> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/cloud-scan/microsoft-azure-entra-id-microsoft-365.md).

# Microsoft Azure / Entra ID / Microsoft 365

Estos hallazgos se aplican a organizaciones que usan servicios en la nube de Microsoft (suscripciones de Azure, Microsoft 365, Entra ID / Azure Active Directory).

## Usuarios privilegiados con MFA deshabilitada

**Severidad: Alta**

### Qué significa

La autenticación multifactor (MFA) añade una segunda capa de seguridad al iniciar sesión, normalmente un código de una aplicación del teléfono o una clave de hardware. Sin MFA, si un atacante adivina o roba la contraseña de un administrador (mediante phishing, una filtración de datos o fuerza bruta), obtiene acceso completo a tu entorno en la nube sin que nada más lo detenga.

Este hallazgo señala **cuentas de administrador que no tienen MFA habilitada**. Estas son las cuentas más sensibles de tu organización: una cuenta de administrador comprometida puede dar lugar al control total de tu correo electrónico, archivos e infraestructura.

### Qué comprueba el análisis

El análisis examina a todos los usuarios con roles privilegiados (Administrador global, Administrador de aplicaciones, Administrador de seguridad, etc.) y comprueba si se han registrado para MFA. La alerta se activa si algún usuario privilegiado tiene la MFA deshabilitada.

### Cómo solucionarlo

**Opción A: habilitar los valores de seguridad predeterminados (la forma más sencilla)**

Si todavía no tienes políticas de Acceso condicional, los valores de seguridad predeterminados son la forma más rápida de aplicar MFA a todos los usuarios:

1. Ve a [Entra ID](https://entra.microsoft.com) > `Identidad` > `Resumen` > `Propiedades`.
2. Haz clic en `Administrar valores de seguridad predeterminados`.
3. Establecer en `Habilitado`.

**Opción B: usar Acceso condicional (recomendado para organizaciones más grandes)**

1. Ve a [Entra ID](https://entra.microsoft.com) > `Protección` > `Acceso condicional`.
2. Haz clic en `+ Nueva directiva`.
3. Ponle el nombre: "Requerir MFA para administradores".
4. En `Usuarios`: selecciona `Roles de directorio` y elige todos los roles de administrador (Administrador global, Administrador de seguridad, etc.).
5. En `Conceder`: selecciona `Requerir autenticación multifactor`.
6. Establece la directiva en `Activado` y guarda.

Después de crear la directiva, se pedirá a cada administrador que configure MFA en su próximo inicio de sesión.

## Usuarios administradores ocultos

**Severidad: Baja**

### Qué significa

Un "administrador oculto" es un usuario que tiene poderes administrativos sin ser un administrador obvio. Tiene roles como "Administrador de contraseñas" o "Administrador de mesa de ayuda" que le dan permisos significativos (por ejemplo, restablecer la contraseña de cualquiera, administrar aplicaciones), pero puede que no esté sujeto a los mismos controles de seguridad (MFA, revisiones de acceso) que los administradores oficialmente reconocidos.

El riesgo es que estas cuentas pasan desapercibidas: no aparecen en la lista de "Administradores globales", pero un atacante que comprometa una de ellas aún puede causar daños graves, como restablecer la contraseña de un Administrador global y tomar el control de todo el tenant.

### Qué comprueba el análisis

El análisis identifica a los usuarios asignados a cualquiera de estos roles de Entra ID:

* Administrador de aplicaciones
* Administrador de autenticación
* Administrador de aplicaciones en la nube
* Administrador de mesa de ayuda
* Administrador de contraseñas
* Administrador de autenticación privilegiada
* Administrador de roles privilegiados
* Administrador de cuentas de usuario

Los usuarios que también tienen el rol de Administrador global se excluyen (ya son visibles como administradores completos).

### Cómo solucionarlo

1. Ve a [Entra ID](https://entra.microsoft.com) > `Roles y administradores`.
2. Haz clic en cada uno de los roles enumerados arriba.
3. Revisa la lista de usuarios asignados. Para cada usuario, pregunta:
   * **¿Esta persona realmente necesita este rol?** Si no, elimínala.
   * **¿Es una asignación permanente?** Considera usar [Privileged Identity Management (PIM)](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/) para acceso justo a tiempo en lugar de asignaciones permanentes de roles.
   * **¿La MFA está habilitada para este usuario?** Los administradores ocultos deben tener los mismos requisitos de MFA que los administradores completos.

## Alto porcentaje de usuarios privilegiados

**Severidad: Media**

### Qué significa

Más del **10 % de tus usuarios** tienen roles de administrador en Entra ID. Esto es una señal de que los permisos de administrador se han concedido de forma demasiado amplia, quizá por comodidad, o porque nunca se revocó el acceso temporal.

Cada cuenta de administrador es un posible punto de entrada para un atacante. Reducir el número de administradores limita el radio de impacto si una cuenta se ve comprometida.

### Qué comprueba el análisis

El análisis cuenta el número total de usuarios con cualquier rol de administrador y lo compara con el número total de usuarios habilitados. La alerta se activa si la proporción supera el 10 %.

### Cómo solucionarlo

1. Ve a [Entra ID](https://entra.microsoft.com) > `Roles y administradores`.
2. Para cada rol de administrador, revisa quién está asignado.
3. Elimina a los usuarios que ya no necesiten acceso de administrador.
4. Para los usuarios que solo necesitan acceso de administrador de forma ocasional, usa **Privileged Identity Management (PIM)** para elevación justo a tiempo.

## Usuarios con MFA deshabilitada

**Severidad: Alta**

### Qué significa

Algunos usuarios de tu organización no tienen MFA habilitada. Sin MFA, una contraseña robada o adivinada es todo lo que un atacante necesita para acceder a su buzón, sus archivos y cualquier aplicación a la que tengan acceso.

Así es como ocurre la mayoría de los ataques de compromiso del correo electrónico empresarial (BEC): un atacante obtiene la contraseña de un usuario mediante phishing, inicia sesión sin MFA y luego envía correos fraudulentos o roba datos sensibles.

### Qué comprueba el análisis

El análisis comprueba el estado de registro MFA de todos los usuarios habilitados. Cualquier usuario con `isMfaRegistered = false` activa la alerta.

### Cómo solucionarlo

El enfoque más eficaz es aplicar MFA a todos los usuarios mediante Acceso condicional o Valores de seguridad predeterminados (consulta "Usuarios privilegiados con MFA deshabilitada" arriba para obtener instrucciones paso a paso).

Para comprobar qué usuarios no tienen MFA:

1. Ve a [Entra ID](https://entra.microsoft.com) > `Protección` > `Métodos de autenticación` > `Detalles de registro del usuario`.
2. Filtra por "Capaz de MFA = No" para ver quién no se ha registrado.

## No hay contacto de seguridad configurado

**Severidad: Media**

### Qué significa

Microsoft Defender for Cloud puede detectar amenazas de seguridad en tu entorno de Azure (intentos de inicio de sesión sospechosos, malware, servicios expuestos, etc.). Pero si no se configura ninguna dirección de correo electrónico, estas alertas no tienen a dónde ir: nadie recibe notificaciones y los ataques pueden pasar desapercibidos.

### Qué comprueba el análisis

El análisis comprueba si hay al menos un correo electrónico de contacto de seguridad configurado en la configuración de notificaciones de Microsoft Defender for Cloud.

### Cómo solucionarlo

1. Ve al [Portal de Azure](https://portal.azure.com).
2. Navega a `Microsoft Defender for Cloud` > `Configuración del entorno`.
3. Selecciona tu suscripción.
4. Haz clic en `Notificaciones por correo electrónico`.
5. Completa:
   * **Direcciones de correo electrónico adicionales:** agrega una lista de distribución (por ejemplo, `security@yourcompany.com`), evita usar el correo de una sola persona.
   * **Tipos de notificación:** al menos alertas de "Alta severidad".
6. Haz clic en `Guardar`.

## Sin rol para administrar bloqueos de recursos

**Severidad: Baja**

### Qué significa

Azure **Bloqueos de recursos** protegen recursos críticos (bases de datos, redes virtuales, cuentas de almacenamiento) frente a eliminación o modificación accidental. Incluso un administrador con permisos completos no puede eliminar un recurso bloqueado sin quitar primero el bloqueo.

Este hallazgo significa que a nadie de tu organización se le ha asignado un rol específicamente para administrar estos bloqueos. Sin alguien a cargo, es posible que los bloqueos no se usen de forma consistente o que los recursos críticos permanezcan desprotegidos.

### Qué comprueba el análisis

El análisis busca un rol RBAC personalizado con permisos para administrar bloqueos de recursos (`Microsoft.Authorization/locks/*`). Si no existe dicho rol o nadie está asignado a él, la alerta se activa.

### Cómo solucionarlo

1. Ve al [Portal de Azure](https://portal.azure.com) > `Suscripciones` > selecciona tu suscripción.
2. Ve a `Control de acceso (IAM)` > `Roles` > `+ Agregar` > `Agregar rol personalizado`.
3. Crea un rol con los siguientes permisos:

```
Microsoft.Authorization/locks/read
Microsoft.Authorization/locks/write
Microsoft.Authorization/locks/delete
```

4. Asigna este rol a un administrador de confianza.
5. Pide a ese administrador que aplique **Eliminar bloqueos** en recursos críticos (bases de datos, cuentas de almacenamiento, almacenes de claves).

## El almacén de claves no es recuperable

**Severidad: Alta**

### Qué significa

Azure Key Vault almacena tus secretos, claves de cifrado y certificados. Si alguien elimina accidentalmente (o de forma maliciosa) un almacén de claves, pierdes todo esto. Sin **eliminación temporal** y **protección contra purga** habilitadas, un almacén de claves eliminado desaparece para siempre: no hay recuperación.

### Qué comprueba el análisis

El análisis comprueba que ambas protecciones estén habilitadas:

* **Eliminación temporal:** los almacenes de claves eliminados se conservan durante un período de retención (90 días de forma predeterminada) y pueden recuperarse.
* **Protección contra purga:** incluso después de la eliminación temporal, el almacén no puede borrarse permanentemente durante el período de retención.

### Cómo solucionarlo

1. Ve al [Portal de Azure](https://portal.azure.com) > `Almacenes de claves` > selecciona tu almacén.
2. Ve a `Propiedades`.
3. Habilitar `Eliminación temporal` (nota: ahora está habilitada de forma predeterminada en los nuevos almacenes y no puede deshabilitarse).
4. Habilitar `Protección contra purga`.
5. Haz clic en `Guardar`.

Para los almacenes existentes mediante Azure CLI:

```bash
az keyvault update --name <nombre-del-almacén> --enable-purge-protection true
```

## HTTPS no aplicado en App Service

**Severidad: Alta**

### Qué significa

Tu Azure App Service (sitio web o API) acepta tráfico HTTP sin cifrar. Esto significa que los datos enviados entre los usuarios y tu aplicación, incluidas las credenciales de inicio de sesión, la información personal y los tokens de sesión, pueden ser interceptados por cualquier persona en la ruta de red.

### Qué comprueba el análisis

El análisis comprueba la configuración `Solo HTTPS` de cada App Service. Si está configurada en `Desactivado`, la alerta se activa.

### Cómo solucionarlo

1. Ve al [Portal de Azure](https://portal.azure.com) > `App Services` > selecciona tu aplicación.
2. Ve a `Configuración` > `Configuración` > `Configuración general`.
3. Establece `Solo HTTPS` en `Activado`.
4. Haz clic en `Guardar`.

## Versión TLS insegura en App Service

**Severidad: Alta**

### Qué significa

Tu App Service acepta conexiones usando TLS 1.0 o 1.1, que son protocolos de cifrado obsoletos con vulnerabilidades conocidas. Los navegadores modernos y los estándares de seguridad requieren TLS 1.2 o superior.

### Qué comprueba el análisis

La versión mínima de TLS configurada en el App Service. La alerta se activa si es inferior a 1.2.

### Cómo solucionarlo

1. Ve al [Portal de Azure](https://portal.azure.com) > `App Services` > selecciona tu aplicación.
2. Ve a `Configuración` > `Configuración` > `Configuración general`.
3. Establece `Versión mínima de TLS` en `1.2`.
4. Haz clic en `Guardar`.

## SQL / PostgreSQL / MySQL: deshabilitada la aplicación obligatoria de SSL

**Severidad: Alta**

### Qué significa

Tu servidor de base de datos acepta conexiones sin cifrar. Sin la obligatoriedad de SSL/TLS, las credenciales y los datos enviados entre tu aplicación y la base de datos pueden ser interceptados en la red.

### Cómo solucionarlo

**Para Azure Database for MySQL:**

1. Ve a [Portal de Azure](https://portal.azure.com) > `Azure Database for MySQL` > selecciona tu servidor.
2. Ve a `Seguridad de conexión`.
3. Establece `Aplicar conexión SSL` en `HABILITADO`.
4. Haz clic en `Guardar`.

**Para Azure Database for PostgreSQL:**

1. Ve a [Portal de Azure](https://portal.azure.com) > `Azure Database for PostgreSQL` > selecciona tu servidor.
2. Ve a `Seguridad de conexión`.
3. Establece `Aplicar conexión SSL` en `HABILITADO`.
4. Haz clic en `Guardar`.

## Contenedor Blob público

**Severidad: Alta**

### Qué significa

Uno o más de tus contenedores blob de Azure Storage está configurado para **acceso público**, lo que significa que cualquier persona en Internet puede leer los archivos que contiene sin autenticación. Esta es una fuente común de filtraciones de datos.

### Cómo solucionarlo

1. Ve a [Portal de Azure](https://portal.azure.com) > `Cuentas de almacenamiento` > selecciona la cuenta.
2. Ve a `Configuración`.
3. Establece `Permitir acceso público a blobs` en `Deshabilitado`.
4. O bien, para corregir contenedores individuales: ve a `Contenedores`, selecciona el contenedor y cambia `Nivel de acceso público` en `Privado`.

## Discos de máquina virtual no cifrados

**Severidad: Alta**

### Qué significa

Los discos de tu máquina virtual no están cifrados. Si el hardware físico subyacente se ve comprometido, se retira del servicio o se desecha incorrectamente, los datos de esos discos podrían leerse en texto claro.

### Cómo solucionarlo

1. Ve a [Portal de Azure](https://portal.azure.com) > `Máquinas virtuales` > selecciona la VM.
2. Ve a `Discos` > `Configuración adicional`.
3. Habilitar `Cifrado de disco de Azure` (ADE) o `Cifrado del lado del servidor con claves administradas por el cliente`.
4. Para las nuevas VM, habilita el cifrado durante la creación.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/es/guias-de-remediacion-de-vulnerabilidades/cloud-scan/microsoft-azure-entra-id-microsoft-365.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
