nosotros y te ayudaremos a valorar el estado actual de tu Microsoft 365 con una visión técnica, práctica y orientada a negocio.
Preguntas frecuentes sobre permisos en Microsoft 365
¿Por qué es importante revisar los permisos en SharePoint y Teams?
Porque SharePoint y Teams concentran gran parte de la documentación empresarial. Si los permisos no se revisan, pueden quedar accesos activos para usuarios que ya no los necesitan, invitados externos, antiguos empleados o personas de otros departamentos.
¿Qué diferencia hay entre permisos en Teams y permisos en SharePoint?
Teams utiliza SharePoint para almacenar los archivos de los equipos y canales. Por eso, añadir un usuario a un equipo de Teams puede darle acceso a documentos almacenados en el sitio de SharePoint asociado. La gestión debe revisarse de forma conjunta.
¿Es peligroso compartir archivos mediante enlaces?
No siempre, pero depende del tipo de enlace. Los enlaces para personas concretas ofrecen más control que los enlaces amplios o anónimos. En documentación sensible, conviene restringir el tipo de enlace, aplicar caducidad y revisar periódicamente los accesos compartidos.
¿Cada cuánto tiempo debería revisarse el acceso de usuarios invitados?
Depende del nivel de colaboración externa, pero como mínimo debería revisarse de forma periódica y siempre al finalizar proyectos, contratos o relaciones con proveedores. Los invitados no deberían permanecer indefinidamente sin justificación.
¿Una auditoría de permisos ayuda al cumplimiento del RGPD?
Sí. Una auditoría de permisos permite detectar accesos excesivos o inadecuados a información personal o confidencial. Esto ayuda a reducir riesgos de exposición de datos y a reforzar las medidas organizativas y técnicas exigidas por el RGPD.
