Seguridad en G Suite
Nueva opción para fortalecer los códigos de seguridad
¿Qué cambios implementa Google?
Google proporcionará otra opción para determinar cómo se pueden usar los códigos de seguridad en tu organización. Un código de seguridad es un código de un solo uso que se genera con una llave de seguridad y puede utilizarse para acceder a plataformas heredadas que no admiten llaves de seguridad de forma directa.
Con este lanzamiento, Google agregará una opción para restringir el uso de los códigos al mismo dispositivo o red en el que se generaron.
¿A quiénes afecta el cambio?
Administradores y usuarios finales
¿Por qué usar esta función?
Desde que Google incorporó los códigos de seguridad en junio de 2019, observó que, en su mayoría, se utilizan con aplicaciones que usan la autenticación heredada en dispositivos que pueden admitir Chrome o algún otro navegador que permite el uso de llaves de seguridad. La nueva opción de códigos de seguridad restringidos permite que se satisfaga ese caso práctico y que, al mismo tiempo, se reduzcan algunas posibles vulnerabilidades. Los códigos no restringidos seguirán estando disponibles para los usuarios que los necesiten (por ejemplo, para aquellos que usen servidores remotos o máquinas virtuales).
¿Cómo comenzar?
- Administradores: Puedes activar esta función en Consola del administrador > Seguridad > Configuración de seguridad avanzada. Visita el Centro de ayuda para obtener más información sobre los códigos de seguridad.
- Usuarios: No es necesario realizar ninguna acción.
Detalles adicionales
Los administradores de G Suite tendrán tres parámetros de configuración disponibles para los códigos de seguridad
Con este lanzamiento, habrá tres opciones para los códigos de seguridad:
- No permitir que los usuarios generen códigos de seguridad. Los usuarios no pueden generar códigos de seguridad. Esta opción ya estaba disponible y era el parámetro de configuración predeterminado.
- Permitir códigos de seguridad sin acceso remoto. Los usuarios pueden generar códigos de seguridad y utilizarlos en el mismo dispositivo o la misma red local (NAT o LAN). Esta es una opción nueva que reemplaza al parámetro “No permitir los códigos de seguridad” como configuración predeterminada para los nuevos clientes de G Suite.
- Permitir códigos de seguridad con acceso remoto. Los usuarios pueden generar códigos de seguridad y utilizarlos en el mismo dispositivo o la misma red local (NAT o LAN), como también en otros dispositivos o redes, por ejemplo, cuando acceden a un servidor remoto o una máquina virtual. La versión anterior de los códigos de seguridad tenía efectivamente este comportamiento.
Los usuarios existentes no se verán afectados
Este lanzamiento no cambiará la experiencia del usuario, a menos que un administrador cambie un parámetro de configuración en la Consola del administrador. Más precisamente, sucederá lo siguiente:
- A los usuarios que actualmente tengan asignada la opción “No permitir los códigos de seguridad” ahora se les asignará la opción “No permitir que los usuarios generen códigos de seguridad”, por lo que seguirán sin poder usar estos códigos.
- A los usuarios que actualmente tengan asignada la opción “Permitir el uso de códigos de seguridad” ahora se les asignará la opción “Permitir códigos de seguridad con acceso remoto”, por lo que podrán usar estos códigos del mismo modo que antes.
Visita el Centro de ayuda para obtener más información sobre los códigos de seguridad y la verificación en dos pasos.
Códigos de seguridad y Programa de Protección Avanzada para empresas
Con el Programa de Protección Avanzada para empresas, puedes controlar el uso de los códigos de seguridad para tus usuarios de manera individual. Para estos usuarios, la configuración de los códigos de seguridad se determina por medio de los controles que se encuentran en Consola del administrador > Seguridad > Programa de Protección Avanzada. La configuración del uso de los códigos de seguridad que se defina aquí anulará la configuración normal para estos usuarios. Obtén más información sobre el Programa de Protección Avanzada para empresas.
Vínculos útiles
Disponibilidad
Detalles del lanzamiento
- Dominios del lanzamiento rápido y programado: Lanzamiento completo.
Ediciones de G Suite
- Disponible para todas las ediciones de G Suite
¿La función estará activada o desactivada de forma predeterminada?
Esta función estará DESACTIVADA de forma predeterminada y puede personalizarse a nivel del dominio, la UO o el grupo.
Se desactivará el acceso a las aplicaciones menos seguras para las cuentas de G Suite
¿Qué cambios implementa Google?
A partir de junio de 2020, Google limitará la capacidad que tienen las aplicaciones menos seguras (LSA) para acceder a los datos de las cuentas de G Suite. Las LSA son aplicaciones ajenas a Google que pueden acceder a tu Cuenta de Google con solo un nombre de usuario y una contraseña. Estas aplicaciones hacen que tu cuenta sea más vulnerable a los intentos de piratería. En lugar de las LSA, puede usar aplicaciones que admitan OAuth, un método de acceso moderno y seguro.
Lo más probable es que este cambio afecte a los usuarios de aplicaciones heredadas de correo electrónico, calendario y contactos. Si deseas obtener más detalles, consulta a continuación. También Google ha enviado un correo electrónico al administrador principal de tu organización con los detalles de este cambio. Ese correo electrónico incluye una lista de los usuarios que probablemente se vean afectados.
El acceso a las LSA se desactivará en dos etapas:
- A partir del 15 de junio de 2020: Los usuarios que intenten conectarse a una LSA por primera vez ya no podrán hacerlo. Aquí se incluyen las aplicaciones de terceros que permiten el acceso exclusivo con contraseña a los calendarios, los contactos y el correo electrónico de Google por medio de diferentes protocolos, como IMAP, CalDAV y CardDAV. Los usuarios que se hayan conectado a LSA antes de esta fecha podrán seguir usándolas hasta que se desactive la utilización de todas las LSA.
- A partir del 15 de febrero de 2021: Se desactivará el acceso a las LSA para todas las cuentas de G Suite.
Esta es la continuación de un proceso que Google había anunciado anteriormente para limitar el acceso a las aplicaciones menos seguras con el objetivo de proteger las cuentas de G Suite. Sigue leyendo para obtener más detalles sobre el posible impacto de este cambio y conocer algunas recomendaciones que se pueden seguir para la administración de cambios con los usuarios de las LSA.
¿A quiénes afecta el cambio?
Administradores y usuarios finales.
¿Por qué usar esta función?
Muchos usuarios usan aplicaciones ajenas a Google y les otorgan permiso para acceder a los datos de G Suite. Por ejemplo, puedes darle permiso a la aplicación de correo electrónico de iOS para que vea tu correo electrónico laboral. Este cambio les brinda a los usuarios más opciones y los ayuda a trabajar de un modo que les resulte conveniente.
Cuando se proporciona acceso a una cuenta por medio de una LSA, esta cuenta corre el riesgo de sufrir un ataque de piratería. Esto se debe a que las LSA le otorgan a una aplicación ajena a Google acceso a tu cuenta con solo un nombre de usuario y una contraseña, y sin ningún otro factor de autenticación. Si una persona malintencionada obtuviera acceso a tu nombre de usuario y tu contraseña (por ejemplo, si usted utiliza esa misma contraseña en otro sitio que esté sujeto a una violación de la seguridad de los datos), esa persona podría acceder a los datos de tu cuenta por medio de una LSA usando únicamente la información del nombre de usuario y la contraseña.
Sin embargo, cuando se brinda acceso a una cuenta por medio de OAuth, Google obtiene más detalles sobre el acceso y puede validarlo de la misma manera en que lo haría con cualquier otro acceso a tu cuenta. Esto significa que Google puede identificar y prevenir los intentos de acceso sospechoso de forma más eficaz, lo que impide que los piratas accedan a los datos de la cuenta aunque tengan tu nombre de usuario y la contraseña. Asimismo, OAuth nos ayuda a aplicar de manera forzosa las políticas de acceso definidas por los administradores de G Suite, como el uso de llaves de seguridad, y otros controles de seguridad, como la inclusión de aplicaciones en la lista blanca y el otorgamiento de acceso a las cuentas en función del alcance.
Dado que Google trabaja permanentemente para mejorar la seguridad de las cuentas de G Suite de tu organización, se ha tomado la decisión de quitar el acceso a las LSA antes del 15 de febrero de 2021. Teniendo en cuenta la gran cantidad de aplicaciones y procesos alternativos disponibles que efectivamente usan OAuth (tal como se detalla a continuación), Google espera que este cambio no provoque interrupciones significativas al incrementar la seguridad de tu cuenta.
¿Cómo comenzar?
- Administradores:
- Consulta la sección “Detalles adicionales” que se encuentra debajo para obtener más información y conocer las acciones recomendadas.
- Si deseas conocer la lista de los usuarios que tienen probabilidades de verse afectados por este cambio, consulta el correo electrónico que se le envió al administrador principal de tu organización con el asunto “Cambie a aplicaciones que usen el acceso seguro de OAuth, ya que dejará de admitirse el acceso basado en contraseñas”.
- Usuarios: Consulta la sección “Información y sugerencias para usuarios finales” que se encuentra a continuación para obtener más detalles y conocer las acciones recomendadas. También puedes usar nuestro Centro de ayuda para obtener más información sobre las aplicaciones menos seguras y tu Cuenta de Google.
Detalles adicionales
Información para administradores y desarrolladores
- Configuración de la Administración de dispositivos móviles (MDM): Si tu organización utiliza un proveedor de Administración de dispositivos móviles (MDM) para configurar perfiles de Exchange ActiveSync (Google Sync), CalDAV y CardDAV, estos servicios se eliminarán gradualmente en función del cronograma que se encuentra a continuación:
- 15 de junio de 2020: Las transferencias de MDM de Exchange ActiveSync (Google Sync), IMAP, CalDAV y CardDAV ya no funcionarán para los usuarios nuevos.
- 15 de febrero de 2021: Las transferencias de MDM de Exchange ActiveSync (Google Sync), IMAP, CalDAV y CardDAV ya no funcionarán para los usuarios existentes. Los administradores deberán transferir las Cuentas de Google por medio de tus proveedores de MDM, lo que volverá a agregar esas cuentas a los dispositivos iOS mediante OAuth.
- Escáneres y otros dispositivos: No se requiere ningún cambio para que puedan enviar correos electrónicos los escáneres y otros dispositivos que usen LSA o el Protocolo para transferencia simple de correo (SMTP). Si reemplazas tu dispositivo, busca uno que envíe correos electrónicos por medio de OAuth.
- Instrucciones para desarrolladores: Para mantener la compatibilidad con las cuentas de G Suite, actualiza tu aplicación para que utilice OAuth 2.0 como método de conexión. Para comenzar, sigue la guía de Google para desarrolladores sobre cómo usar OAuth 2.0 para acceder a las API de Google. También puedes consultar la guía sobre OAuth 2.0 en aplicaciones para dispositivos móviles y computadoras de escritorio.
Información y sugerencias para usuarios finales
Si utilizas una aplicación que accede a tu Cuenta de Google con solo un nombre de usuario y una contraseña, realiza una de las siguientes acciones para pasar a un método más seguro y seguir accediendo a su correo electrónico, su calendario y sus contactos. Si no realizas ninguna de estas acciones, cuando deje de estar disponible el acceso a las LSA después del 15 de febrero de 2021, comenzarás a recibir un mensaje de error que te indicará que tu combinación de nombre usuario y contraseña no es correcta.
- Correo electrónico
- Si usas la versión independiente de Outlook 2016 o una versión anterior, puedes utilizar G Suite Sync for Microsoft Outlook. De forma alternativa, migra a Office 365 (una versión de Outlook basada en la Web) o a Outlook 2019, ya que ambas soluciones admiten el acceso a OAuth.
- Si usas Thunderbird o algún otro cliente de correo electrónico, vuelve a agregar su Cuenta de Google y configúrala para que use IMAP con OAuth.
- Si usas Outlook para Mac o la aplicación de correo electrónico en iOS o Mac OS, y solo utilizas una contraseña para acceder, deberás quitar tu cuenta y volver a agregarla. Cuando la vuelvas a agregar, asegúrate de elegir Google como tipo de cuenta a fin de usar OAuth automáticamente.
- Calendario
- Si usas CalDAV para permitir que una aplicación o un dispositivo accedan a tu calendario, cambia a un método que admita OAuth. Te recomendamos la aplicación de Calendario de Google [Web/iOS/Android] como la más segura que puedes utilizar con tu cuenta de G Suite.
- Si tu cuenta de G Suite está vinculada a la aplicación de calendario en iOS o Mac OS, y utiliza solo una contraseña para acceder, deberás quitar la cuenta de tu dispositivo y volver a agregarla. Cuando la vuelvas a agregar, selecciona “Acceder con Google” para usar OAuth automáticamente. Obtén más información en el Centro de ayuda.
- Contactos
- Si tu cuenta de G Suite sincroniza los contactos con iOS o Mac OS por medio de CardDAV y usa solo una contraseña para acceder, deberás quitar la cuenta. Cuando la vuelvas a agregar, seleccione “Acceder con Google” para usar OAuth automáticamente. Obtén más información en el centro de ayuda.
- Si tu cuenta de G Suite sincroniza los contactos con cualquier otra plataforma o aplicación por medio de CardDAV y usa solo una contraseña para acceder, camba a un método que admita OAuth.
- Otras aplicaciones menos seguras
- Si usas otras aplicaciones en iOS o Mac OS que acceden a la información de tu cuenta de G Suite solo con una contraseña, podrás resolver la mayoría de los problemas de acceso quitando tu cuenta y volviendo a agregarla. Cuando la vuelvas a agregar, asegúrate de seleccionar Google como tipo de cuenta a fin de usar OAuth automáticamente.
- Con respecto a las demás LSA, comunícate con su administrador o pídele al desarrollador de la aplicación que utilizas que empiece a admitir OAuth.
- Si el desarrollador se niega a actualizar su aplicación, deberás cambiar a un cliente que ofrezca OAuth.
Vínculos útiles
Centro de ayuda – Cómo controlar el acceso a las aplicaciones menos seguras
Centro de ayuda – Cómo usar alternativas a las aplicaciones menos seguras
Centro de ayuda – Aplicaciones menos seguras y su Cuenta de Google
Centro de ayuda – Ver los eventos de Google Calendar en Apple Calendar
Centro de ayuda – Ver Contactos de Google en tu ordenador o dispositivo móvil
Centro de ayuda – Aplicar ajustes a los dispositivos móviles iOS
Centro de ayuda – ¿Qué es Google Sync?
Disponibilidad
Detalles del lanzamiento para todos los dominios
- Después del 15 de junio de 2020
- Los usuarios que intenten conectarse a una LSA por primera vez ya no podrán hacerlo. Aquí se incluyen las aplicaciones de terceros que permiten el acceso exclusivo con contraseña a los calendarios, los contactos y el correo electrónico de Google por medio de diferentes protocolos, como IMAP, CalDAV y CardDAV. Los usuarios que se hayan conectado a LSA antes de esta fecha podrán seguir usándolas hasta que se desactive la utilización de todas las LSA.
- La configuración de MDM de CalDAV o CardDAV ya no funcionará para los usuarios nuevos.
- Después del 15 de febrero de 2021
- Se desactivará el acceso a las LSA para todas las cuentas de G Suite.
- La configuración de MDM de CalDAV o CardDAV ya no funcionará para los usuarios existentes. Todos los usuarios existentes deberán volver a agregar sus Cuentas de Google si desean sincronizar los contactos, el calendario o el correo electrónico.
Ediciones de G Suite
- Disponible para todas las ediciones de G Suite
¿La función estará activada o desactivada de forma predeterminada?
Esta función estará ACTIVADA de forma predeterminada y no puede desactivarse.
