Google Workspace está reforzando la seguridad de su plataforma y ahora exige la verificación en dos pasos (2SV) en todas las cuentas de Super Admin. El cambio se aplicará de forma gradual durante 2024 y los Super Admins tendrán que activar la 2SV en sus cuentas. El despliegue arrancará con las organizaciones que usan ediciones Enterprise de Google Workspace y se irá extendiendo hasta cubrir todas las ediciones de Google Workspace.
La verificación en dos pasos (2SV) funciona como una segunda capa de seguridad —también se le conoce como autenticación multifactor (MFA) o autenticación de dos factores (2FA)— y pide al usuario dos datos para confirmar su identidad al iniciar sesión. Además de la contraseña de la cuenta, hace falta un segundo método de verificación para completar el acceso. Ese factor adicional puede ser una llave de seguridad (la opción más segura), una solicitud de Google Authenticator o un código de verificación recibido por llamada o mensaje de texto (las opciones menos seguras).
El cambio es un paso importante para fortalecer la seguridad de las cuentas de Super Admin y dificultarle el trabajo a posibles atacantes. Aunque es una buena noticia para quienes priorizan la seguridad, puede suponer un reto para las organizaciones que aún tienen pendiente proteger sus cuentas de servicio. Conviene aclarar que este cambio solo afecta a las cuentas de Super Admin: los administradores delegados y los usuarios regulares no quedarán sujetos a la aplicación obligatoria de 2SV por parte de Google. Los Super Admins recibirán avisos para activar la verificación en dos pasos 60 días antes de que la medida entre en vigor, además de un recordatorio para habilitar la 2SV antes de la fecha indicada cada vez que inicien sesión en los servicios de Google. Vale la pena estar atento, porque estas notificaciones pueden pasar desapercibidas si no se entra con frecuencia a las cuentas de Super Admin. Adicionalmente, se enviará un aviso 30 días antes de la fecha límite a los correos y teléfonos móviles de los Super Admins.
En ocasiones, las aplicaciones de terceros usan cuentas de servicio para acceder a los recursos de Google Workspace. Si una cuenta de servicio no tiene la verificación en dos pasos activada, queda expuesta a ataques que pueden derivar en accesos no autorizados a datos sensibles o, incluso, en el control total del dominio de Google Workspace.
Para evitar interrupciones del servicio, los administradores de Google Workspace deben asegurarse de que todas las cuentas de servicio de Super Admin tengan la 2SV activada. Esto se hace desde la página Menú > Informes > Informes de usuario > Seguridad en la consola de administración. En la parte superior del informe, los administradores pueden aplicar el filtro "Estado de administrador" para ver únicamente las cuentas de Super Admin.
En cada cuenta de Super Admin, el administrador verá una columna llamada "Inscripción en la verificación en dos pasos" que muestra el estado de inscripción en 2SV. Esa columna indica si las cuentas tienen la 2SV activada o no.
Sección de Informes de usuario filtrada para mostrar las cuentas de Super Admin.
Una vez identificadas las cuentas de Super Admin sin verificación en dos pasos, los administradores pueden empezar a aplicar la política de 2SV. Para ello, basta con ir a la página Seguridad > Verificación en dos pasos de la consola de administración y revisar las políticas vigentes. El plan de implementación dependerá de la estructura de unidades organizativas de cada empresa y de si esta utiliza un proveedor de identidad de terceros para los usuarios no administradores que acceden a las cuentas de Google Workspace. Una estrategia habitual consiste en agregar todas las cuentas de Super Admin a un grupo específico y activar la aplicación de la verificación en dos pasos para ese grupo a partir de una fecha futura. Con este cambio, cualquier cuenta que se agregue al grupo con la nueva política activa, y que todavía no tenga la 2SV configurada, recibirá un aviso de Google en cada nuevo inicio de sesión para activarla. Una forma segura de manejar la opción "Periodo de inscripción de nuevos usuarios" es dejarla en Ninguno y, en su lugar, pedir a los administradores que configuren la verificación en dos pasos en cualquier cuenta nueva antes de otorgar el rol de Super Admin.
Configuración de la aplicación de la política de verificación en dos pasos.
Además de inscribir las cuentas de Super Admin en la verificación en dos pasos de Google, los administradores pueden utilizar una Contraseña de aplicación de un solo uso para las integraciones que no son compatibles con la autenticación moderna OAuth2 (la conocida pantalla "Iniciar sesión con Google"). De esta manera se refuerza la seguridad de las cuentas de servicio y se garantiza que la cuenta de Google quede protegida por la política de 2SV incluso al interactuar con aplicaciones o servicios heredados.
Con estas acciones proactivas para inscribir a todos los Super Admins en la verificación en dos pasos, los administradores blindan la seguridad de las cuentas y reducen el riesgo de bloqueos e interrupciones del servicio cuando Google aplique la política.