Las verificaciones de identidad son medidas de seguridad adicionales para comprobar la identidad de un usuario. Existen dos tipos de verificaciones de identidad:
- Verificación de identidad: Si sospechamos que un usuario no autorizado está intentando acceder a una cuenta de Google Workspace, le exigimos que complete una verificación de identidad. Si el usuario no puede ingresar la información solicitada, no le permitiremos acceder a la cuenta.
- Verificación de identidad : Si un usuario intenta realizar acciones que se consideran sensibles, le exigimos que complete una verificación de identidad. Si el usuario no puede ingresar la información solicitada, no le permitiremos realizar la acción sensible (podrá seguir usando su cuenta con normalidad).
Importante: Google aplica la 2SV de forma forzosa para las cuentas de administrador. Para obtener más información, consulta este artículo sobre la aplicación forzosa de la 2SV para los administradores.
Antes de poder usar las verificaciones de identidad
Asegúrate de que tus cuentas de Google Workspace tengan la información que necesitamos:
- Recuérdales a los empleados que agreguen un número de teléfono y una dirección de correo electrónico de recuperación a sus cuentas. Les pediremos periódicamente que agreguen estos detalles cuando accedan a sus cuentas.
- Agrega IDs de empleado a tus cuentas de usuario. Para obtener más información, consulta la sección Agrega un ID del empleado como método de verificación de identidad.
Tipos de verificaciones de identidad
El usuario confirma su identidad con su dispositivo móvil
El usuario elige cómo verificar su identidad
Google usa una app instalada en el teléfono del usuario para confirmar su identidad
Google envía un mensaje de texto con un código de verificación
Google llama al teléfono del usuario y le proporciona un código de verificación
El usuario ingresa su ID de empleado
El usuario ingresa su correo electrónico de recuperación
Un usuario puede ingresar una dirección de correo electrónico de recuperación como método de verificación de identidad.
Verificaciones de identidad para acciones sensibles
Si un usuario de Google Workspace intenta realizar una acción sensible, a veces se le exige que complete una verificación de identidad. Si el usuario no puede ingresar la información solicitada, Google no le permitirá realizar la acción sensible.
"Se bloqueó una acción sensible"
Para la mayoría de los usuarios a los que se les exige completar una verificación de identidad para realizar una acción sensible, se muestra una ventana con el título Se bloqueó una acción sensible. Se le indica al usuario que vuelva a intentarlo desde un dispositivo que use con normalidad (como su teléfono o laptop) o desde la ubicación desde la que suele acceder.
"No se puede completar esta acción en este momento"
Debido a que algunos usuarios tienen dispositivos o llaves de seguridad que se agregaron recientemente a sus cuentas, no pueden verificar su identidad de inmediato en respuesta a una verificación de seguridad. Para estos usuarios, se muestra una ventana con el título No se puede completar esta acción en este momento. Estos usuarios pueden verificar su identidad después de que un dispositivo, un número de teléfono o una llave de seguridad se hayan asociado a su cuenta durante al menos 7 días.
Ejemplos de acciones sensibles
Estos son algunos ejemplos de acciones sensibles:
- Inhabilitar la verificación en 2 pasos
- Permitir que una app acceda a datos de Google
- Cambiar el número de teléfono o la dirección de correo electrónico de recuperación de la cuenta
- Descargar datos de la cuenta
- Cambiar el nombre en la cuenta
Habilita las verificaciones de identidad con SSO
Si tu organización usa proveedores de identidad (IdP) externos para autenticar a los usuarios de inicio de sesión único (SSO) a través de SAML, puedes exigirles a estos usuarios de SSO que completen verificaciones de identidad adicionales basadas en el riesgo y aplicar la verificación en 2 pasos (si está configurada) después de que el IdP autentique a un usuario durante el acceso.
El parámetro de configuración predeterminado de verificación posterior a SSO depende del tipo de usuario de SSO:
- Para los usuarios que acceden con el perfil de SSO heredado de tu organización, el parámetro de configuración predeterminado es omitir las verificaciones de identidad adicionales y la 2SV.
- Para los usuarios que acceden con otros perfiles de SSO, el parámetro de configuración predeterminado es aplicar las verificaciones de identidad adicionales y la 2SV.
Para cambiar la configuración predeterminada de cualquiera de los tipos de usuario, sigue los pasos que se indican en Cómo configurar la verificación posterior al SSO a continuación.
Casos de uso de verificaciones de identidad adicionales con SSO
- Quieres usar llaves de seguridad para proteger el acceso a recursos sensibles alojados en Google para obtener la máxima seguridad, y tu IdP actual no admite llaves de seguridad.
- Quieres ahorrar el costo de usar un proveedor de identidad externo porque, en la mayoría de los casos, los usuarios acceden a recursos de Google.
- No quieres la autenticación de Google (Google como proveedor de identidad), pero quieres aprovechar todas las verificaciones de identidad basadas en el riesgo de Google.
- Quieres que Google proteja las acciones sensibles dentro del ecosistema de Google.
Qué sucede cuando aplicas verificaciones de identidad adicionales
Para que la implementación sea fluida, infórmales a los usuarios sobre la nueva política y cuándo planeas aplicarla. Esto es lo que sucede cuando aplicas verificaciones de identidad adicionales durante el acceso:
- Si tienes políticas de 2SV existentes, como la aplicación forzosa de la 2SV, esas políticas se aplican de inmediato.
- Los usuarios afectados por la nueva política y que están inscritos en la 2SV reciben una verificación de identidad de 2SV durante el acceso.
- Según el análisis de riesgo de acceso de Google, es posible que los usuarios vean verificaciones de identidad basadas en el riesgo durante el acceso.
Cómo configurar la verificación posterior al SSO
-
En la Consola del administrador de Google, ve a Menú
SeguridadAutenticaciónVerificaciones de identidad.Requiere tener el privilegio de administrador de administración de seguridad del usuario.
- A la izquierda, selecciona la unidad organizativa en la que deseas establecer la política.
Para todos los usuarios, selecciona la unidad organizativa principal. Al principio, las unidades organizativas heredan la configuración de su unidad superior.
- Haz clic en Verificación posterior al SSO.
- Elige la configuración según cómo uses los perfiles de SSO heredados en tu organización. Puedes aplicar un parámetro de configuración para los usuarios que usan el perfil de SSO heredado de tu organización y para los usuarios que acceden con otros perfiles de SSO.
- En la esquina inferior derecha, haz clic en Guardar.
Google crea una entrada en el registro de auditoría del administrador para indicar cualquier cambio de política.
Nota: En casos excepcionales, es posible que los datos de los eventos de registro no estén presentes para todos los eventos. Estamos trabajando para resolver este inconveniente.
Preguntas frecuentes
Preguntas de seguridad adicionales y verificaciones de identidad | Verificación telefónica | Inhabilitación de una verificación de identidad o de seguridad | Administradores
Preguntas de seguridad adicionales y verificaciones de identidad
¿Cuándo ve un usuario una verificación de seguridad?
Se le exige al usuario que complete la verificación de identidad cuando se detecta un acceso sospechoso, por ejemplo, si el usuario no sigue los patrones de acceso que mostró en el pasado. Se le exige al usuario que complete una verificación de identidad si tiene una sesión riesgosa cuando intenta realizar una acción sensible.
Importante: Google decide qué tipo de verificación de seguridad es adecuada para mostrarle a un usuario en función de varios factores de seguridad y usabilidad. Por ejemplo, es posible que la verificación de identidad del ID de empleado no siempre se muestre a un usuario específico, incluso si la activaste.
Como administrador, ¿puedo elegir qué tipo de verificación de identidad mostrarles a mis usuarios?
La verificación en 2 pasos (2SV) es un tipo de verificación de identidad. Como administrador, puedes aplicar la verificación de identidad de 2SV para tus usuarios. De esta manera, no recibirán otro tipo de verificación de identidad basada en el riesgo.
Si no aplicas la 2SV para tus usuarios o si un usuario no la tiene activada, Google decide qué tipo de verificación de identidad es adecuada para mostrarle a ese usuario. El tipo de verificación de identidad que es adecuado se basa en varios factores de seguridad y usabilidad. Por ejemplo, es posible que la verificación de identidad del ID de empleado no siempre se muestre a un usuario específico, incluso si la activaste.
¿Pueden los usuarios actualizar su información de recuperación?
Sí. Para obtener más información, consulta Configura un número de teléfono o una dirección de correo electrónico de recuperación.
Usamos la verificación en 2 pasos. ¿Por qué necesitamos verificaciones de identidad?
La verificación en 2 pasos (2SV) es un tipo de verificación de identidad. Cuando tus usuarios la tienen activada, no reciben otra verificación de identidad. Por el mismo motivo, los informes del administrador muestran cada verificación en 2 pasos como una verificación de identidad.
¿Cómo funcionan las verificaciones de identidad cuando tengo habilitado el SSO?
Depende de cómo hayas configurado el SSO en tu organización:
- Si configuraste un perfil de SSO heredado para tu organización : De forma predeterminada, las verificaciones de identidad no están habilitadas. Sin embargo, puedes configurar la verificación posterior al SSO para permitir verificaciones de autenticación adicionales basadas en el riesgo y la verificación en 2 pasos (2SV) si está configurada.
- Si usas otro perfil de SSO : Se aplican automáticamente todas las verificaciones de identidad adicionales (incluida la 2SV, si está configurada).
¿Esta función está disponible en las ediciones de Education?
Sí, todas las ediciones de Google Workspace incluyen preguntas de seguridad adicionales y verificaciones de identidad.
¿Cuándo considera Google que un intento de acceso es sospechoso?
Determinamos si un acceso es sospechoso cuando nuestro sistema de análisis de riesgo identifica un intento que está fuera del patrón normal de comportamiento del usuario. Por ejemplo, un usuario podría intentar acceder desde una ubicación inusual o de una manera asociada con el abuso.
Verificación telefónica
Si mis usuarios no tienen un teléfono corporativo, ¿hay otra forma de verificar sus cuentas?
Sí, existen diferentes tipos de verificaciones de identidad. Según la información disponible para la cuenta de un usuario, se le muestra un tipo diferente de verificación de identidad, como ingresar su ID de empleado o su dirección de correo electrónico de recuperación. Si un usuario no tiene acceso a su teléfono, puede usar códigos de respaldo para acceder. Para obtener más información, consulta Accede con códigos de respaldo.
¿Cómo puede un usuario actualizar el número de teléfono o el correo electrónico de recuperación asociado a su cuenta?
El usuario puede actualizar la información de recuperación a través de la configuración de la cuenta.
¿Puede un usuario optar por verificar criterios que no sean su número de teléfono de recuperación?
Si el usuario no ingresa un número de teléfono de recuperación, se aplican otros tipos de verificaciones de identidad, como ingresar su dirección de correo electrónico de recuperación o usar su ID de empleado.
Inhabilitación de una verificación de identidad o de seguridad
Si el usuario no puede verificar su identidad, ¿puedo inhabilitar la verificación de identidad o de seguridad?
Sí, un administrador puede desactivar una verificación de identidad o de seguridad durante 10 minutos.
En algunas situaciones, un usuario autorizado no puede verificar su identidad. Por ejemplo, puede suceder que no tengan señal de teléfono y no puedan recibir el código de verificación. O bien, no pueden recordar ni encontrar su ID de empleado. Si esto sucede, como administrador avanzado, puedes desactivar la verificación de identidad o de seguridad durante 10 minutos para permitir que accedan o completen la acción sensible. Ten cuidado cuando desactives las verificaciones de identidad o de seguridad, ya que la cuenta es menos segura para los secuestradores de cuentas durante el período de 10 minutos.
¿Puedo desactivar las verificaciones de identidad o de seguridad para mi organización?
No, no puedes desactivar esta función para toda tu organización. Solo puedes desactivarla temporalmente por usuario.
¿Puede el usuario desactivar esta opción desde la configuración de su cuenta?
No, solo un administrador puede desactivar temporalmente las verificaciones de identidad o de seguridad.
Verificaciones de identidad del administrador
¿Cómo puede un administrador que no puede verificar su identidad volver a ingresar a su cuenta?
Como administrador, puedes recuperar el acceso a tu cuenta siguiendo las indicaciones de la página de acceso para restablecer tu contraseña.
Si eres administrador de Google Workspace y tienes problemas para acceder a tu cuenta de administrador, consulta Cómo recuperar el acceso de administrador a tu cuenta para obtener instrucciones.
¿Qué sucede si un administrador avanzado no puede verificar su identidad?
Si un usuario con acceso de administrador avanzado no puede verificar su identidad, otro administrador avanzado (si está disponible) puede desactivar temporalmente la verificación de identidad, como se describe en los pasos anteriores.
Como alternativa, el administrador avanzado puede omitir la verificación de identidad restableciendo su contraseña.
Nota: La opción de restablecimiento automático de contraseña no está disponible para todos los administradores avanzados. Para obtener más información sobre la recuperación de cuentas de administrador, consulta Agrega opciones de recuperación a tu cuenta de administrador.