Más sobre la verificación en 2 pasos de Google
La verificación en 2 pasos (2SV) actúa como una segunda capa de seguridad —también conocida como autenticación multifactor (MFA) o autenticación de dos factores (2FA)— y exige que el usuario aporte dos datos para confirmar su identidad al iniciar sesión. Además de la contraseña de la cuenta, hace falta un segundo método de verificación para completar el acceso. Ese segundo factor puede ser una llave de seguridad (la opción más segura), una notificación de Google Authenticator o un código de verificación recibido por llamada o mensaje de texto (considerados menos seguros).
El cambio es un avance valioso para reforzar la seguridad de las cuentas de Super Admin y dificultar que un atacante las comprometa. Aunque resulta positivo para quienes priorizan la seguridad, puede suponer un reto para las organizaciones que aún deben revisar la protección de sus cuentas de servicio. Es importante aclarar que esta medida solo afecta a las cuentas de Super Admin: los administradores delegados y los usuarios regulares no quedarán sujetos a la aplicación obligatoria de 2SV por parte de Google. Los Super Admins recibirán notificaciones para activar la verificación en 2 pasos 60 días antes de que la medida sea obligatoria, además de un recordatorio para habilitar 2SV antes de la fecha indicada cada vez que inicien sesión en los servicios de Google. Conviene mantenerse atento, porque estos avisos pueden pasar desapercibidos si las cuentas de Super Admin no se utilizan con frecuencia. También se enviará un aviso adicional 30 días antes de la entrada en vigor a los correos electrónicos y teléfonos móviles de los Super Admins.
Cómo revisar el estado de la verificación en 2 pasos
Las cuentas de servicio se usan en ocasiones desde aplicaciones de terceros para acceder a recursos de Google Workspace. Si una cuenta de servicio no tiene 2SV activada, queda expuesta a que un atacante la aproveche, lo que podría derivar en accesos no autorizados a datos sensibles o incluso en el control total del dominio de Google Workspace.
Para evitar posibles interrupciones del servicio, los administradores de Google Workspace deben asegurarse de que todas las cuentas de servicio de Super Admin estén inscritas en 2SV. Esto se hace desde la página Menú > Informes > Informes de usuarios > Seguridad en la consola de administración. En la parte superior del informe se puede aplicar el filtro "Estado de administrador" para mostrar únicamente las cuentas de Super Admin.
Para cada cuenta de Super Admin, el administrador verá una columna llamada "Inscripción en verificación en 2 pasos" que muestra el estado de inscripción en 2SV, indicando si la cuenta está inscrita o no.
Sección de Informes de usuarios filtrada para mostrar las cuentas de Super Admin.
Remediación y aplicación de la verificación en 2 pasos
Una vez identificadas las cuentas de Super Admin que no están inscritas en la verificación en 2 pasos de Google, los administradores pueden tomar medidas para aplicar la política de 2SV en adelante. Para revisar las políticas vigentes, basta con ir a la página Seguridad > Verificación en 2 pasos de la consola de administración. El plan de implementación dependerá de la estructura de unidades organizativas de cada empresa y de si utiliza un proveedor de identidad externo para los usuarios no administradores que acceden a Google Workspace. Un plan de aplicación habitual consiste en agregar todas las cuentas de Super Admin a un grupo dedicado y activar la aplicación obligatoria de la verificación en 2 pasos para ese grupo a partir de una fecha futura. Con este ajuste, cualquier cuenta que se agregue al grupo con la nueva política activa y que aún no esté inscrita en 2SV recibirá una solicitud de Google en cada nuevo inicio de sesión para que se inscriba en la verificación en 2 pasos. Una forma segura de gestionar la opción "Período de inscripción de nuevos usuarios" es dejarla en Ninguno e indicar a los administradores que configuren la verificación en 2 pasos en toda cuenta nueva antes de asignarle el rol de Super Admin.
Configuración de aplicación de la política de verificación en 2 pasos.
Además de inscribir las cuentas de Super Admin en la verificación en 2 pasos de Google, los administradores pueden recurrir a una contraseña de aplicación de un solo uso para integraciones que no admiten la autenticación moderna OAuth2 (la conocida pantalla "Iniciar sesión con Google"). De esta manera se refuerza la seguridad de las cuentas de servicio y la cuenta de Google se mantiene protegida bajo la política de 2SV, incluso al interactuar con aplicaciones o servicios heredados.
Con estas medidas proactivas para asegurar que todos los Super Admins se inscriban en la verificación en 2 pasos, los administradores fortalecen la seguridad de las cuentas y reducen el riesgo de bloqueos e interrupciones cuando Google aplique la política.