Tabla de contenido
Volver al blog
Google WorkspaceSeguridadAdministrador de GoogleProtección de datosSeguridad de TI

Seguridad en Google Workspace: Mejores prácticas para 2026

TasksBoard Team
TasksBoard Team
Seguridad en Google Workspace: Mejores prácticas para 2026

Google Workspace es la columna vertebral de productividad de millones de organizaciones: correo electrónico, documentos, calendarios, reuniones por video y gestión de tareas, todo funcionando a través de una única plataforma. Esa centralización aporta una enorme comodidad. También crea un objetivo concentrado para atacantes, exposición accidental de datos y riesgos internos.

La seguridad de Google Workspace no es una configuración de una sola vez. Es una práctica continua que abarca controles de administrador, comportamiento del usuario final, integraciones de terceros y políticas organizacionales. Esta guía cubre las prácticas de seguridad más importantes para 2026, organizadas por la capa de control donde se aplica cada una.

Por qué la seguridad de Google Workspace merece una atención seria

Google invierte mucho en la seguridad de su infraestructura: cifrado en tránsito y en reposo, centros de datos con seguridad física y detección continua de amenazas. Lo que Google no puede proteger completamente es cómo su organización configura y utiliza la plataforma.

Los incidentes de seguridad más comunes en Google Workspace no son brechas en la infraestructura de Google. Son:

  • Toma de control de cuentas mediante phishing: un atacante engaña a un empleado para que ingrese sus credenciales en una página de inicio de sesión falsa.
  • Aplicaciones OAuth con privilegios excesivos: una aplicación de terceros a la que se le otorgó acceso a Google Drive o Gmail y que luego se vuelve maliciosa o es adquirida por una empresa poco confiable.
  • Uso compartido accidental: un documento confidencial compartido con “cualquier persona con el enlace” en lugar de con personas específicas.
  • Contraseñas débiles o reutilizadas: particularmente en cuentas sin verificación en 2 pasos.
  • Cuentas de administrador comprometidas: el tipo de cuenta de mayor riesgo en cualquier organización de Google Workspace.

Cada uno de estos tiene una mitigación clara. El desafío es implementarlos todos de manera consistente.

Consola de administración: La base de la seguridad de Google Workspace

La Google Admin Console es donde reside la configuración de seguridad organizacional. Cada mejor práctica de seguridad descrita aquí requiere acceso de administrador para implementarse.

Aplicar la verificación en 2 pasos

La verificación en 2 pasos (2SV) es el control de seguridad de mayor impacto disponible en Google Workspace. Requiere un segundo factor (un código, una llave de seguridad física o un dato biométrico) además de la contraseña. Incluso si un atacante obtiene la contraseña de un usuario, no podrá acceder a la cuenta sin el segundo factor.

Cómo aplicarla:

  1. En la consola de administración, vaya a Seguridad > Autenticación > Verificación en 2 pasos.
  2. Habilite la aplicación para todos los usuarios (no solo como opción).
  3. Establezca un período de gracia (7-30 días) para que los usuarios se inscriban antes de que la política entre en vigor.
  4. Considere exigir llaves de seguridad físicas (FIDO2/WebAuthn) para cuentas con privilegios elevados, como los administradores.

Para una protección máxima, las llaves de seguridad físicas son drásticamente más resistentes al phishing que los códigos SMS o las aplicaciones de autenticación. La propia investigación de Google encontró que las llaves físicas bloquearon el 100% de los ataques de bots automatizados, el 99% de los ataques de phishing masivo y el 90% de los ataques dirigidos.

Exigir contraseñas seguras

Establezca una longitud mínima de contraseña de al menos 12 caracteres y aplique la prevención de reutilización (bloquee las últimas 10 contraseñas). Combine esto con la detección de credenciales filtradas al estilo de Have I Been Pwned, que Google incluye en el Centro de seguridad.

Auditar cuentas de superadministrador

Las cuentas de superadministrador tienen acceso sin restricciones a todos los datos y configuraciones de su organización de Google Workspace. Mejores prácticas:

  • No mantenga más de 2-4 cuentas de superadministrador.
  • Nunca utilice cuentas de superadministrador para el trabajo diario; cree cuentas de administrador separadas para tareas administrativas rutinarias.
  • Habilite desafíos de inicio de sesión y exija llaves de seguridad físicas para todas las cuentas de superadministrador.
  • Revise la lista de superadministradores trimestralmente.

Protección de datos del usuario: Uso compartido y DLP

Auditar la configuración de uso compartido externo

La configuración de uso compartido predeterminada de Google Drive permite a los usuarios compartir archivos con cualquier persona que tenga el enlace, incluidas personas fuera de la organización. Para la mayoría de las organizaciones, esto es demasiado permisivo.

En la consola de administración, revise:

  • Drive y Documentos > Configuración de uso compartido > Uso compartido fuera de [su dominio]: restrinja a dominios de confianza específicos o deshabilite el uso compartido externo por completo para unidades organizativas sensibles.
  • Deshabilite el uso compartido de enlaces configurado como “cualquier persona” para las unidades organizativas que manejan datos sensibles.

Prevención de pérdida de datos (DLP)

Las reglas de DLP de Google Workspace escanean automáticamente el correo electrónico saliente y el uso compartido de archivos de Drive en busca de patrones de datos sensibles: números de tarjetas de crédito, números de seguridad social, números de identificación nacional y patrones personalizados que usted defina.

Cuando DLP detecta un patrón sensible, puede bloquear el uso compartido, advertir al usuario o notificar al administrador. DLP está disponible en los planes Business Plus, Enterprise y Education Plus.

Reglas clave de DLP a configurar:

  • Bloquear que los archivos de Drive que contengan números de tarjetas de crédito se compartan externamente.
  • Advertir antes de enviar correos electrónicos que contengan ciertas palabras clave (confidencial, propietario, PII).
  • Poner en cuarentena los mensajes de Gmail que contengan tipos de archivos adjuntos sospechosos.

Vault para retención y eDiscovery

Google Vault permite a los administradores establecer reglas de retención para Gmail, Drive, Chat y Meet. Esto garantiza que los datos se conserven durante el período de retención requerido incluso si los usuarios los eliminan, lo cual es importante para requisitos legales y de cumplimiento.

Para las organizaciones sujetas a GDPR, HIPAA o regulaciones financieras, Vault es una infraestructura esencial, no un complemento opcional.

Gestión del acceso de aplicaciones de terceros

Las aplicaciones de terceros que se conectan a Google Workspace a través de OAuth son uno de los riesgos de seguridad más subestimados. Cada vez que un usuario hace clic en “Iniciar sesión con Google” y otorga permisos a una aplicación, esa aplicación obtiene acceso continuo a los datos otorgados, hasta que el usuario lo revoque manualmente.

Auditar aplicaciones conectadas

En la consola de administración, vaya a Seguridad > Control de acceso y datos > Controles de API > Control de acceso a aplicaciones para ver todas las aplicaciones de terceros a las que se les ha otorgado acceso OAuth a los datos de Google Workspace de su organización.

Revise esta lista en busca de:

  • Aplicaciones que solicitan permisos más amplios de los que requiere su función.
  • Aplicaciones de proveedores que su organización ya no utiliza.
  • Aplicaciones que ningún usuario utiliza actualmente.
  • Aplicaciones que han quedado obsoletas o cuyos proveedores han sido adquiridos.

Restringir el acceso de aplicaciones de terceros

Para organizaciones de alta seguridad, puede restringir por completo qué aplicaciones de terceros pueden conectarse a Google Workspace. Dos opciones:

  1. Modo de lista de permitidos: solo las aplicaciones aprobadas explícitamente por el administrador pueden conectarse.
  2. Restringir aplicaciones no verificadas: solo las aplicaciones que han completado el proceso de verificación OAuth de Google pueden solicitar alcances sensibles.

El enfoque de lista de permitidos proporciona la protección más sólida, pero requiere un mantenimiento continuo a medida que la organización adopta nuevas herramientas.

Seguridad de TasksBoard y OAuth

TasksBoard utiliza la API oficial de Google Tasks a través de OAuth, solicitando acceso solo a los datos de Google Tasks; no solicita acceso al contenido de Gmail, Drive o Calendar. Cuando otorga acceso a TasksBoard, esta puede leer y escribir sus Google Tasks y nada más. Este alcance de permiso mínimo sigue el principio de privilegio mínimo.

Al evaluar cualquier aplicación de terceros para Google Workspace, verifique los alcances de permiso solicitados antes de otorgar acceso. Una aplicación que solicita acceso a todos los datos de Gmail para “mejorar la productividad” es una señal de alerta.

Seguridad del correo electrónico: Protecciones de Gmail

Gmail incluye varias capas de seguridad que los administradores pueden configurar y fortalecer.

Protecciones contra phishing y malware

En la consola de administración, en Aplicaciones > Google Workspace > Gmail > Seguridad, habilite:

  • Escaneo mejorado de mensajes antes de la entrega: escaneo adicional impulsado por IA antes de que los mensajes lleguen a las bandejas de entrada de los usuarios.
  • Archivos adjuntos: proteger contra archivos adjuntos de remitentes no confiables.
  • Enlaces e imágenes externas: identificar enlaces detrás de URLs acortadas.
  • Suplantación de identidad y autenticación: proteger contra correos electrónicos no autenticados.

Configurar SPF, DKIM y DMARC

Estos estándares de autenticación de correo electrónico verifican que el correo enviado desde su dominio realmente se origine en sus servidores de correo autorizados.

  • SPF (Sender Policy Framework): enumera las direcciones IP de envío autorizadas en su DNS.
  • DKIM (DomainKeys Identified Mail): agrega una firma criptográfica al correo electrónico saliente.
  • DMARC: indica a los servidores de correo receptores qué hacer con el correo electrónico que no supera las comprobaciones SPF/DKIM.

Google Workspace hace que la configuración de DKIM sea sencilla a través de la consola de administración. DMARC requiere un registro DNS. Comience con una política p=none que solo supervise, luego pase a p=quarantine y finalmente a p=reject después de verificar que el correo electrónico legítimo pase la autenticación.

LDAP seguro y SSO

Para las organizaciones que utilizan LDAP seguro o inicio de sesión único (SSO) basado en SAML, asegúrese de que su proveedor de SSO aplique las mismas políticas de 2SV que Google Workspace. Omitir la 2SV en la capa de SSO elimina sus protecciones de 2SV de Google Workspace.

Gestión de puntos finales y dispositivos móviles

Cada dispositivo que accede a Google Workspace es un vector de ataque potencial. La gestión de dispositivos móviles (MDM) permite a los administradores controlar y borrar los dispositivos que acceden a los datos organizacionales.

Gestión de dispositivos básica vs. avanzada

Google Workspace incluye gestión básica de dispositivos sin costo adicional. La gestión avanzada de puntos finales está disponible en planes de nivel superior. Capacidades clave:

Básica (gratuita):

  • Exigir bloqueo de pantalla en dispositivos móviles.
  • Borrado remoto de cuenta (elimina los datos de Google Workspace sin borrar todo el dispositivo).
  • Inventario de dispositivos.

Avanzada (planes de pago):

  • Exigir solo aplicaciones aprobadas.
  • Bloquear el acceso desde dispositivos comprometidos.
  • Capacidad de borrado completo del dispositivo.
  • Aplicar requisitos de actualización del sistema operativo.

Gestión de Chromebooks

Las organizaciones que utilizan Chromebooks pueden gestionarlos a través de Google Admin con controles de política granulares: bloquear el almacenamiento USB, aplicar el arranque verificado, restringir la instalación de aplicaciones y establecer políticas de acceso a la red.

Monitoreo de seguridad y respuesta a incidentes

Centro de seguridad

El Centro de seguridad de Google Workspace (disponible en Business Plus y Enterprise) proporciona un panel de métricas de salud de seguridad, alertas y herramientas de investigación. Monitoree:

  • Intentos fallidos de inicio de sesión e inicios de sesión sospechosos.
  • Anomalías en la actividad de correo electrónico y Drive.
  • Concesiones de OAuth de aplicaciones de terceros.
  • Indicadores de exfiltración de datos.

Configure alertas por correo electrónico para eventos de seguridad de alta prioridad para que el equipo de administración sea notificado rápidamente.

Centro de alertas

El Centro de alertas en la consola de administración agrega alertas de seguridad de todo Google Workspace: advertencias de compromiso de cuenta, notificaciones de ataques respaldados por gobiernos, actividad de inicio de sesión sospechosa y campañas de phishing dirigidas a su dominio.

Revise el Centro de alertas regularmente y establezca un flujo de trabajo de respuesta a incidentes para los tipos de alertas comunes.

Retención de registros y registros de auditoría

Google Workspace genera registros de auditoría para acciones de administrador, actividad de Drive, actividad de Gmail y más. Estos registros son la base de cualquier investigación de seguridad.

Para la mayoría de los planes, los registros de auditoría se conservan durante 180 días. Las organizaciones que requieran una retención más prolongada deben configurar la exportación a Google Cloud Storage o una integración SIEM.

Mejores prácticas de seguridad para usuarios finales

Los controles administrativos solo llegan hasta cierto punto. El comportamiento de seguridad de los empleados es la otra mitad de la ecuación.

Capacitación regular en seguridad

La capacitación anual en seguridad es un mínimo regulatorio para muchas industrias, pero los programas más efectivos brindan capacitación continua basada en escenarios. Concéntrese en el reconocimiento de phishing, las prácticas seguras de intercambio de archivos y la higiene de contraseñas.

Google proporciona recursos de capacitación en seguridad gratuitos a través del Centro de aprendizaje de Google Workspace que los administradores pueden compartir con los empleados.

Simulación de phishing

Realizar simulaciones de phishing regulares (enviar correos electrónicos de phishing falsos a los empleados para ver quién hace clic) proporciona datos sobre qué empleados o equipos necesitan capacitación adicional. Esto es más efectivo como herramienta de aprendizaje, no como medida punitiva.

Políticas claras de manejo de datos

Documente y comunique qué tipos de datos se pueden compartir externamente, cuáles requieren acceso solo interno y cuáles requieren cifrado o controles adicionales. Sin políticas claras, los empleados toman decisiones inconsistentes que crean exposición.

Preguntas frecuentes

¿Cuál es la configuración de seguridad más importante de Google Workspace?

Aplicar la verificación en 2 pasos para todos los usuarios es el control de seguridad de mayor impacto. La toma de control de cuentas es el incidente de seguridad grave más común en los entornos de Google Workspace, y la 2SV evita la gran mayoría de los ataques basados en credenciales.

¿Cómo puedo ver qué aplicaciones tienen acceso a mi Google Workspace?

En la consola de administración, vaya a Seguridad > Control de acceso y datos > Controles de API > Control de acceso a aplicaciones. Esto muestra todas las aplicaciones de terceros con acceso OAuth a los datos de su organización. Los usuarios individuales también pueden ver sus aplicaciones conectadas personales en myaccount.google.com/permissions.

¿Puede Google Workspace cumplir con HIPAA?

Sí, con la configuración adecuada. Google ofrece un Acuerdo de Asociado Comercial (BAA) para los clientes de Google Workspace, que cubre Gmail, Drive, Calendar y otros servicios principales. Debe ejecutar un BAA con Google y configurar los controles adecuados (cifrado, controles de acceso, registro de auditoría) para cumplir con los requisitos de HIPAA.

¿Cuál es el enfoque de Google Workspace para el cifrado de datos?

Google cifra los datos en tránsito (TLS) y en reposo (AES de 256 bits). Para las organizaciones que requieren claves de cifrado administradas por el cliente, Google Workspace ofrece cifrado del lado del cliente (CSE) en los planes Enterprise y Education Plus, que le permite cifrar datos con claves que usted controla antes de que lleguen a los servidores de Google.

¿Cómo evito fugas accidentales de datos en Google Drive?

Los controles principales son: restringir la configuración de uso compartido externo en la consola de administración, implementar reglas de DLP para marcar patrones de datos sensibles y capacitar a los usuarios sobre las mejores prácticas de uso compartido. Para organizaciones de alta sensibilidad, exigir que el uso compartido de enlaces se configure para personas específicas en lugar de “cualquier persona con el enlace” elimina el vector de exposición accidental más común.

¿Cómo maneja TasksBoard la seguridad de Google Workspace?

TasksBoard accede solo a Google Tasks; no solicita acceso a Gmail, Google Drive ni a ningún otro servicio de Google Workspace más allá de las tareas. TasksBoard utiliza OAuth 2.0 para la autenticación, lo que significa que nunca recibe ni almacena su contraseña de Google. Puede revisar y revocar el acceso de TasksBoard en cualquier momento a través de la configuración de seguridad de su cuenta de Google en myaccount.google.com/permissions.

Construir un programa de seguridad, no solo una configuración

La postura de seguridad de Google Workspace más resistente no es una configuración de una sola vez; es un programa vivo con revisiones periódicas, educación continua para el usuario y procesos claros de respuesta a incidentes.

Comience con los controles de alta prioridad: aplique la verificación en 2 pasos, audite las cuentas de superadministrador, revise la configuración de uso compartido externo y configure la autenticación de Gmail (SPF/DKIM/DMARC). Luego, trabaje sistemáticamente a través de los controles de menor prioridad.

La seguridad es más efectiva cuando es proporcional al perfil de riesgo de su organización. Una startup de diez personas tiene necesidades diferentes a las de un proveedor de atención médica o una firma de servicios financieros. Utilice esta guía como marco y ajuste el rigor de cada control para que coincida con lo que realmente está en juego para su organización.

Para obtener más orientación sobre las características y capacidades de Google Workspace, consulte el tutorial de Google Workspace.

¿Listo para compartir tus Google Tasks?

Empieza con TasksBoard gratis, no se requiere tarjeta de crédito.

Iniciar sesión

Más de Ecosistema Google

Widget de Google Calendar: Cómo añadirlo y personalizarlo en 2026

Widget de Google Calendar: Cómo añadirlo y personalizarlo en 2026

Aprende a añadir un widget de Google Calendar en Android, iOS, escritorio y Chrome. Guía paso a paso para gestionar tu agenda sin necesidad de abrir la aplicación.

Tutorial de Google Workspace: Guía de inicio para 2026

Tutorial de Google Workspace: Guía de inicio para 2026

Un tutorial completo de Google Workspace para principiantes y nuevos equipos en 2026. Aprende paso a paso cómo configurar Gmail, Google Drive, Calendar, Meet y Google Tasks.