Claude ya puede enviar tus correos en Microsoft 365

Las nuevas herramientas de escritura de Claude en Microsoft 365 redactan y envían tu correo de Outlook. Qué hacen, quién las activa y la trampa.

Durante casi dos años, el trato entre la IA y tu bandeja de entrada fue simple: leía, sugería y se quitaba del camino. El clic en “enviar” lo dabas tú. Eras el último humano en la cadena, cada vez.

Eso cambió sin hacer ruido el 7 de julio de 2026. El conector de Microsoft 365 de Claude sumó algo que Anthropic llama write tools (herramientas de escritura). Con ellas, Claude puede redactar un correo, enviarlo, ordenar tu bandeja, poner tu respuesta automática, agendar una reunión y reescribir un archivo en SharePoint. Esa misma semana, Claude Cowork llegó a la web y al celular, y empezó a correr tareas en segundo plano después de que cierras la laptop.

Junta las dos cosas y tienes algo nuevo de verdad: software que trabaja a tu nombre mientras tú no estás mirando.

Vale la pena entenderlo antes de activarlo.

Tarjeta de anuncio de Anthropic para Claude Cowork en web y celular
Fuente: Anthropic

Qué llegó de verdad el 7 de julio

Aterrizaron dos cambios juntos, y la gente los mezcla todo el tiempo.

Cowork se volvió móvil. Cowork es el modo “te encargo una tarea entera y me voy” de Claude. Hasta esta semana vivía en tu escritorio. Ahora corre en la web y dentro de las apps de Claude para iPhone y Android. Y lo más importante: las sesiones siguen ejecutándose en la nube. La frase de Anthropic es “cierra la laptop y vete a tu reunión; Claude sigue trabajando”. Cuando Claude choca con una decisión que no puede tomar solo, la pregunta te llega al celular.

El conector de Microsoft 365 aprendió a escribir. Antes, conectar Microsoft 365 dejaba que Claude buscara en tu correo, tus archivos, tu calendario y tus mensajes de Teams. Solo lectura. Ahora, si las herramientas de escritura están activadas, puede actuar.

El propio ejemplo de lanzamiento de Anthropic vale la pena leerlo con calma:

“Programa para el lunes a las 6 a. m. la preparación del cliente: Claude repasa los hilos de correo, las transcripciones y las noticias recientes, arma el documento de resumen y deja el correo de seguimiento redactado pero sin enviar.”

Redactado pero sin enviar. Guárdate esa frase, porque volvemos a ella.

Qué puede hacer con las herramientas de escritura activadas

El Centro de Ayuda lo dice sin rodeos, y conviene leer las palabras exactas y no los titulares:

Página de ayuda de Claude sobre Microsoft 365 respondiendo si Claude puede modificar tus datos
Fuente: Centro de Ayuda de Claude

Desglosado, son cuatro poderes:

  • Correo — redactar, enviar y organizar mensajes. Eso incluye categorías, reglas de bandeja y respuestas automáticas.
  • Calendario — crear, actualizar y borrar eventos.
  • Archivos — crear y actualizar documentos en OneDrive y SharePoint.
  • Ajustes del buzón — la capa de mantenimiento que casi nadie toca.

Por debajo, esto se traduce en permisos de Microsoft Graph con nombres como Mail.Send, Calendars.ReadWrite y Files.ReadWrite.All. Nunca vas a escribir esos nombres. Pero si algún día le preguntas a tu área de sistemas “¿qué fue exactamente lo que aceptamos?”, esas son las palabras que están en el formulario.

Y lo que no puede hacer

Cuatro límites duros, todos documentados:

  • Nada de adjuntos. Claude no puede enviar, reenviar ni siquiera redactar un correo con un archivo adjunto. Esos se rechazan de una vez.
  • No publica en Teams. Lee tus mensajes de Teams. No puede escribir ni uno.
  • No hay lista blanca de SharePoint. No puedes apuntarlo solo a los sitios seguros: busca en todo lo que tú tengas permiso de ver.
  • No supera tu propio acceso. Claude entra como tú. Si tú no puedes abrir la carpeta de finanzas, Claude tampoco.

Ese último punto es el dato más tranquilizador de todos, y conviene decirlo claro. Claude no recibe su propia cuenta con superpoderes. Te presta la tuya. La frase de Anthropic: “solo puede acceder a los datos que ese usuario ya tiene permiso de ver”.

Lo más probable es que no puedas activarlo tú

Esto sorprendió a mucha gente, a juzgar por las preguntas que se amontonaron bajo el anuncio.

Las herramientas de escritura necesitan dos cosas, y ninguna es un botón que tú controlas:

  1. Un administrador de Microsoft Entra —tu área de sistemas— tiene que consentir los permisos ampliados para toda la organización.
  2. Luego, alguien tiene que habilitar las herramientas de escritura para tu cuenta en concreto.

Si conectaste Microsoft 365 antes de este lanzamiento, las herramientas de escritura están apagadas por defecto. Vas a ver el conector funcionando igual que antes, en modo solo lectura, y por más que le des clic no va a cambiar. El arreglo no está en tus ajustes. Es un correo a sistemas.

Y acá va el detalle que casi ninguna nota en inglés menciona, pero que en España y Latinoamérica es la regla y no la excepción: si tu pyme lleva Microsoft 365 a través de un partner o revendedor —esa consultora que te vendió las licencias y te administra el tenant—, ese consentimiento de administrador no lo das ni tú ni tu jefe. Lo da ellos. Antes de emocionarte, la primera llamada no es a Anthropic; es a quien te maneja el Microsoft 365.

Si tienes una cuenta personal de Microsoft, todo este apartado no aplica: tú eres tu propio administrador.

La pregunta de seguridad que en realidad todos están haciendo

Baja por las respuestas debajo del anuncio de Anthropic y una pregunta vuelve una y otra vez, con doce redacciones distintas: ¿puede enviar correos sin preguntarme?

Acá va la respuesta honesta, y es más interesante que un sí o un no.

Hay dos productos distintos de Claude con Microsoft, y tienen modelos de seguridad diferentes.

Dos formas en que Claude toca tu Outlook
Claude para Outlook
El complemento
El borrador se abre en tu propia ventana de Outlook
Claude nunca envía correo solo
Conector M365
Herramientas de escritura
Claude recibe el permiso Mail.Send
Claude puede enviar — dalo por hecho
El mismo asistente, el mismo buzón — dos promesas distintas sobre quién hace clic en enviar.

Claude para Outlook —el complemento que vive dentro de tu ventana de Outlook— es explícito y tranquilizador. La documentación dice: “Claude nunca envía correo ni invitaciones por su cuenta; cada borrador queda sin enviar para que tú lo revises”.

Las herramientas de escritura del conector de Microsoft 365 no hacen esa promesa. El permiso que se otorga se llama, literalmente, Mail.Send. En ninguna parte de la documentación hay un paso garantizado de “¿estás seguro?” antes de que un mensaje salga de tu buzón.

Y acá está el detalle que quiero que te lleves: vas a leer, incluso en la cobertura en español, que “Claude no hace acciones sensibles solo, siempre pide confirmación y guarda todo como borrador”. Ojo con eso. Esa frase describe el complemento de Outlook, no el conector. Son dos superficies con dos reglas, y la mitad de las notas las cuenta como si fueran una.

El ejemplo de Anthropic deja el correo de seguimiento redactado pero sin enviar, lo que te dice cómo esperan que lo uses. No te dice que el software te vaya a detener.

Así que no des por sentada una red de seguridad que no probaste tú mismo. Si quieres solo borradores, dilo dentro de la tarea: redáctalo en mi carpeta de borradores de Outlook, no lo envíes. Y de todos modos revisa la carpeta de Enviados, las primeras veces.

Los resguardos que sí existen

Tres, y son reales:

  • Cada correo que Claude envía lleva un encabezado de atribución que lo identifica como iniciado por un agente. Quien lo recibe puede ver que lo escribió una máquina. No lo puedes desactivar.
  • Los adjuntos están bloqueados por completo, lo que de paso cierra la vía más fácil para que una IA saque un documento de tu empresa.
  • Hay límites de uso por usuario que topan cuántos envíos y destinatarios son posibles, así que una sesión secuestrada no puede dispararle a toda tu libreta de direcciones.

Fíjate en lo que no está cubierto. Los cambios en archivos y calendario no llevan esa etiqueta de “iniciado por un agente”. Si Claude edita un documento en SharePoint, la edición parece tuya y ya.

El riesgo que nadie pone en el folleto

Los investigadores de seguridad tienen un nombre para la situación que creas cuando le das a una IA tres cosas al mismo tiempo: acceso a datos privados, exposición a contenido no confiable y la capacidad de mandar cosas hacia afuera. Simon Willison lo llama la tríada letal. Una IA con tu bandeja abierta cumple las tres casillas a la vez, porque el correo que entra es contenido no confiable: cualquiera puede mandarte uno.

Y esto no es hipotético. En 2025, unos investigadores demostraron EchoLeak (CVE-2025-32711, gravedad 9.3 sobre 10) contra Microsoft 365 Copilot: un atacante mandó un correo de apariencia normal con instrucciones ocultas adentro, y Copilot las siguió y filtró datos. La víctima no hizo clic en nada. En absolutamente nada. Microsoft parchó el fallo del lado del servidor y no consta que se haya explotado en la práctica, pero la lección quedó: el ataque llega dentro de un correo común.

El problema de fondo es tan viejo que ya tiene nombre: el diputado confundido (confused deputy). Claude carga con tu autoridad. Un atacante que logre colar instrucciones en algo que Claude lee consigue tomar prestada esa autoridad. Y como Claude decide qué hacer leyendo lenguaje normal, no hay un muro confiable entre “esto son datos que estoy leyendo” y “esto es una instrucción que debo obedecer”.

No estoy diciendo que no lo uses. Estoy diciendo que el modelo mental “es un autocompletado más listo” deja de ser cierto en el segundo en que se enciende Mail.Send. No lo dejes solo en lo crítico.

¿Y la protección de datos? RGPD, LOPDGDD y sus primas

Acá hay una capa que en España y Latinoamérica no es un adorno legal, es responsabilidad tuya.

Cuando dejas que un tercero —Claude— procese los correos y archivos de tus clientes, en el lenguaje del RGPD europeo y la LOPDGDD española estás sumando a un encargado del tratamiento. El artículo 28 del RGPD dice que el responsable (tú, tu empresa) solo puede sumar subencargados con su consentimiento y sigue respondiendo por ellos. Traducido: la responsabilidad no se terceriza. Si Claude manda o filtra un dato personal, quien responde ante la agencia de protección de datos eres tú.

Del otro lado del Atlántico el marco cambia de nombre pero no de fondo: en México es la LFPDPPP, en Argentina la Ley 25.326, en Colombia la Ley 1581. Todas te obligan a saber quién toca los datos de tus clientes y con qué base. “Se lo pedí a la IA” no es una base legal.

Qué significa para ti

Si eres empleado de oficina con una cuenta de empresa: casi seguro no puedes activar esto hoy, y está bien. Empieza con el conector de solo lectura —“resúmeme este hilo”, “¿qué acordamos el martes?"— y agarra confianza en cómo entiende tu bandeja antes de pedir permisos de envío.

Si eres asistente ejecutivo o de operaciones y vives en Outlook: esta es la versión de la IA que por fin se parece a tu trabajo real, que nunca fue “escríbeme un párrafo”. Pide a sistemas las herramientas de escritura, y córrelo en modo solo-borradores por un par de semanas. Las herramientas de calendario solas —crear, mover, cancelar— te van a ahorrar más tiempo que el correo.

Si eres consultor o freelance con cuenta personal de Microsoft: eres la única persona que puede encender esto esta tarde. Lo que significa que también eres la única persona sin nadie que la detenga. Solo borradores, revisa todo, por más tiempo del que crees que necesitas.

Si eres quien administra el Microsoft 365 (o el partner que lo administra): el modelo de permisos delegados es sólido de verdad —Claude no supera el acceso del usuario, los envíos quedan atribuidos, los adjuntos están bloqueados. Lo que en realidad estás aceptando es la inyección de instrucciones por correo entrante. Habilita las herramientas de escritura para un grupo piloto chico primero, no para todo el tenant.

Lo que esto no arregla

  • No va a entender tu política interna. Claude puede redactar el correo que termina una relación con un cliente. No tiene idea de que no debería.
  • No va a saber qué es confidencial. Tiene tus permisos, y los permisos son un instrumento tosco. Tener acceso a una carpeta no es lo mismo que tener buen criterio sobre esa carpeta.
  • No te va a frenar para que no escales un error. Una plantilla mala enviada una vez da vergüenza. Programada todos los lunes a las 6 a. m., es una política de la empresa.
  • No cubre los adjuntos. Justo lo que más quieres enviar —el informe, la factura, la presentación— es exactamente lo que las herramientas de escritura se niegan a tocar.
  • No es igual en tu celular. El Cowork de escritorio alcanza tus archivos locales y tu navegador. Las versiones de web y móvil, no. Mismo nombre, menos alcance.

En resumen

Lo interesante del 7 de julio no fue que Claude tuviera app de celular. Fue que el último control humano —tú, haciendo clic en enviar— se volvió opcional en una de las dos formas en que Claude toca tu Outlook, y siguió siendo obligatorio en la otra. Y casi nadie se dio cuenta de cuál es cuál.

Si te llevas una sola cosa: averigua si tu configuración es el complemento o el conector, y nunca des por hecho que el paso de revisión está ahí solo porque el video de demostración lo mostró.

Empieza en solo lectura. Pasa a borradores. Dale permisos de envío al final, si acaso.

Si quieres la versión guiada de todo esto —conectar Claude a tus herramientas sin abrir un agujero de seguridad— nuestro curso Claude para PYMES: conecta tus herramientas lo arma desde cero pensado para España y Latam. Y si lo que quieres es que tu bandeja deje de comerte las mañanas, Emails profesionales que obtienen respuestas es mejor punto de partida. Para la parte legal, IA para protección de datos y privacidad en LatAm cubre quién responde por los datos.

Lecturas relacionadas: ¿Claude Cowork es gratis? El precio real y qué plan necesitas y Qué es un agente de IA, explicado sin humo si la palabra “agente” todavía te hace ruido.

Fuentes

Desarrolla Habilidades Reales en IA

Cursos paso a paso con quizzes y certificados para tu currículum