Gestión de Google Workspace: seguridad, administración y copias de seguridad para equipos de TI

Google Workspace se ha convertido en la principal plataforma de productividad para una parte importante de las pymes, especialmente en aquellos sectores que la adoptaron desde el principio y diseñaron sus flujos de trabajo en torno a Gmail, Drive, Docs y Meet. Para los equipos de TI y los proveedores de servicios gestionados (MSP), gestionarla de forma eficaz implica mucho más que limitarse a asignar licencias. Significa hacerse cargo de la configuración de seguridad, subsanar las deficiencias que dejan las herramientas nativas de Google y garantizar que los datos de los clientes estén protegidos de formas que la propia plataforma no garantiza.

Esta guía aborda las tres áreas en las que una gestión adecuada marca la mayor diferencia: administración, seguridad y copias de seguridad. La plataforma de Kaseya presta apoyo a más de 50 000 proveedores de servicios de gestión (MSP) y equipos de TI de todo el mundo que gestionan precisamente estos entornos, y los patrones que se describen a continuación reflejan los puntos en los que, en la práctica, suelen surgir problemas.

Administración de Google Workspace: conceptos básicos y errores en la configuración predeterminada

La administración de Google Workspace se lleva a cabo a través de la Consola de administración, una interfaz web que abarca la gestión de usuarios y grupos, la estructura de unidades organizativas, la gestión de dispositivos, la configuración de seguridad y la generación de informes. El modelo es nativo de la nube: los cambios surten efecto de inmediato y no hay que mantener ningún servidor local. Esa simplicidad tiene un inconveniente. Dado que no se aplica una configuración básica a los nuevos clientes, los valores predeterminados suelen ser menos restrictivos de lo que requiere un entorno empresarial.

Las tres áreas en las que la configuración predeterminada suele generar más problemas son la autenticación, el uso compartido de unidades y el acceso desde dispositivos móviles.

Autenticación. La verificación en dos pasos (2SV) es el control de seguridad más importante en cualquier entorno de Google Workspace. No está habilitada de forma predeterminada para los usuarios estándar. Un administrador debe ir a Seguridad > Autenticación > Verificación en dos pasos y habilitarla, ya sea para toda la organización o por unidad organizativa. Google ahora habilita la 2SV en las cuentas de administrador como parte de una política progresiva, pero su habilitación para los usuarios finales sigue siendo una acción deliberada del administrador. Según el informe «2025 SaaS Application Security Insights Report» de Kaseya, la autenticación multifactorial (MFA) está desactivada o inactiva en más del 60 % de las cuentas SaaS de usuarios finales. Dejar la 2SV como opcional no es una elección neutra. Es aceptar un riesgo conocido.

Compartir unidades. La configuración predeterminada de uso compartido en muchos entornos permite que «cualquier persona con el enlace» tenga acceso a los archivos. Esto significa que un usuario que comparta un documento puede exponerlo a cualquier persona en Internet que disponga de la URL, sin necesidad de iniciar sesión. Los administradores de TI deben establecer la configuración predeterminada para toda la organización en «Desactivado (restringido)» y exigir una aprobación explícita para el uso compartido externo. Los departamentos financieros, los equipos de RR. HH. y cualquier persona que maneje datos de clientes deben pertenecer a unidades organizativas en las que se apliquen controles de uso compartido más estrictos de forma específica.

Acceso desde dispositivos móviles. Google Workspace incluye funciones básicas de gestión de terminales para dispositivos móviles, pero no ofrece un control detallado sobre a qué datos pueden acceder las aplicaciones ni sobre cómo se gestionan los dispositivos en caso de pérdida o baja. Para las organizaciones con políticas de «trae tu propio dispositivo» (BYOD) o en las que los dispositivos móviles acceden a datos confidenciales en Drive o Gmail, la gestión de terminales mediante una solución MDM específica queda fuera del alcance de lo que ofrece Google de forma nativa.

Gestión del ciclo de vida de los usuarios. La rápida retirada de privilegios cuando un empleado abandona la empresa es tanto un requisito de seguridad como una medida de control de los costes de las licencias. El procedimiento adecuado consiste en suspender primero la cuenta, transferir la propiedad de los archivos de Drive y los datos de Gmail a un responsable o a una cuenta de servicio, y, a continuación, eliminar la cuenta tras el periodo de retención estándar. Los flujos de trabajo automatizados de baja de empleados, que se integran con IT Glue y Autotask , eliminan las deficiencias que dejan los procesos manuales.

Configuración de seguridad: qué medidas hay que aplicar desde el primer día

Más allá de la autenticación de dos factores (2SV) y de compartir los valores predeterminados, varios ajustes de la consola de administración requieren una configuración específica para garantizar un nivel de seguridad adecuado para el ámbito empresarial.

Acceso de aplicaciones menos seguras. Google dejó de admitir la autenticación básica en las cuentas de Gmail de particulares en 2022, pero algunas aplicaciones y conectores heredados siguen solicitándola en los entornos de Workspace. La consola de administración ofrece una configuración para bloquear por completo el acceso de aplicaciones menos seguras. Se debe evaluar la sustitución de cualquier aplicación que no pueda autenticarse mediante OAuth.

Supervisión de la actividad administrativa. La sección «Informes» de la Consola de administración registra los eventos de inicio de sesión, la actividad administrativa, los cambios en el uso compartido de Drive y las alertas de seguridad. Estos registros deben revisarse periódicamente. Cualquier actividad administrativa inusual, como la creación de un nuevo superadministrador o la eliminación masiva de usuarios, justifica una investigación inmediata. Configurar alertas para eventos de alto riesgo, como la asignación de roles de superadministrador o anomalías en los inicios de sesión, lleva solo unos minutos en la Consola de administración y ofrece una cobertura de detección significativa.

Aplicación de la política de contraseñas. La opción «Exigir contraseñas seguras» de Google Workspace está desactivada de forma predeterminada. Los administradores deben activarla y establecer una longitud mínima de al menos 12 caracteres. La política se puede aplicar a nivel de unidad organizativa, lo que permite establecer requisitos más estrictos para las cuentas con privilegios elevados sin afectar a los usuarios de menor riesgo con flujos de trabajo diferentes.

Acceso de aplicaciones de terceros. La sección de controles de API de Google permite a los administradores revisar y restringir a qué aplicaciones de terceros se les ha concedido acceso OAuth a los datos de Workspace. Las autorizaciones OAuth no revisadas procedentes de la «TI en la sombra» —como las herramientas de productividad a las que los empleados se conectan sin la supervisión del departamento de TI— pueden acceder a los datos de Drive, Gmail y Calendar sin que exista una visibilidad continua. Las revisiones trimestrales de la lista de aplicaciones autorizadas son una referencia práctica. Configurar la política para que se requiera la aprobación del administrador para las nuevas conexiones de aplicaciones de terceros evita que se acumulen nuevas autorizaciones de forma silenciosa.

Una prueba práctica del estado de seguridad de tu Google Workspace: pregúntate si hoy mismo podrías elaborar una lista de todas las aplicaciones de terceros con acceso a los datos de los usuarios, todas las cuentas en las que no se exige la autenticación de dos factores y todos los archivos compartidos públicamente. Si la respuesta a cualquiera de estas preguntas es «no», la auditoría de la consola de administración es el punto de partida.

La brecha en las copias de seguridad: por qué Google Vault no es suficiente

Google Vault es la función que más a menudo se confunde con las copias de seguridad. No se trata de una solución de copia de seguridad. Vault ofrece retención de datos con fines de eDiscovery y cumplimiento normativo. Conserva los datos dentro de la propia infraestructura de Google, lo que significa que un ataque de ransomware o una violación de la seguridad de una cuenta que afecte al entorno principal de Workspace puede afectar simultáneamente a los datos conservados en Vault. No ofrece recuperación a un momento determinado y no protege contra las causas más comunes de pérdida de datos en la práctica: el borrado accidental, las acciones de empleados que abandonan la empresa y los errores de sincronización de integraciones de terceros.

El modelo de responsabilidad compartida de Google es muy claro al respecto. Google es responsable de la disponibilidad y la seguridad de la infraestructura de la plataforma. Los clientes son responsables de sus datos. Esa responsabilidad no se transfiere a Google por el mero hecho de que los datos se almacenen en la nube.

Los riesgos prácticos están bien documentados. Un usuario borra definitivamente archivos de Gmail o Drive y, una vez transcurrido el plazo de 30 días de la papelera de reciclaje, los datos se pierden. Un archivo malicioso se sincroniza con Drive y sobrescribe las versiones sanas en las carpetas compartidas. Un empleado que abandona la empresa borra archivos de proyectos antes de que se suspenda su cuenta. Ninguna de estas situaciones da lugar a una recuperación por parte de Google, ya que ninguna de ellas implica un fallo de la infraestructura de Google.

Spanning Backup, incluido en Kaseya 365 , resuelve este problema ofreciendo copias de seguridad diarias automatizadas de Gmail, Drive, unidades compartidas, Calendar y Contactos, con un almacenamiento cifrado independiente fuera de la infraestructura de Google y recuperación a un momento determinado. Para los MSP, la conversación con los clientes de Google Workspace sigue la misma estructura que la conversación sobre las copias de seguridad de Microsoft 365: Google protege la plataforma. Un producto de copias de seguridad de terceros protege los datos.

La función de supervisión de la dark web de Kaseya añade una capa adicional de seguridad, ya que avisa a los administradores cuando las direcciones de correo electrónico y las credenciales de los empleados asociadas al dominio aparecen en bases de datos de filtraciones. La aparición de las credenciales de un empleado de un cliente en una filtración de credenciales puede indicar que se han reutilizado para acceder a su cuenta de Workspace antes de que se active cualquier alerta de inicio de sesión.

Seguridad del correo electrónico: lo que se les escapa a los filtros de Google

Los filtros nativos de spam y phishing de Gmail son, en general, eficaces contra amenazas conocidas y campañas masivas. Sin embargo, su eficacia es considerablemente menor frente a los ataques dirigidos. Los correos electrónicos de spear-phishing diseñados específicamente para un destinatario, los intentos de suplantación de identidad en el correo electrónico empresarial (BEC) que se hacen pasar por un directivo o un proveedor, y el phishing de día cero que utiliza dominios recién registrados suelen burlar los filtros de Google y llegar a la bandeja de entrada.

Esto no es un fallo de la plataforma de Google. Se trata de una descripción precisa del modelo de amenaza. Los ataques dirigidos están diseñados para eludir la detección basada en el volumen. Un proveedor de servicios gestionados (MSP) que gestione 50 clientes de Google Workspace no puede confiar en los filtros integrados de Gmail para detectar los mensajes que tienen más probabilidades de causar daños importantes.

INKY, parte de Kaseya 365 , añade una capa basada en inteligencia artificial a la seguridad del correo electrónico de Google Workspace que funciona por encima de los filtros nativos. Utiliza tecnología de visión artificial para identificar falsificaciones de marcas y el uso indebido de logotipos en tiempo real, detectando intentos de phishing que se hacen pasar visualmente por remitentes de confianza. Se implementa a través de una API sin necesidad de modificar los registros MX y añade banners de advertencia codificados por colores a los correos electrónicos que identifica como sospechosos, informando a los usuarios sobre el riesgo sin retirar el mensaje de su control. INKY ofrece prevención de pérdida de datos (DLP), cifrado y aplicación de DMARC, lo que amplía la protección más allá del phishing entrante al manejo de datos salientes y la autenticación del remitente.

En el caso concreto de los MSP, INKY considerablemente la carga administrativa. Una prueba interna realizada en diversas implementaciones de MSP reveló que los administradores redujeron el tiempo dedicado a la gestión de la seguridad del correo electrónico de unas 40 horas a aproximadamente 1 hora al mes.

Detección y respuesta en la nube para Google Workspace

La Consola de administración de Google muestra los eventos de inicio de sesión y la actividad de los administradores, pero no correlaciona las señales de comportamiento en todo el entorno de Workspace en tiempo real. Una cuenta que inicie sesión desde una ubicación inusual, descargue grandes volúmenes de archivos de Drive y establezca conexiones OAuth con nuevas aplicaciones de terceros en un intervalo de 30 minutos no se marca automáticamente como comprometida. Cada evento se ve de forma aislada. La correlación que lo identifica como un incidente, no.

SaaS Alerts, que forma parte de Kaseya 365 , ofrece detección y respuesta en la nube para Google Workspace mediante la supervisión continua de la actividad de los usuarios y la aplicación de análisis de comportamiento basado en el aprendizaje automático para identificar anomalías. Cuando detecta una posible vulneración, puede responder automáticamente: cerrando las sesiones activas, desactivando la cuenta y enviando una alerta al proveedor de servicios gestionados (MSP) o al equipo de TI sin necesidad de intervención humana.

El módulo Respond para Google Workspace, lanzado en 2024, permite a los proveedores de servicios gestionados (MSP) configurar reglas basadas en la lógica «si... entonces». Un ejemplo típico: si se produce un inicio de sesión correcto desde fuera de un área geográfica autorizada, Respond cierra todas las sesiones activas y bloquea los nuevos inicios de sesión hasta que se verifique la identidad del titular de la cuenta. Estas reglas se ejecutan de forma continua, incluso fuera del horario laboral, lo cual es importante porque, si no se cuenta con una respuesta automatizada, las vulneraciones de cuentas detectadas un viernes por la tarde tienen todo el fin de semana para convertirse en incidentes de mayor envergadura.

SaaS Alerts supervisa el uso indebido de las autorizaciones OAuth, uno de los vectores de ataque más comunes y menos visibles en los entornos en la nube. Cuando un usuario conecta una nueva aplicación SaaS a su cuenta de Workspace a través de OAuth, SaaS Alerts la conexión y puede alertar al administrador o activar una regla de respuesta. En 2024, SaaS Alerts más de 7.300 millones de eventos en entornos SaaS para su informe anual SaaS Application Security Insights Report. De esos eventos, más de mil millones eran de gravedad media o crítica, una cifra que hace que la supervisión automatizada continua, y no la revisión manual periódica, sea el único modelo de gestión realista.

Gestión de Google Workspace a gran escala con Kaseya 365

Un proveedor de servicios gestionados (MSP) que administra 30 clientes de Google Workspace se enfrenta a una versión agravada de todos los problemas descritos anteriormente. Las configuraciones de seguridad varían de un cliente a otro. La cobertura de las copias de seguridad es irregular. Las brechas de seguridad en el correo electrónico de un entorno de cliente ponen en riesgo a los demás. Sin una plataforma unificada, mantenerse al día requiere o bien realizar largos ciclos de revisión manual o bien aceptar una cobertura irregular.

Kaseya 365 reúne las tres capas principales de seguridad y protección de Google Workspace en una sola suscripción. INKY la detección avanzada de amenazas en el correo electrónico y INKY la formación de los usuarios. SaaS Alerts una supervisión continua del comportamiento y una respuesta automatizada en todo el entorno de Workspace. Spanning copias de seguridad diarias automatizadas con almacenamiento independiente y recuperación a un momento determinado. Las tres soluciones se conectan a Google Workspace a través de una API, sin necesidad de instalar ningún agente ni de gestionar ninguna infraestructura.

El argumento comercial a favor de los MSP es claro. Cada una de estas capas aborda un riesgo que las herramientas nativas de Google no cubren por completo. Los clientes que utilizan Google Workspace sin una copia de seguridad SaaS están expuestos a una pérdida de datos que sus planes de continuidad del negocio no pueden abordar. Los clientes que carecen de detección y respuesta en la nube no tienen visibilidad del compromiso de la cuenta hasta que el daño ya está hecho. Presentar estas carencias con claridad, con pruebas del modelo de responsabilidad compartida y de las medidas de cumplimiento cuando sea pertinente, es la conversación que lleva a Kaseya 365 de ser un tema opcional a convertirse en una expectativa básica.

Descubre Kaseya 365 para la protección de Google Workspace.

Para obtener una visión más detallada de cómo la seguridad de las aplicaciones SaaS encaja en la estrategia general de ciberresiliencia de los MSP, consulte la «Lista de verificación de ciberresiliencia para MSP» y el informe «El estado de los MSP en 2026» de Kaseya.