Seguridad en la búsqueda en Bing y aplicaciones de Microsoft 365. Si eres empresa, esto te interesa

Buenas a todos, en el artículo de hoy me gustaría hablaros de las búsquedas en Bing, en concreto, de la nueva característica para usuarios de Microsoft 365 orientada a la búsqueda en archivos, sitios de SharePoint, contenido de OneDrive, conversaciones de Teams, Yammer y otros orígenes de datos compartidos en nuestra organización. Para los que no sepáis a que me estoy refiriendo, os dejo con un ejemplo de nuestra empresa, usuaria de 365:

En resumen, se trata de una funcionalidad que integra en el navegador oficial de Microsoft la posibilidad de buscar "dentro de nuestro perímetro" cuando estamos autenticados con una cuenta corporativa. Marco entre comillas lo de dentro de nuestro perímetro, dado que hoy en día es algo etéreo, dado que hablamos de datos situados en la nube. Esta funcionalidad también está disponible para Chrome (parcialmente, porque entre los países que han recibido la actualización, no se encuentra España aún). Podéis encontrar más información en el siguiente enlace:

https://docs.microsoft.com/en-us/deployoffice/microsoft-search-bing#how-does-the-microsoft-search-in-bing-extension-for-google-chrome-get-installed

Como os imagináis, es una funcionalidad muy útil para las empresas, dado que te puedes abstraer y recurrir a un único buscador para localizar cualquier documento, ya sea en Internet o en el propio repositorio de la empresa. Sin embargo, si nuestra organización no ha configurado las cosas "adecuadamente", podemos tener problemas. Cuando hacemos auditorías de hacking ético, además de localizar algún que otro 0-day, la mayor parte de los hallazgos suelen provenir por fallos de configuración. En muchas ocasiones, tras estos trabajos han salido a relucir infinidad de problemas derivados del uso de configuraciones por defecto y políticas con una seguridad bastante "ligera" en lugares tan críticos como SharePoint. Pues bien, en estas semanas muchas compañías se están dando cuenta gracias a esta funcionalidad de que sus configuraciones no eran del todo adecuadas, y que cualquier empleado podía acceder a cualquier documento de, por ejemplo, su SharePoint interno. 

¿Es esto culpa de Microsoft? En absoluto. Sin embargo, si se quiere desactivar esta funcionalidad para que los usuarios de nuestra organización no puedan buscar archivos internos a través de Bing, existe un check que encontraréis en el Centro de administración de Office 365:

Dentro del menú de configuración, en "Búsqueda e Inteligencia", nos dirigiremos a la quinta pestaña, "Configuraciones":

Y en este nuevo menú, encontraremos la opción para desactivar las búsquedas en nuestra organización:

Para concluir el artículo, me gustaría remarcar que esta desactivación no supone la aplicación de ninguna medida de protección. La seguridad por oscuridad es un mal que sufrimos la gente que nos dedicamos a ciberseguridad. Y, la única forma de resolver los problemas de accesos en nuestra organización, se basa en configurar las cosas adecuadamente.

¡Saludos!