Aplicar la autenticación multifactor (MFA) de manera uniforme a los recursos de la empresa

Problema empresarial

Las contraseñas vulneradas son una fuente importante de filtraciones de datos. Cuando se vulnera una contraseña, el hacker obtiene los mismos permisos que el empleado para acceder a los datos de la empresa.

La autenticación multifactor (MFA) es una herramienta importante a la hora de proteger los recursos corporativos. Este método, que también se denomina "verificación en dos pasos" (2SV), exige que los usuarios verifiquen su identidad a través de un elemento que conozcan (como una contraseña) y otro que tengan en su poder (como una llave física o un código de acceso).

Para proteger las cuentas y los datos de los usuarios, tu empresa ha decidido que todos los empleados deben autenticarse a través de la verificación en dos pasos para poder acceder a los recursos corporativos.

Soluciones

Si tu proveedor de identidades (IdP) es Cloud Identity, puedes implementar la verificación en dos pasos de varias formas. Por otro lado, si cuentas con un proveedor de identidades de terceros, debes consultar con ellos su oferta de dicho método.

Puedes seleccionar diferentes niveles de aplicación de la verificación en dos pasos:

  • Opcional: el empleado es el que decide si utilizar la verificación en dos pasos.
  • Obligatorio: el empleado selecciona el método de verificación en dos pasos.
  • Llaves de seguridad obligatorias: el empleado debe usar una llave de seguridad.

Llaves de seguridad

Las llaves de seguridad ofrecen el método de verificación en dos pasos más potente.

Entre todos los métodos de verificación en dos pasos, las llaves de seguridad ofrecen el mayor nivel de seguridad. Se trata de una llave física que los usuarios introducen en un puerto USB de un ordenador y que deben tocar para generar una firma criptográfica cuando se les solicite.

Algunos estafadores crean sitios web de phishing que se hacen pasar por Google y solicitan códigos de verificación en dos pasos. Dado que las llaves de seguridad de Google usan el encriptado y verifican la legitimidad de los sitios web que visitan los usuarios, son menos propensas a los ataques de suplantación de identidad.

Para usar una llave de seguridad en dispositivos móviles Android, el usuario debe tocar la llave de seguridad en su dispositivo de Comunicación de campo cercano (NFC). Los usuarios también pueden encontrar opciones de USB y Bluetooth de bajo consumo (BLE) para dispositivos Android. Por su parte, los dispositivos móviles de Apple requieren llaves de seguridad con Bluetooth.

Mensaje de Google

El mensaje de Google es un método alternativo de verificación en dos pasos.

En lugar de generar e introducir un código de verificación en dos pasos, los usuarios pueden configurar sus dispositivos móviles Android o Apple para recibir un mensaje de inicio de sesión. De este modo, cuando inicien sesión en su cuenta de Google a través de un ordenador, recibirán el mensaje "¿Estás intentando iniciar sesión?" en su dispositivo móvil. Una vez hecho esto, basta con que toquen su dispositivo móvil para confirmar su identidad.

Aplicación Google Authenticator

Google Authenticator es un método alternativo de verificación en dos pasos.

Google Authenticator genera códigos de verificación en dos pasos de un solo uso en dispositivos móviles Android o Apple. Con esta aplicación, los usuarios generan un código de verificación en su dispositivo móvil que pueden introducir cada vez que se les solicite en un ordenador, en un portátil o incluso en el propio dispositivo móvil para iniciar sesión.

Códigos de seguridad

Los códigos de seguridad son un método alternativo de verificación en dos pasos.

En los casos en los que el usuario no pueda acceder a su dispositivo móvil o trabaje en un área de alta seguridad donde no se le permita llevarlo, puede usar un código de seguridad para realizar la verificación en dos pasos. También puede generar códigos de verificación de reserva e imprimirlos con antelación.

Mensaje de texto o llamada telefónica

Los mensajes de texto o las llamadas telefónicas son métodos alternativos de verificación en dos pasos.

Google envía un código de verificación en dos pasos a dispositivos móviles a través de un mensaje de texto o una llamada de voz.

Recomendaciones

A la hora de decidir qué alternativas de verificación en dos pasos se adaptan mejor a las necesidades de tu empresa, debes equilibrar la seguridad, el coste y la facilidad que conllevan. Independientemente de las alternativas que elijas, te recomendamos que habilites el método de verificación en dos pasos para que se convierta en un requisito obligatorio dentro de tu organización.

Uso de llaves de seguridad

Recomendamos que apliques el uso obligatorio de llaves de seguridad para los empleados que crean y acceden a datos que requieren el nivel más alto de seguridad. La verificación en dos pasos debería ser obligatoria para el resto de empleados y se debe fomentar el uso de llaves de seguridad dentro de la plantilla.

Las llaves de seguridad son la forma más segura de verificación en dos pasos, puesto que se basan en el estándar abierto desarrollado por Google como parte de la Fast Identity Online (FIDO) Alliance. Para utilizar llaves de seguridad, es necesario contar con un navegador compatible en los dispositivos del usuario.

Otras opciones

Si el coste y la distribución son factores que influyen en tu decisión, dispones de otras alternativas como la aplicación Google Authenticator o el mensaje de Google. Este último te proporciona una mejor experiencia de usuario, ya que los usuarios solo tienen que tocar su dispositivo cuando se les solicite en lugar de introducir un código de verificación.

Si tus usuarios no pueden llevar dispositivos móviles, pueden generar códigos de seguridad imprimibles y utilizarlos en las áreas de alta seguridad.

Te recomendamos que no utilices los mensajes de texto; concretamente el Instituto Nacional de Normas y Tecnología (NIST) desaconseja el método de verificación en dos pasos basado en SMS debido al riesgo de piratería que conlleva dentro de entidades respaldadas por gobiernos.

Ejemplo

La empresa A es una organización grande y consolidada que utiliza aplicaciones y un método de autenticación in situ. Con el objetivo de mejorar la seguridad, reducir los costes de asistencia y potenciar la escalabilidad, decide empezar a utilizar Cloud Identity como proveedor de identidades principal.

Para conseguirlo, primero se estableció una norma para implementar una oferta de identidad como servicio (IDaaS) con la que administrar su presencia en la nube, lo cual requiere aplicar la verificación en dos pasos y cumplir los requisitos pertinentes en una fecha determinada. El equipo de Infosec exige la verificación en dos pasos para todos los usuarios.

La empresa A decide usar Cloud Identity para implementar el método de verificación en dos pasos. Su objetivo es que las llaves de seguridad sean obligatorias para los usuarios que trabajan en las iniciativas empresariales más sensibles e importantes para la empresa, y también para aquellos que acceden a la información de los empleados (esto incluye a los directivos de todas las organizaciones y a las personas de organizaciones de los ámbitos de ingeniería, finanzas y recursos humanos). El resto de empleados debe usar la verificación en dos pasos; concretamente, pueden elegir el método de este tipo que más les convenga y se les anima a utilizar llaves de seguridad.

La aplicación de llaves de seguridad varía según la organización.

Para que las llaves de seguridad sean obligatorias solo para determinados grupos, el departamento de TI crea subconjuntos de usuarios dentro de organizaciones más grandes denominadas "grupos de excepción". Por ejemplo, toda la organización del departamento de Marketing debe utilizar la verificación en dos pasos, pero solo los directivos tienen que usar llaves de seguridad. El departamento de TI crea un grupo directivo dentro de cada organización (como las de Marketing, Ventas o Asistencia) y aplica llaves de seguridad en cada uno de ellos.