Si sospechamos que una persona no autorizada está intentando acceder a la cuenta de un usuario de G Suite perteneciente a nuestra organización, normalmente se solicita a esa persona que responda a una pregunta de seguridad adicional o que verifique su identidad mediante el envío de un código de verificación al teléfono del propietario real de la cuenta. Si la persona no puede responder a la pregunta ni verificar su identidad, no podrá acceder a la cuenta.
Estas medidas son lo que Google llama «Verificación de la identidad de los usuarios mediante sistemas de seguridad adicionales». En este post te damos razones de por qué debes tenerlas todas en tu organización:
Nota: Antes de utilizar la verificación de la identidad
Para que podamos verificar la identidad de los usuarios mediante un número de teléfono o dirección de correo electrónico de recuperación, necesitamos que nos faciliten antes esta información. Cuando los usuarios inicien sesión, se les mostrará un mensaje en el que se les solicita que introduzcan su número de teléfono o la cuenta de correo electrónico de recuperación. Este mensaje aparecerá periódicamente hasta que nos proporcionan estos datos.
Tipos de verificación de la identidad
Es el propio Google quien dedcide qué verificación se presenta a los usuarios y lo hace en función de múltiples factores de seguridad:
Métodos de verificación en dispositivos móviles
Veamos algunos ejemplos:
- Un mensaje en el que se pide a los usuarios que toquen Sí y, a continuación, un número en su teléfono.
- Un SMS o una llamada al dispositivo de recuperación de los usuarios, en los que se proporcionan un código de verificación e instrucciones para acceder a su cuenta.
Si tu organización utiliza la Gestión de Dispositivos Móviles de Google (MDM), es posible que se verifique la identidad de los usuarios a través de sus dispositivos móviles gestionados; es decir, los dispositivos con los que acceden habitualmente a su cuenta de empresa. Así el usuario verá (de manera similar) una de estas pantallas:
Verificación de la identidad con IDs de empleado
También puedes utilizar IDs de empleado para verificar la identidad de tus empleados. Los ID de empleado son más difíciles de adivinar y suplantar que muchos otros tipos de verificación. Si quieres usar este método, primero tienes que asegurarte de que cada cuenta de usuario tenga asociado uno de estos ID. Ponte en contacto con nosotros si deseas saber más.
Algunas preguntas sobre verificar la identidad
Ya utilizamos la verificación en dos pasos, ¿por qué necesitamos la verificación de la identidad?
La verificación en dos pasos es un tipo de verificación de la identidad, por lo que si tus usuarios la tienen activada, no recibirán ninguna otra solicitud de verificación.
¿Cuándo se solicita a los usuarios que respondan a preguntas o verifiquen su identidad?
Se pide a los usuarios que verifiquen su identidad cuando se detectan inicios de sesión sospechosos; por ejemplo, cuando no siguen los patrones de inicio de sesión habituales.
¿Y cuándo se considera que un intento de inicio de sesión es sospechoso?
Google considera que un inicio de sesión es sospechoso cuando su sistema de análisis de riesgos lo identifica como un intento que no entra dentro del patrón de comportamiento habitual del usuario. Por ejemplo, cuando se intenta iniciar sesión desde una ubicación inusual o de una forma que se suele asociar a un uso inadecuado del servicio.
¿Qué ocurre cuando se aplican verificaciones de identidad adicionales?
- Si ya tienes políticas de verificación en dos pasos, se aplicarán de inmediato.
- A los usuarios afectados por la nueva política y que tengan habilitada la verificación en dos pasos, se les aplicará al iniciar sesión.
- Además, según el análisis de riesgos de inicio de sesión de Google, es posible que los usuarios vean verificaciones adicionales en función del riesgo.
¿Has sufrido recientemente ataques de troyanos, phishing….? ¿Deseas mejorar la seguridad en tu organización? En whitebite podemos ayudarte. ¡Solicita una reunión con nuestro equipo!