El Risk Score es el corazón del Módulo de Identidades de TecnetSOC. Cada usuario en tu directorio recibe un puntaje de 0 a 100 que refleja su nivel de riesgo de seguridad basado en la configuración actual de su cuenta. Este artículo explica en detalle cómo se calcula ese número y qué puedes hacer para reducirlo.
---
El Risk Score es un número de 0 a 100 por usuario que se calcula sumando los puntos de riesgo de cada factor de seguridad que aplica a esa cuenta. Cuanto más alto el número, mayor el riesgo.
Nota: El Risk Score evalúa la configuración de la cuenta, no comportamiento malicioso activo. Un score alto significa que la cuenta es vulnerable; no necesariamente que ya fue comprometida. Para actividad sospechosa activa, revisa la sección de detecciones de Identity Protection.
---
El sistema evalúa 17 factores organizados en cinco categorías. Cada factor suma puntos al score del usuario si la condición es verdadera.
Categoría: Autenticación
| # | Factor | Puntos | Condición |
|---|---|---|---|
| 1 | Sin MFA registrado | +25 | El usuario no tiene ningún método de MFA registrado, o su fortaleza es "none" |
| 2 | Solo MFA débil (SMS/voz) | +10 | El método de MFA más fuerte registrado es de tipo "weak" (SMS o llamada de voz) |
| 3 | Contraseña sin cambio en +365 días | +5 | La contraseña no ha sido cambiada en más de un año |
Categoría: Roles y privilegios
| # | Factor | Puntos | Condición |
|---|---|---|---|
| 4 | Global Administrator permanente | +20 | Tiene el rol de Global Admin asignado de forma permanente (sin PIM) |
| 5 | Global Administrator elegible (PIM) | +5 | Tiene Global Admin como rol elegible via PIM — menor riesgo pero aún elevado |
| 6 | Rol privilegiado permanente | +10 | Tiene otro rol de alto privilegio asignado permanentemente |
| 7 | Rol privilegiado elegible (PIM) | +3 | Tiene otro rol privilegiado como elegible via PIM |
Categoría: Acceso Condicional
| # | Factor | Puntos | Condición |
|---|---|---|---|
| 8 | Excluido de política de MFA en CA | +10 | El usuario está en el grupo de exclusión de alguna política de CA que requiere MFA |
Categoría: Actividad y estado de cuenta
| # | Factor | Puntos | Condición |
|---|---|---|---|
| 9 | Cuenta inactiva (+180 días) | +15 | No ha iniciado sesión en más de 180 días (cuenta habilitada) |
| 10 | Cuenta inactiva (+90 días) | +10 | No ha iniciado sesión en 90-180 días (cuenta habilitada) |
| 11 | Cuenta de invitado (Guest) | +5 | La cuenta es de tipo Guest (usuario externo B2B) |
| 12 | Cuenta deshabilitada | +5 | La cuenta está deshabilitada en el directorio |
Categoría: Detecciones de Identity Protection
| # | Factor | Puntos | Condición |
|---|---|---|---|
| 13 | Riesgo alto en Entra ID Protection | +25 | Identity Protection ha marcado al usuario con risk_level = "high" |
| 14 | Riesgo medio en Entra ID Protection | +15 | Identity Protection ha marcado al usuario con risk_level = "medium" |
| 15 | Detección de alta severidad reciente | +20 | Detección de severidad alta en los últimos 7 días (sign-in comprometido, IP maliciosa, etc.) |
| 16 | Detección de media severidad reciente | +10 | Detección de severidad media en los últimos 7 días |
| 17 | Múltiples detecciones en 30 días | +5 | 3 o más detecciones de cualquier severidad en los últimos 30 días |
Nota: El puntaje máximo teórico es superior a 100, pero el sistema lo limita a 100. Un usuario puede tener varios factores activos simultáneamente. Los factores de inactividad 90d y 180d no son acumulativos — si aplica 180d, no aplica 90d.
Usuario: María González — Directora de Finanzas
| Factor | ¿Aplica? | Puntos |
|---|---|---|
| Sin MFA registrado | No (tiene SMS) | 0 |
| Solo MFA débil (SMS) | Sí | +10 |
| Contraseña sin cambio +365d | No | 0 |
| Rol privilegiado permanente | Sí — Finance Admin permanente | +10 |
| Excluido de política MFA en CA | Sí — está en grupo de exclusión | +10 |
| Cuenta inactiva | No | 0 |
| Detecciones | No | 0 |
| Total | 30 puntos | |
Con 30 puntos, María tiene un Risk Score de 30 — MEDIO. Aparecerá en amarillo en el dashboard. Las acciones recomendadas son: migrar de SMS a Microsoft Authenticator (+10pts menos), remover la exclusión de CA (+10pts menos), y evaluar si el rol permanente es necesario o puede convertirse a PIM elegible (+7pts menos).
---
Para cambios que requieren intervención directa en Azure:
De los 17 factores, tres tienen el mayor impacto en el score y en el riesgo real de la organización:
Es el factor de mayor peso y por buena razón: el 99% de los ataques de cuentas comprometidas involucraron cuentas sin MFA, según datos de Microsoft. Un usuario sin MFA puede ser comprometido solo con su contraseña, la cual puede obtenerse por phishing, data breach, o ataque de fuerza bruta.
Acción recomendada: Usar Acceso Condicional para bloquear el acceso hasta que el usuario registre MFA, en lugar de solo solicitarlo.
Un Global Administrator puede modificar cualquier configuración del tenant, agregar otros administradores, acceder a todos los datos, y eliminar políticas de seguridad. Tener este rol activo permanentemente significa que si la cuenta es comprometida, el atacante tiene control total de tu organización.
Acción recomendada: Usar PIM para activar el rol de GA solo cuando sea necesario, con justificación y aprobación, por un máximo de 8 horas.
Las políticas de Acceso Condicional son el principal mecanismo de control de acceso en Entra ID. Un usuario excluido de todas ellas puede iniciar sesión desde cualquier lugar, con cualquier dispositivo, sin MFA, sin verificación de cumplimiento. Es esencialmente un bypass completo de todos los controles.
Acción recomendada: Revisar grupos de exclusión en todas las políticas y asegurarse de que solo cuentas de break-glass estén excluidas, con monitoreo activo de su uso.
---
Última actualización: Abril 2026 | TecnetOne Knowledge Base