Gestión de Exchange Server: aplicación de parches, supervisión y el camino a seguir

La situación de Exchange Server hoy en día es diferente a la de hace un año. Microsoft dejó de ofrecer soporte para Exchange Server 2016 y 2019 el 14 de octubre de 2025, y el periodo de transición de seis meses de Actualizaciones de Seguridad Extendidas que siguió a esta fecha expiró en abril de 2026. Las organizaciones que siguen utilizando cualquiera de estas versiones sin haber migrado a Exchange Server Subscription Edition (SE) operan ahora en una infraestructura sin soporte, sin actualizaciones de seguridad disponibles y sin posibilidad de acceder al soporte general.

Para los MSP y los equipos de TI que gestionan entornos de Exchange, esto cambia significativamente el panorama operativo. La cuestión ya no es cómo seguir aplicando parches a Exchange 2016 o 2019 de forma indefinida, sino cómo gestionar correctamente Exchange SE mientras está en producción y cómo planificar la transición a Microsoft 365 Exchange Online para aquellos entornos en los que ya no tiene sentido mantener Exchange local. Datto, parte de la familia Kaseya, lleva más de 15 años ayudando a los MSP a proteger entornos de Microsoft, tanto locales como en la nube, y esta guía se basa en esa experiencia operativa para abordar lo que realmente requiere cada etapa.

El panorama de Exchange Server en 2026: qué ha cambiado

El soporte técnico para Exchange Server 2016 y 2019 finalizó el 14 de octubre de 2025. Microsoft ofreció un programa ESU único de seis meses de duración que cubría únicamente los parches de seguridad críticos e importantes, sin soporte técnico general, y que se prolongó hasta abril de 2026.

A partir de mayo de 2026, cualquier organización que siga utilizando Exchange Server 2016 o 2019 sin estar suscrita a ESU estará utilizando una infraestructura de mensajería sin soporte técnico y sin parches. Microsoft también ha indicado que podría introducirse una limitación del tráfico SMTP para las configuraciones locales obsoletas de Exchange que se conecten a Exchange Online, una medida que ya se aplica a Exchange 2013 y versiones anteriores. La presión para migrar es real y va en aumento.

Exchange Server Subscription Edition (SE) es el producto Exchange local de Microsoft para el que actualmente se ofrece soporte, con asistencia confirmada al menos hasta el 31 de diciembre de 2035. Requiere una suscripción activa a Software Assurance para recibir actualizaciones e introduce un modelo de suscripción con ciclos de actualización más frecuentes que las versiones anteriores. Para las organizaciones con requisitos de instalación local, SE es la opción adecuada. Para aquellas que no los tengan, Microsoft 365 Exchange Online es la vía estratégica.

Exchange Server SE: el nuevo modelo de mantenimiento

Exchange Server SE cambia la forma en que se distribuyen y aplican las actualizaciones. Se mantiene la periodicidad trimestral de las actualizaciones acumulativas, pero SE introduce una integración más estrecha con Windows Server y la autenticación de Entra ID, además de Kerberos para la autenticación entre servidores, que sustituye a los mecanismos de autenticación anteriores. La CU1 para Exchange Server SE está prevista para el primer semestre de 2026.

Las reglas de secuencia de actualizaciones que se aplicaban a Exchange 2016 y 2019 siguen vigentes: las actualizaciones acumulativas deben estar instaladas antes que las actualizaciones de seguridad, y algunas actualizaciones de seguridad requieren como requisito previo un nivel específico de actualización acumulativa. No se trata de un entorno de aplicación de parches en el que basta con configurarlo una vez y olvidarse. Cada ciclo de actualización requiere comprobar la compatibilidad, realizar una implementación gradual en un entorno de prueba antes de la implementación en producción y programar ventanas de mantenimiento, ya que la mayoría de las actualizaciones de Exchange Server requieren un reinicio del servicio que interrumpe el flujo de correo.

En entornos híbridos de Exchange, en los que Exchange local coexiste con Exchange Online durante la migración o para un uso híbrido permanente de identidades, mantenerse en la versión actual de la acumulación (CU) no es opcional. Microsoft ha restringido o bloqueado históricamente la conectividad híbrida desde versiones obsoletas de Exchange, y los entornos SE en modo híbrido deben estar actualizados para mantener la integración.

Gestión de parches para Exchange Server SE

Una gestión eficaz de los parches de Exchange Server SE se lleva a cabo en dos vías paralelas.

La primera vía abarca la plataforma subyacente de Windows Server: parches del sistema operativo, actualizaciones de seguridad y las tareas de mantenimiento aplicables a cualquier función de Windows Server. Datto RMM gestiona esta capa mediante la implementación automatizada de parches basada en políticas, con informes de cumplimiento que muestran el estado de los parches en todo el entorno y ventanas de mantenimiento programadas que evitan que las implementaciones se realicen durante el horario laboral. Los dispositivos fuera de la red, incluidos los servidores Exchange a los que se accede a través de VPN o en sedes remotas, quedan cubiertos por el agente de Datto RMM sin necesidad de realizar cambios en la red.

La segunda vía es específica de Exchange y requiere una mayor disciplina. Las actualizaciones acumulativas y las actualizaciones de seguridad de Exchange requieren:

1. Verificación de la compatibilidad con la versión actual de Exchange SE antes de la implementación

2. Un entorno de prueba que reproduce el entorno de producción, con una ejecución de prueba antes de cualquier cambio en producción

3. Una ventana de mantenimiento documentada en la que la reanudación del servicio esté programada para un momento en el que el impacto sea mínimo

4. Verificación de la coherencia de la base de datos tras actualizaciones importantes, comprobando que las bases de datos de buzones se hayan montado correctamente y que el flujo de correo se haya restablecido sin problemas

5. El procedimiento de reversión se ha documentado y probado antes de intentar el cambio definitivo

IT Glue, la plataforma de documentación de Kaseya, es donde se encuentra el procedimiento operativo estándar para la aplicación de parches en Exchange. Una vez documentado allí, el proceso se sigue de forma sistemática, independientemente del técnico que lo lleve a cabo. Esa sistematicidad es lo que evita el tipo de fallo en el que «se siguen los mismos pasos pero se obtiene un resultado diferente», algo que ocurre cuando la aplicación de parches en Exchange se basa en la memoria institucional en lugar de en un procedimiento documentado.

Un caso real que ilustra el riesgo: un proveedor de servicios de gestión (MSP) que gestiona 15 clientes, tres de los cuales utilizan Exchange Server SE. Llega el «Patch Tuesday». El técnico aplica la actualización de seguridad al cliente uno, siguiendo el proceso habitual de Windows Server, sin comprobar el requisito previo de la actualización acumulativa (CU) de Exchange. La actualización se instala, pero provoca un problema en el servicio de transporte porque el nivel de la CU de Exchange estaba desfasado en dos versiones. El diagnóstico de este problema lleva cuatro horas. Con un procedimiento documentado y probado que incluya una comprobación del nivel de CU como primer paso, el problema nunca se produce.

Supervisión de Exchange Server: las comprobaciones fundamentales

La supervisión de Exchange Server abarca varias capas distintas, y si se pasa por alto cualquiera de ellas, suele producirse un incidente que se podría haber detectado antes.

Valores de referencia del estado del servidor. Utilización de la CPU, la memoria y el disco en el propio servidor Exchange. Exchange consume muchos recursos, y el aumento del espacio en disco debido a los registros de transacciones es una fuente habitual de problemas que suelen aparecer de forma gradual, en lugar de repentina. Los umbrales de alerta deben configurarse para que se envíe una notificación antes de que la utilización alcance un nivel crítico, no cuando ya lo haya alcanzado.

Disponibilidad y estado de las bases de datos. Las bases de datos de buzones deben estar montadas y replicándose correctamente en las configuraciones de grupos de disponibilidad de bases de datos (DAG). En este contexto, las tendencias de crecimiento del tamaño de las bases de datos son importantes: si una base de datos crece a un ritmo inusualmente rápido en comparación con su valor de referencia, suele indicar un problema con la política de retención de datos o un buzón fuera de control.

Longitud de la cola de correo. Una cola de correo que se mantiene o aumenta es uno de los primeros indicadores más claros de un problema de entrega. Los picos breves son normales. Una cola que crece a lo largo de varias horas sin resolverse apunta a un problema en el servicio de transporte, a un problema de conectividad con el servidor de reenvío o a un fallo en el certificado que provoca errores en la negociación TLS en las etapas posteriores.

Caducidad de los certificados. Esta es la causa evitable más común de interrupciones en Exchange. Los certificados caducados interrumpen la conectividad de Outlook, el acceso a OWA y el flujo de correo que depende de TLS. Exchange utiliza varios certificados: el certificado autofirmado predeterminado, el certificado de transporte asignado y cualquier certificado SSL externo para la conectividad de los clientes, y cada uno tiene su propio plazo de caducidad. La supervisión automatizada de la caducidad de certificados en Datto RMM, con alertas 60, 30 y 14 días antes de la caducidad, evita por completo este tipo de fallo. La solución es económica y lleva unos minutos. Cuando el incidente se produce sin supervisión, el diagnóstico suele llevar horas, ya que el síntoma (los clientes no pueden conectarse) no apunta de forma evidente a un certificado como causa.

Estado del servicio. Es necesario supervisar los servicios principales de Exchange —Transporte, Buzón y Acceso de cliente— para detectar posibles interrupciones inesperadas. Los procedimientos de reinicio automático para fallos de servicio que se sabe que se pueden resolver de forma segura reducen el tiempo que transcurre entre la detección y la resolución; sin embargo, los fallos de servicio que se repiten tras el reinicio requieren una investigación manual.

Patrones de los registros de eventos. Los registros de eventos de Windows en los servidores Exchange contienen señales de alerta temprana sobre problemas en las bases de datos, fallos de autenticación y problemas de replicación en entornos DAG. La supervisión de ID de eventos específicos de Exchange, en lugar de intentar supervisar todos los eventos, permite mantener a raya el exceso de alertas y, al mismo tiempo, detectar las señales que realmente importan.

Migración a Microsoft 365: planificación de la transición

Para la mayoría de las organizaciones que utilizan Exchange Server en sus propias instalaciones, la migración a Exchange Online es la estrategia a seguir. Las capacidades de Microsoft 365 han alcanzado el mismo nivel que las de Exchange local en la mayoría de los casos de uso, y los costes operativos que supone mantener y actualizar Exchange Server en las propias instalaciones rara vez generan un valor empresarial proporcional en comparación con un servicio gestionado en la nube.

Los elementos de la planificación de la migración que suelen determinar los plazos y la complejidad:

Sincronización de directorios. Azure Active Directory Connect (ahora Microsoft Entra Connect) se encarga de la sincronización de identidades entre Active Directory local y Entra ID. En las implementaciones híbridas, esto suele estar ya configurado. Para las organizaciones que empiezan desde cero, la configuración de Entra Connect es el primer paso del que depende todo lo demás.

Coexistencia del correo. Durante la migración, algunos buzones de correo se encontrarán en las instalaciones y otros en Exchange Online al mismo tiempo. El enrutamiento del correo entre ambos entornos debe funcionar correctamente, lo que requiere que la configuración híbrida y los conectores estén configurados adecuadamente antes de que comience el traslado de los buzones de correo.

Carpetas públicas. Las organizaciones que cuentan con estructuras de carpetas públicas heredadas se enfrentan a la parte más compleja de la mayoría de las migraciones de Exchange. Las carpetas públicas modernas, introducidas en Exchange 2013, se migran con mayor facilidad que las carpetas públicas heredadas, pero, en cualquier caso, este componente requiere su propio ciclo de inventario, planificación y pruebas.

Desactivación de la infraestructura local. Exchange Server no se puede desinstalar sin más una vez finalizada la migración. La infraestructura local de Exchange debe desactivarse correctamente siguiendo una secuencia documentada que elimine las funciones de Exchange en el orden adecuado, limpie los atributos de Active Directory y confirme que ningún servicio o aplicación restante depende de los puntos finales de Exchange locales antes de su desactivación.

Aspectos relacionados con las licencias y el cumplimiento normativo. Las organizaciones que operan en sectores regulados, especialmente en el sector sanitario y el de los servicios financieros, pueden tener requisitos de residencia o retención de datos que afecten a la configuración de Microsoft 365 y alarguen el tiempo necesario para planificar la migración. Es importante determinar el alcance de estos requisitos antes de iniciar la migración, y no descubrirlo durante la misma.

Protección de Exchange Online tras la migración

Una idea muy extendida al migrar a Microsoft 365 es que, dado que Microsoft es responsable de la plataforma, los datos están protegidos. Pero no es así, al menos no en el sentido en que las organizaciones suelen entender el concepto de «copia de seguridad».

Microsoft garantiza la disponibilidad del servicio y la resiliencia de la infraestructura, pero no ofrece copias de seguridad a largo plazo de los datos de los buzones de correo con recuperación granular a un momento determinado. Si se eliminan datos, ya sea de forma accidental, maliciosa o a raíz de un ataque de ransomware dirigido a entornos en la nube, es posible que las herramientas de retención nativas de Microsoft no sean suficientes para recuperarlos, dependiendo de la configuración de la política de retención y del momento en que se haya producido la eliminación.

Datto SaaS Protection Exchange Online, además de SharePoint, OneDrive, Teams y el resto de la suite de aplicaciones de Microsoft 365. Ofrece tres copias de seguridad diarias con recuperación a un momento determinado, lo que permite a los proveedores de servicios gestionados (MSP) y a los equipos de TI restaurar correos electrónicos individuales, entradas del calendario o buzones completos a cualquier punto de copia de seguridad, independientemente de los controles de retención nativos de Microsoft.

El nuevo flujo de trabajo de recuperación unificado, anunciado en Kaseya Connect 2026, amplía aún más estas capacidades al combinar la restauración de Microsoft 365 Exchange y la recuperación de objetos de Entra ID en un único flujo de trabajo operativo, lo que reduce el tiempo de restauración en incidentes relacionados con la identidad.

Descubre Datto SaaS Protection Microsoft 365.

El papel operativo de la documentación y la automatización

La gestión de Exchange Server a gran escala, ya sea en múltiples entornos de clientes para un proveedor de servicios gestionados (MSP) o en una compleja infraestructura de TI interna, se ve comprometida cuando depende de los conocimientos de técnicos concretos en lugar de procesos documentados y automatizados.

Tres ámbitos en los que la documentación previene directamente los incidentes:

El procedimiento de aplicación de parches. Documentado en IT Glue la comprobación de requisitos previos de la unidad de control (CU) como primer paso, la prueba de entorno de prueba como paso obligatorio y la programación de la ventana de mantenimiento como campo confirmado antes de que comience la implementación. Cuando este procedimiento existe y se sigue, desaparecen los incidentes relacionados con la aplicación de parches en Exchange causados por saltarse un requisito previo.

El inventario de certificados. Todos los certificados de Exchange de todos los entornos gestionados, con sus fechas de caducidad, fuentes de renovación y el servicio asignado a cada uno, documentados en IT Glue. En combinación con la supervisión automatizada de la caducidad en Datto RMM, esto elimina las interrupciones del servicio relacionadas con los certificados de la lista de incidencias imprevistas.

Lista de comprobación para el desmantelamiento tras la migración. Un procedimiento paso a paso para eliminar correctamente la infraestructura local de Exchange, documentado y probado. Los proyectos de migración que se ejecutan correctamente y van seguidos de un desmantelamiento adecuado evitan la situación de «hemos migrado, pero seguimos teniendo un servidor Exchange en funcionamiento en algún rincón», lo que genera obligaciones continuas de aplicación de parches y supervisión sin justificación empresarial.

Kaseya Intelligence, entrenado con más de mil millones de tickets de asistencia técnica, 3 exabytes de datos de copia de seguridad y 17 millones de terminales gestionados, añade una capa autónoma a estos procesos, pasando de sugerir recomendaciones de parches a ejecutar y validar los resultados sin intervención manual. En el caso de los entornos de Exchange Server, esto significa que las vulnerabilidades sin parchear y las verificaciones de copias de seguridad omitidas se detectan y resuelven antes de que se conviertan en incidentes. Descubre Kaseya Intelligence.