El ecosistema de Microsoft 365 no es un conjunto de herramientas estático que se configura una única vez y permanece inmutable en el tiempo. Como si fuera un organismo vivo, la nube empresarial de Microsoft evoluciona constantemente para responder a las crecientes demandas de seguridad y escalabilidad del mercado corporativo.
En este proceso de transformación continua, la compañía de Redmond está ejecutando uno de los cambios técnicos más profundos y de mayor impacto para administradores, desarrolladores y empresas en la actualidad: la retirada definitiva de Exchange Web Services (EWS) en Exchange Online.
Esta decisión obliga a las organizaciones a migrar con carácter de urgencia muchas de sus integraciones de software hacia Microsoft Graph, la interfaz unificada y moderna de la suite de productividad de Microsoft, la cual permite acceder, a través de una sola API, a servicios clave como Exchange, Teams, SharePoint, OneDrive, Entra ID (Azure AD), Planner y Copilot, entre otros.
Para empresas y profesionales técnicos, este cambio no es una simple actualización menor, sino un hito crítico de continuidad de negocio que exige planificación y un acompañamiento experto, como el que ofrece Bullhost, para mitigar riesgos y blindar los sistemas corporativos frente a cualquier interrupción.
El cambio de paradigma hacia Microsoft Graph
Exchange Web Services fue creado por Microsoft hace casi dos décadas con el objetivo de ofrecer un acceso programático estructurado a los buzones de correo, calendarios, contactos o tareas alojados en Exchange Server. En el momento de su concepción, cuando las infraestructuras locales dominaban el mercado, el protocolo SOAP (Simple Object Access Protocol) y el formato XML (Extensible Markup Language) representaban el estándar tecnológico de la industria.
Sin embargo, la rigidez inherente a las estructuras SOAP, su elevado consumo de ancho de banda y un modelo heredado que suele apoyarse en permisos amplios (como impersonation), frente al enfoque de menor privilegio basado en OAuth2 y scopes de Microsoft Graph, chocan frontalmente con las necesidades de alta concurrencia y seguridad de los entornos de nube multi-tenant modernos.
Por el contrario, Microsoft Graph se erige sobre la arquitectura REST (Representational State Transfer) y el intercambio ligero de datos en formato JSON, consolidando el acceso a múltiples cargas de trabajo bajo un único punto de entrada unificado. La gran ventaja de Graph no solo radica en un modelo más eficiente en escenarios modernos (REST/JSON, batching, delta queries), cuyo rendimiento depende del patrón de uso y la implementación, sino en su compatibilidad nativa con flujos de autenticación OAuth 2.0 y una mayor capacidad de aplicar el principio de menor privilegio mediante permisos específicos (scopes) y consentimiento controlado.
Esto permite que cada aplicación empresarial acceda únicamente al subconjunto de datos estrictamente necesario para su funcionamiento, reduciendo drásticamente la superficie de exposición ante posibles ataques y simplificando de forma notable el control administrativo.
El incidente de Midnight Blizzard y la urgencia detrás del apagado
Aunque la obsolescencia técnica justificaba la jubilación de EWS, un grave incidente de seguridad de alcance internacional ocurrido en enero de 2024 aceleró de forma drástica los planes de Microsoft. El grupo de espionaje ruso Midnight Blizzard logró comprometer los sistemas de la corporación explotando un tenant de prueba heredado y desprovisto de autenticación multifactor (MFA), donde ejecutaron un ataque de pulverización de contraseñas. Una vez dentro de ese entorno secundario, los atacantes identificaron una aplicación de prueba antigua basada en el marco OAuth que, a pesar de estar inactiva, conservaba privilegios administrativos legítimos concedidos en el pasado sobre el entorno de producción de la compañía.
A través de esta relación de confianza desatendida, el grupo criminal realizó un movimiento lateral, logró elevar privilegios y abusar de configuraciones existentes para obtener acceso de alto impacto en el entorno. Con el control absoluto, registraron nuevas aplicaciones OAuth y les otorgaron permisos de alto privilegio sobre Exchange Online para exfiltrar de manera silenciosa correos de la alta dirección y agencias gubernamentales estadounidenses.
Este ataque forense demostró que las APIs obsoletas y sus amplios esquemas de permisos heredados representan una vulnerabilidad estructural inaceptable, acelerando la estrategia de Microsoft para retirar progresivamente EWS y reforzar el uso de APIs modernas como Microsoft Graph, no solo para terceros, sino también para sus propios servicios nativos de correo, con el fin de erradicar este vector de ataque permanentemente.
El calendario de la desactivación: fechas que no admiten prórroga
El apagado definitivo de EWS se ejecutará de acuerdo con un cronograma estricto en el que Microsoft ya ha dejado claro que no se concederán excepciones de ningún tipo. La desactivación gradual a nivel global en todos los tenants de Exchange Online comenzará el 1 de octubre de 2026 y culminará con un bloqueo absoluto e irreversible fijado para el 1 de abril de 2027. Esta transición se gestionará a través de la propiedad de configuración del tenant conocida como habilitación de EWS, la cual admite los estados de verdadero, falso o un valor nulo predeterminado. Para evitar que las aplicaciones de negocio sufran interrupciones inesperadas de servicio, los administradores de sistemas deben actuar antes de que concluya el mes de agosto de 2026.
En esta ventana de acción preventiva, las empresas deben configurar manualmente una lista de aplicaciones autorizadas y forzar la propiedad de habilitación a un estado verdadero a través de Exchange Online PowerShell. En caso de inacción por parte de los administradores, Microsoft utilizará sus sistemas automáticos en septiembre de 2026 para pre-poblar una lista de permitidos basada en el tráfico y la telemetría de históricos detectados en el tenant.
Sin embargo, esta automatización representa un riesgo latente para la seguridad, ya que podría mantener activas integraciones heredadas si no se revisa manualmente la lista generada que muestre actividad residual. Una vez superado el umbral del 1 de abril de 2027, la capacidad de los administradores para alterar esta propiedad será revocada de forma definitiva, clausurando de manera permanente cualquier consulta basada en SOAP hacia la nube de Microsoft 365.
Es importante recordar que esta medida afecta exclusivamente a las infraestructuras de Exchange Online y entornos cloud, por lo que las implementaciones de Exchange Server locales continuarán conservando el soporte de EWS sin alteraciones inmediatas.
Impacto operativo y las brechas de paridad de Microsoft Graph
La gran preocupación para los departamentos de tecnología radica en que muchísimas aplicaciones empresariales fundamentales dependen en silencio de EWS. Herramientas de gestión de clientes, automatizaciones locales en PowerShell, sistemas de tickets, software de centros de llamadas, CRM´s y, especialmente, las plataformas de copia de seguridad (como Veeam o AvePoint) y soluciones de seguridad de correo (como Mimecast) han sido diseñadas asumiendo la disponibilidad permanente de esta API clásica.
Si estas aplicaciones no se actualizan a tiempo para utilizar Microsoft Graph, comenzarán a experimentar errores difíciles de diagnosticar (si no se ha identificado previamente la dependencia) e interrupciones críticas de servicio a partir de octubre de 2026. No obstante, el desafío se complica debido a la existencia de brechas de paridad funcional entre ambas interfaces, lo que ha generado malestar y quejas entre los desarrolladores y administradores de sistemas, que se ven obligados a migrar antes de que Graph cuente con un reemplazo idéntico para todas las funciones.
La brecha más notable reside en la gestión y migración de las carpetas públicas de Exchange, un elemento que depende históricamente de EWS y para el cual Graph no ofrece un soporte de migración o gestión masiva directo. Microsoft ha decidido mantener ciertas limitaciones en escenarios específicos (como carpetas públicas), que pueden requerir herramientas alternativas o rediseño del proceso, lo que obliga a muchas organizaciones a emprender proyectos de migración urgentes para trasladar sus datos históricos hacia buzones compartidos o SharePoint antes de que EWS sea desactivado por completo.
Asimismo, otras capacidades avanzadas como el acceso a los buzones de archivo histórico, la gestión detallada de configuraciones de usuario dentro del buzón y ciertos procesos de retención de datos legales aún presentan limitaciones en Graph, exigiendo que las organizaciones realicen análisis técnicos complejos para adaptar sus flujos de trabajo sin perder capacidades críticas.
Cómo auditar las dependencias de EWS
Frente a la inminencia de los plazos, el primer paso que debe dar cualquier equipo de TI es identificar con precisión qué integraciones de su red siguen realizando llamadas a la API obsoleta. Para facilitar este proceso de auditoría y descubrimiento, Microsoft ha puesto a disposición de los administradores diversas utilidades específicas.
La más accesible de ellas es el informe de uso de EWS incorporado en el Centro de Administración de Microsoft 365, un panel analítico que muestra una telemetría histórica para identificar las aplicaciones externas no pertenecientes a Microsoft que realizan conexiones SOAP, detallando el volumen promedio de llamadas y las acciones ejecutadas en ventanas de tiempo de hasta noventa días.
Adicionalmente, herramientas de diagnóstico de código como EWS Code Analyzer y el proyecto de código abierto EWS Migration Analyzer, accesible de forma pública en GitHub, resultan sumamente valiosos para escanear bases de código interno, desarrollos propios y scripts de administración heredados basados en PowerShell, con el fin de localizar y reescribir de forma exacta las líneas que deben adaptarse al entorno REST de Microsoft Graph.
Bullhost como socio estratégico en la gestión activa del tenant
La retirada de EWS evidencia una realidad incuestionable: un tenant Microsoft 365 no es un sistema pasivo de configuración única, sino un ser dinámico y en continua transformación que requiere una supervisión constante y altamente cualificada. En Bullhost entendemos la gestión informática bajo una estrategia de protección y optimización de 360 grados, por lo que trabajamos en estrecha colaboración con nuestros clientes para transformar este desafío de migración en una oportunidad de fortificación tecnológica.
Nuestro modelo de acompañamiento flexible, que abarca desde consultorías puntuales de transición hasta auditorías de revisión periódica, proporciona la tranquilidad de que sus procesos de negocio nunca se verán interrumpidos por los cambios programados por el fabricante.
Del mismo modo, nuestro equipo gestiona la interlocución directa con los proveedores de software para evaluar la compatibilidad de sus productos, asegurando la correcta reautorización de permisos en soluciones críticas de copia de seguridad o scripts de administración, para alinearlos con las directrices de menor privilegio exigidas por Microsoft Graph.
En Bullhost, estamos listos para asegurar la continuidad operativa de su empresa ante este tipo de retos, permitiéndole centrar su atención en sus prioridades de negocio mientras nosotros nos encargamos de guiar con éxito a su organización hacia el nuevo estándar digital de Microsoft.
Y es que anticiparse a los plazos de Microsoft no solo evitará sorpresas desagradables en sus sistemas de correo, copias de seguridad o bases de datos, sino que convertirá su infraestructura en un entorno mucho más ágil, moderno y blindado ante las amenazas actuales, lo que le permitirá dar el salto definitivo hacia el futuro de Microsoft 365 con total seguridad.
