Google Cloud está preparado para hacer que la autenticación multifactor (MFA) sea obligatoria para todos los usuarios para 2025, una medida destinada directamente a reforzar la seguridad en respuesta a las crecientes amenazas cibernéticas. A partir de este mes, Google implementará recordatorios y recursos, instando a los clientes a adoptar MFA. Este plan de aplicación gradual subraya una tendencia más amplia de la industria: cuando se trata de seguridad, depender únicamente de contraseñas es cosa del pasado.
¿Por qué Google exige MFA en Google Cloud?
La motivación detrás del impulso de Google por la MFA es clara. Las infracciones cibernéticas están aumentando y las prácticas de seguridad débiles están en el centro de estos ataques. Solo en 2024, se robaron más de mil millones de registros en diversas infracciones. Entre ellos se destacaron los incidentes en Change Healthcare y Snowflake, donde datos confidenciales quedaron expuestos debido a credenciales comprometidas que carecían de MFA. La decisión de Google indica un reconocimiento de que los riesgos de ciberseguridad han superado las medidas de protección tradicionales.
Mayank Upadhyay, vicepresidente de ingeniería de Google, presentado La postura de Google es clara: «Dada la naturaleza sensible de las implementaciones en la nube, y dado que el phishing y las credenciales robadas siguen siendo uno de los principales vectores de ataque observados por nuestro equipo de Mandiant Threat Intelligence, creemos que es hora de exigir 2SV para todos los usuarios de Google Cloud». Al hacer cumplir MFA, Google está aumentando los riesgos para la seguridad de las cuentas, lo que refleja una mentalidad de que la resiliencia cibernética ahora requiere algo más que contraseñas seguras.
Cómo planea Google implementar MFA para los usuarios de la nube
Google no activará un interruptor de la noche a la mañana. En cambio, está implementando la MFA obligatoria en fases, dando tiempo a los usuarios y a las empresas para adaptarse. Esto es lo que puede esperar en cada fase:
- Fase 1 (noviembre de 2024): estímulo para habilitar la MFA:
Google ha comenzado a incorporar recordatorios y orientación en la consola de Google Cloud, alentando a los usuarios a configurar MFA voluntariamente. Hay recursos disponibles para ayudar a los equipos a planificar, realizar pruebas y garantizar una implementación de MFA sin problemas. Esta fase sienta las bases, genera conciencia y facilita a los clientes lo que eventualmente se convertirá en un requisito.
- Fase 2 (principios de 2025) – MFA se vuelve obligatorio para inicios de sesión basados en contraseña:
A principios de 2025, Google comenzará a exigir MFA a todos los usuarios de Google Cloud que inicien sesión con una contraseña. Este requisito se extiende a las plataformas de Google como Firebase y gCloud, lo que significa que los usuarios deben verificar su identidad con un segundo método de autenticación, ya sea una clave de seguridad, una autenticación basada en aplicaciones o una verificación biométrica.
- Fase 3 (finales de 2025) – Ampliación de MFA a usuarios federados:
Para finales de 2025, el mandato MFA de Google llegará a los usuarios federados (aquellos que inician sesión a través de proveedores de identidad externos). Esta fase garantiza que, independientemente del método de inicio de sesión, las cuentas de Google Cloud estén protegidas por una capa de seguridad adicional. Para las organizaciones que utilizan proveedores de identidad, el requisito MFA de Google agrega una capa de defensa adicional y unificada en todos los puntos de acceso.
La implementación gradual brinda a los usuarios la oportunidad de integrar MFA sin interrumpir las operaciones, lo que les da tiempo para educar a los equipos y garantizar el cumplimiento dentro de su flujo de trabajo.
La medida de Google sigue las tendencias de la industria en seguridad
Este cambio de Google se alinea con movimientos recientes de gigantes de la nube como AWS y Microsoft. AWS comenzó a aplicar la MFA en junio de 2024, y Azure de Microsoft pronto hizo lo mismo. Con Google Cloud uniéndose a la tendencia, está claro que la industria tecnológica se está uniendo en torno a MFA como el nuevo estándar para la seguridad en la nube. Para los usuarios de Google Cloud, este cambio puede parecer retrasado, considerando el amplio historial de la empresa en innovaciones de seguridad.
Si bien las cuentas de Google para consumidores ofrecen desde hace tiempo MFA opcional, lo que está en juego es diferente en el mundo empresarial. Las cuentas comerciales suelen albergar datos críticos y confidenciales, lo que las convierte en objetivos principales para los ciberataques. En reconocimiento de estos riesgos elevados, Google está trazando una línea y exige que los usuarios empresariales fortalezcan sus cuentas. Como observó Upadhyay, «hoy en día, los usuarios adoptan ampliamente la 2SV en todos los servicios de Google», pero dado el nivel de acceso y datos involucrados, la aplicación obligatoria era «inevitable».
MFA: ¿Qué impulsa el impulso hacia una autenticación más sólida?
El impulso a la MFA surge de una realidad que la mayoría de las personas y las empresas ya conocen: las contraseñas no son suficientes. Dado que los ciberataques son cada vez más avanzados y apuntan a las debilidades de la infraestructura digital, MFA ha demostrado ser uno de los métodos más eficaces para prevenir el acceso no autorizado.
Los estudios subrayan la eficacia del MFA. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), MFA reduce la probabilidad de que la cuenta se vea comprometida en un 99 %. Requiere que los usuarios confirmen su identidad con una segunda forma de verificación, un paso adicional que a menudo detiene a los atacantes que ya obtuvieron una contraseña.
Las recientes violaciones de datos han servido como advertencia. Por ejemplo, Snowflake enfrentó una infracción que filtró datos privados de clientes como Ticketmasterdestacando cómo la falta de MFA hace vulnerables incluso a las organizaciones grandes. El mandato de Google pretende colmar estas lagunas y sienta un precedente a seguir por otros.
Qué significa esto para los usuarios de Google Cloud
Para las empresas y las personas que dependen de Google Cloud, la MFA obligatoria significa tomarse en serio los ajustes de seguridad. Se recomienda la adopción temprana, especialmente para empresas que administran múltiples cuentas de usuario. Google proporciona recursos dentro de su consola en la nube, guiando a los usuarios a través de la configuración de MFA, la planificación de la implementación y la educación del equipo.
La buena noticia es que los usuarios tienen opciones. Google Cloud permite una variedad de métodos MFA, desde aplicaciones de autenticación y códigos SMS hasta claves de seguridad físicas. Mientras tanto, los usuarios federados pueden trabajar con sus proveedores de identidad principales para integrar MFA, lo que les permite mantener un proceso de inicio de sesión optimizado.
El cronograma gradual ofrece cierto grado de flexibilidad. Las organizaciones pueden aprovechar este tiempo para garantizar que las políticas de MFA cumplan con las normas y sean prácticas, minimizando las interrupciones. Los recursos de Google apuntan a facilitar esta transición, pero las organizaciones deberían comenzar a prepararse ahora para evitar obstáculos de último momento.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
