Supongamos que los servicios de correo de tu empresa están alojados en un servidor Exchange on-premise, en Microsoft 365 o incluso en un servicio de correo de GoDaddy.
Alguien en tu empresa [email protected] quiere acceder a servicios de Google que requieren una cuenta de usuario de Google. Esto puede implicar iniciar sesión en YouTube para crear un canal, leer un documento compartido en Google, acceder a Google Analytics y administrarlo, lanzar campañas de Google Ads o incluso levantar un proyecto de GCP con fines de prueba.
Ese empleado crea una cuenta personal, no gestionada o de consumidor de Google con su dirección de correo actual ( [email protected]). Llega el correo de verificación y listo. Ese empleado ya tiene una cuenta o identidad de usuario de Google no gestionada asociada a su dirección de correo con el sufijo del dominio de tu empresa.
¡Esta identidad de usuario de Google es totalmente invisible para tu organización! Como admin, no puedes acceder a la contraseña del usuario ni deshabilitarla. Tampoco puedes consultar los registros de actividad. Si reseteas la contraseña desde tu propio sistema (Office 365, Exchange, hosting, sistema de RR. HH., etc.), no tendrá ningún efecto sobre esa identidad del lado de Google.
La sorpresa mayor —y un posible problema de seguridad— es que, aunque ya hayas registrado el dominio de tu empresa con una cuenta de suscripción corporativa o gestionada de Google (como Google Workspace o CloudIdentity) y no tengas ningún otro proveedor de correo para ese dominio, un empleado igual puede registrar una cuenta no gestionada usando el dominio de tu empresa como sufijo.
Dicho de otra forma: ¡no tienes forma alguna de gestionar esa cuenta de usuario!
Para entender los escenarios anteriores y antes de seguir con este artículo, conviene tener claras tres cosas fundamentales:
- Las direcciones de correo son únicas. Punto.
- En los servicios en la nube, la dirección de correo es el nombre de usuario (identidad) que se usa para acceder a los servicios, iniciar sesión y autenticarse.
- Existen tres tipos de cuentas de usuario de Google:
\* cuenta de usuario gmail.com,
\* cuenta de usuario personal\ individual\ de consumidor\ no gestionada,
\* cuenta de usuario gestionada.
¿Cómo se crea cada cuenta?
Crea una dirección gmail.com y obtén acceso a los servicios personales de correo, drive, contactos y calendario, que también sirven como identidad para autenticarte con otros servicios como YouTube, Google Analytics y más.
Ingresa tu cuenta personal, de consumidor o no gestionada con una dirección de correo que ya exista (como Yahoo.com, Outlook.com o el dominio de tu empresa ) para recibir un correo de verificación. En este caso, estás creando una identidad de Google, no una cuenta completa con acceso a correo o calendario. Sí obtienes acceso a drive.
Para hacerlo, entra al mismo enlace, pero esta vez haz clic en " Usar mi dirección de correo electrónico actual". Llegarás a una pantalla que te pide ingresar la dirección de correo y elegir una contraseña (no tiene que ser la de tu cuenta de correo). Estás creando una nueva identidad en Google y luego deberás confirmar que esa dirección te pertenece.
Estas cuentas se pueden usar para autenticarse con Google al intentar acceder a servicios y crear proyectos de GCP, dándole así a otras cuentas personales, de consumidor o no gestionadas (que usan el sufijo del dominio de la empresa) acceso a proyectos de GCP o a Google Analytics. Para esto último, necesitas registrar el dominio de tu negocio o empresa con una cuenta de suscripción corporativa o gestionada de Google (como Google Workspace o CloudIdentity).
Un admin que gestione esa suscripción puede crear un usuario para ti. Estos usuarios se llaman cuentas\ identidades de usuario "Gestionadas".
Espera, hay un problema
Volvamos al primer escenario desde el principio. Tu empresa tiene los correos alojados en un servidor Exchange on-premise, en Microsoft 365 o incluso en un servicio de correo de GoDaddy. Pero ahora surge la necesidad de gestionar todas tus cuentas de Google en un solo lugar para tener más control y visibilidad.
Tal vez también para usar las cuentas corporativas de Google Analytics o YouTube con SSO, de modo que cuando deshabilites o elimines a un usuario en tu sistema, también se elimine en Google. Entonces registras el dominio de tu empresa con una cuenta de suscripción corporativa o gestionada de Google, como Google Workspace (antes G-Suite) o CloudIdentity.
Verificas que el dominio es tuyo y empiezas a usar la cuenta de suscripción. Quieres crear [email protected], pero al hacerlo el sistema te dice que ese correo ya está en uso. Recuerda la primera regla: solo puede haber una dirección de correo.
¡Ya tienes un problema de cuentas de usuario no gestionadas duplicadas\ en conflicto!
Ahora supongamos que eres el super admin de la empresa con una cuenta de Google Workspace totalmente gestionada. Imaginemos que tienes un admin que crea una regla de enrutamiento por defecto o un mapa de direcciones de destinatario desde la consola de admin de Google de tu suscripción a Google Workspace para enrutar cualquier correo enviado a [email protected] (dirección privada).
A continuación, ese mismo admin entra al enlace de registro de cuentas de usuario no gestionadas y registra la dirección de correo. Se enviará un correo de verificación a su buzón corporativo, donde tendrá que validarlo.
Ya tienes una cuenta de usuario de Google no gestionada que en teoría puede registrarse en Google Analytics, crear canales de YouTube con el dominio de tu empresa e incluso obtener acceso no autorizado a GCP. Para colmo, como admin no tienes ningún conocimiento sobre ese usuario, ni puedes resetear su contraseña, etc.
Hoy por hoy, Google no impide la creación de cuentas personales o de consumidor con el sufijo de un dominio registrado. Tampoco existe ninguna función en la consola de admin para evitar que esto suceda. Si contactas al soporte de Google y le pides explícitamente que deshabilite esa opción para tu cuenta corporativa de G-Suite o Google Workspace, no podrán hacerlo y no lo intentarán.
Contén el problema antes de resolverlo
La solución
Si tienes una cuenta de Google Workspace (G-Suite), puedes crear una dirección catch-all desde el siguiente enlace.
Una dirección catch-all garantiza que los mensajes enviados a una dirección de correo incorrecta sigan llegando a alguien dentro de la organización, que luego puede revisarlos y decidir qué hacer. Es útil para identificar a los usuarios que intentan activar una cuenta de Google no gestionada. Pero si es un admin quien establece una regla de enrutamiento, digamos con un "mapa de direcciones de destinatario", el catch-all no servirá.
Por eso, la mejor solución como workaround para cualquier sistema de correo que tengas es simplemente cortar la comunicación entre el proceso de verificación y el usuario. Crea una regla de cumplimiento de contenido con las siguientes condiciones (todas deben cumplirse — AND, no OR):
Dirección entrante AND Cuerpo coincide con la regex `^[0–9]{6}$` AND Cuerpo contiene el texto "Verify this email is yours" AND Asunto contiene el texto "Verify your email address" AND el encabezado del remitente contiene el texto "[email protected]".
Mientras Google no cambie estos metadatos, estás cubierto. También recomiendo no rechazar los correos de verificación. Cambia el destinatario por un admin, igual que con la dirección catch-all, para poder monitorearlos y no descartar correos que cumplan los criterios pero no encajen en este escenario.
También puedes aplicar protección adicional si lo necesitas. En GCP, puedes establecer una política de restricción de uso compartido por dominio — haz clic aquí para ver cómo.
Esto impedirá que se asignen permisos de IAM a usuarios fuera del dominio en los proyectos de la organización. Ten en cuenta que no se aplica de forma retroactiva y que no podrás añadir usuarios de gmail.com a tus proyectos. Solo los usuarios gestionados dentro de tu cuenta de Google Workspace o CloudIdentity podrán recibir permisos de IAM.
Cómo lidiar con las cuentas no gestionadas
Primero, necesitarás el rol de "Super Admin" en tu cuenta de suscripción de Google Workspace o CloudIdentity para realizar las siguientes acciones. Al iniciar sesión en la consola de admin, podrás abrir la " Herramienta de transferencia para usuarios no gestionados".
O desde la sección "Usuarios" haciendo clic en "Más":
Al abrir la herramienta de transferencia podrías ver una lista de todos los usuarios no gestionados con cuentas duplicadas y en conflicto. Para cada uno tienes la opción de enviar una invitación para transferir su cuenta no gestionada a tu empresa. Una vez enviada, queda en manos de la persona (suponiendo que efectivamente la reciba) aceptar o rechazar la solicitud de transferencia.
Una vez aceptada, el nombre de usuario se asigna a tu cuenta corporativa y aparece en tu lista de usuarios. El usuario puede seguir autenticándose como antes, con la diferencia de que la cuenta queda sujeta a las políticas de tu empresa (2FA, servicios permitidos o no, tiempo de espera de la sesión, etc.). Si ese usuario tenía acceso a proyectos de GCP, podrá seguir accediendo a ellos.
Si no hay respuesta o se rechaza la solicitud, tienes la opción de tomar medidas (crear reglas de enrutamiento que dirijan los mensajes destinados a esas cuentas hacia el buzón de un admin), reenviar la invitación y aceptarla en nombre del usuario (eres el dueño del dominio y los registros MX apuntan a la cuenta de tu empresa).
Sugiero hacerlo con cautela e intentar localizar al empleado. Tal vez sea un exempleado que olvidó cerrar la cuenta o que no estaba al tanto de esta tarea. También puedes simplemente seguir adelante y crear el usuario.
Al crear el usuario desde la consola de admin, aparecerá una pantalla preguntando si quieres enviarle una "invitación de transferencia" o crearlo de todos modos — esto creará una nueva identidad gestionada dentro de tu suscripción corporativa — y renombrará al usuario original a algo como "username%[email protected]".
Cuando el usuario quiera usar su cuenta para acceder a un servicio de Google, se le mostrará la opción de elegir "Cuenta de trabajo" —la cuenta que creaste— o "Cuenta personal" —la "username%[email protected]".
Los datos del usuario se mantendrán en la cuenta original, mientras que todos los datos relacionados, como Google Analytics o canales de YouTube, permanecerán bajo su cuenta personal. Esos datos no serán accesibles con el nuevo nombre de usuario que creaste.
Ten en cuenta que la API se utiliza al usar GCDS (Google Cloud Directory Sync) desde un MS-AD on-premise hacia Google, al provisionar usuarios automáticamente desde MS-AAD (Microsoft Azure Active Directory) o desde soluciones de terceros como Okta. La API no distingue entre cuentas personales, de consumidor y no gestionadas. Simplemente creará a los usuarios de forma automática, y la cuenta personal no gestionada será renombrada, sin pedirle al admin que haga primero la transferencia.
Google permite que cualquiera cree usuarios no gestionados que usen el sufijo de correo del dominio de tu empresa. No tienes ningún control sobre estos usuarios, a quienes se les puede otorgar acceso a proyectos de Google Cloud Platform (GCP), crear canales de YouTube, usar Google Analytics y mucho más. Hay que asumir que esta es la realidad y reconocerlo como un problema potencial.
La buena noticia es que tú, como admin, tienes la capacidad de sortear esta situación, frenar la creación de esos usuarios y dar de baja los que ya existen.
Para mantenerte al día, síguenos en el DoiT Engineering Blog , el canal de LinkedIn de DoiT y el canal de Twitter de DoiT . Para explorar oportunidades laborales, visita https://careers.doit-intl.com .