Verificación en dos pasos

Proteger cuentas de Google Workspace con pruebas de seguridad

Las pruebas de seguridad son una medida de seguridad adicional para verificar la identidad de un usuario. Hay dos tipos de pruebas de seguridad:

  • Verificación de la identidad: si sospechamos que un usuario no autorizado está intentando iniciar sesión en una cuenta de Google Workspace, se le pide que verifique su identidad. Si el usuario no puede introducir la información solicitada, no se le permite que inicie sesión en la cuenta.
  • Verificación de que el usuario es quien dice ser: si un usuario está intentando realizar acciones que se consideran sensibles, le pedimos que verifique que es quien dice ser . Si el usuario no puede introducir la información solicitada, no se le permite que realice la acción en cuestión, pero sí puede seguir usando su cuenta como de costumbre.

Requisitos para usar las pruebas de seguridad

Asegúrate de que tus cuentas de Google Workspace tengan la información que necesitamos:

  • Recuerda a los empleados que añadan a su cuenta un número de teléfono y una dirección de correo de recuperación. Les pediremos periódicamente que indiquen esos datos cuando inicien sesión en sus cuentas.
  • Añade IDs de empleado a tus cuentas de usuario. Consulta el artículo Añadir IDs de empleado como método de verificación de la identidad.

Mostrar todo   |   Ocultar todo

Métodos de verificación de la identidad

El usuario confirma su identidad con el dispositivo móvil
 

El usuario elige cómo verificar su identidad


Google utiliza una aplicación instalada en el teléfono del usuario para confirmar su identidad


Google envía un mensaje de texto con un código de verificación al usuario 


 Google llama al teléfono del usuario y le proporciona un código de verificación

El usuario introduce su ID de empleado
Si has añadido el ID de empleado como método de verificación de la identidad, los usuarios pueden usarlo para confirmar su identidad.
El usuario introduce su correo de recuperación
Para verificar la identidad, los usuarios pueden introducir una dirección de correo electrónico de recuperación. 

Verificación de que el usuario es quien dice ser si realiza acciones sensibles

Si un usuario de Google Workspace intenta realizar una acción sensible, a veces se le pide que verifique que es quien dice ser. Si el usuario no puede indicar la información solicitada, Google no permitirá que se lleve a cabo la acción sensible.

"Acción sensible bloqueada"

A la mayoría de los usuarios a los que se les pide que verifiquen que son quienes dicen ser cuando van a realizar una acción sensible, se les muestra una ventana con el título Acción sensible bloqueada. Se les pide que vuelvan a intentarlo desde un dispositivo que utilicen normalmente, como su teléfono u ordenador, o en una ubicación desde la que suelan iniciar sesión normalmente.

"No se puede completar la acción en este momento"

Si un usuario ha añadido recientemente a su cuenta un dispositivo o una llave de seguridad, no podrá verificar su identidad de inmediato en respuesta a una prueba de seguridad. En ese caso, se le muestra una ventana con el título No se puede completar la acción en este momento. El usuario podrá verificar su identidad cuando el dispositivo, número de teléfono o llave de seguridad en cuestión lleve al menos 7 días asociado a su cuenta.

Ejemplos de acciones sensibles

A continuación se muestran algunos ejemplos de acciones sensibles:

  • Inhabilitar la verificación en dos pasos
  • Permitir que una aplicación acceda a datos de Google
  • Cambiar la dirección de correo o el número de teléfono para la recuperación de la cuenta
  • Descargar datos de la cuenta
  • Cambiar el nombre de la cuenta

Habilitar la verificación de la identidad con SSO

Si tu organización utiliza un proveedor de identidades (IdP) externo para autenticar a los usuarios del inicio de sesión único (SSO) mediante SAML, puedes mostrarles verificaciones de la identidad basadas en riesgo adicionales, así como aplicar la verificación en dos pasos (si está configurada), después de que el IdP autentique a un usuario durante el inicio de sesión.

El ajuste predeterminado de la verificación posterior al SSO depende del tipo de usuario del SSO:

  • En el caso de los usuarios que inician sesión con el perfil de SSO de tu organización, el ajuste predeterminado es ignorar las verificaciones de la identidad adicionales y la verificación en dos pasos.
  • En el caso de los usuarios que inician sesión con otros perfiles de SSO, el ajuste predeterminado es aplicar métodos de verificación de la identidad adicionales y la verificación en dos pasos.

Para cambiar la configuración predeterminada de cada tipo de usuario, sigue los pasos que se indican más abajo, en la sección Configurar la verificación posterior al SSO .

Cuándo puede ser interesante utilizar pruebas de verificación de la identidad adicionales con SSO
  • Quieres utilizar llaves de seguridad para proteger todo lo posible el acceso a los recursos sensibles alojados en Google y tu proveedor de identidades no las admite.
  • Quieres ahorrarte el coste de recurrir a un proveedor de identidades externo, ya que, en la mayoría de los casos, los usuarios acceden a recursos de Google.
  • No quieres emplear la autenticación de Google (es decir, no quieres usar Google como proveedor de identidades), pero sí aprovechar las opciones que ofrece Google para verificar la identidad en función del riesgo.
  • Quieres que Google proteja las acciones sensibles dentro del ecosistema de Google.
Qué ocurre cuando se implementan pruebas de verificación de la identidad adicionales
Para que la implementación transcurra sin problemas, informa a los usuarios sobre la nueva política y diles cuándo tienes previsto aplicarla. Esto es lo que sucederá si solicitas pruebas de verificación de identidad adicionales al iniciar sesión:
  • Si ya tienes políticas de verificación en dos pasos (por ejemplo, si la verificación en dos pasos es obligatoria), se aplicarán de inmediato.
  • A los usuarios afectados por la nueva política que tengan habilitada la verificación en dos pasos, se les solicitará que verifiquen su identidad al iniciar sesión.
  • Si Google determina que puede haber riesgo en un inicio de sesión, a los usuarios se les pueden presentar pruebas de verificación de la identidad basadas en riesgo al iniciar sesión.
Configurar la verificación posterior al SSO
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAutenticacióny luegoProcedimientos de verificación de la identidad.
  3. A la izquierda, selecciona la unidad organizativa en la que quieras definir la política.

    Si quieres aplicar la configuración a todos los usuarios, selecciona el nivel organizativo superior. En principio, las unidades organizativas heredan la configuración del elemento jerárquico superior.

  4. Haz clic en Verificación posterior al SSO.
  5. Elige los ajustes en función de cómo utilices los perfiles de SSO de tu organización. Puedes aplicar un ajuste a los usuarios que utilizan el perfil de SSO de tu organización y a los que inician sesión con otros perfiles de SSO.
  6. Abajo a la derecha, haz clic en Guardar.

    Google creará una entrada en el registro de auditoría de la consola de administración para indicar cualquier cambio en la política.

Nota: En casos excepcionales, es posible que los datos de eventos de registro no se muestren para todos los eventos. Estamos trabajando para resolver este problema.

Preguntas frecuentes

Preguntas de seguridad y pruebas de verificación de la identidad adicionales  |  Verificación mediante número de teléfono  |  Inhabilitar la verificación de la identidad  |  Administradores

Preguntas de seguridad y pruebas de verificación de la identidad adicionales

¿Cuándo se pide a un usuario que realice una prueba de seguridad?

Se pide a los usuarios que verifiquen su identidad cuando se detectan inicios de sesión sospechosos; por ejemplo, cuando no siguen los patrones de inicio de sesión habituales. Se pide a los usuarios que verifiquen que son quienes dicen ser cuando intentan realizar una acción sensible.

Importante: Para determinar cuál es el tipo de prueba de seguridad más adecuado para un usuario concreto, tenemos en cuenta distintos factores de seguridad y usabilidad. Por ejemplo, aunque hayas activado la verificación de la identidad mediante un ID de empleado, puede que no siempre se use este método.

Como administrador, ¿puedo elegir qué método de verificación de la identidad mostrar a mis usuarios?

La verificación en dos pasos es un tipo de verificación de la identidad. Como administrador, puedes hacer que su activación sea obligatoria para tus usuarios. Si lo haces, a los usuarios no se les presentará ninguna otra prueba de verificación de la identidad basada en riesgo.

Si no implementas obligatoriamente la verificación en dos pasos para tus usuarios, o si un usuario no la tiene activada, Google decidirá qué método es el más adecuado para verificar su identidad. Para determinar qué método de verificación es el más adecuado, se tienen en cuenta varios factores de seguridad y usabilidad. Por ejemplo, aunque hayas activado la verificación de la identidad mediante un ID de empleado, puede que no siempre se use este método.

¿Pueden los usuarios cambiar su información de recuperación?

Sí. Para obtener más información, consulta el artículo Proporcionar un número de teléfono o una dirección de correo electrónico de recuperación 

Si ya utilizamos la verificación en dos pasos, ¿por qué necesitamos la verificación de la identidad?

La verificación en dos pasos es un tipo de verificación de la identidad. Cuando los usuarios la tienen activada, no reciben ninguna otra solicitud de verificación. Por este mismo motivo, en los informes del administrador, los procedimientos de verificación en dos pasos se muestran como eventos de verificación de la identidad.​.​

¿Cómo funciona la verificación de la identidad si tengo habilitado el inicio de sesión único?

Depende de cómo hayas configurado el SSO en tu organización:

  • Si has configurado un perfil de SSO para tu organización: de forma predeterminada, la verificación de la identidad no está habilitada. No obstante, puedes configurar la verificación posterior al SSO para habilitar pruebas de autenticación basadas en riesgo adicionales y la verificación en dos pasos.
  • Si utilizas otro perfil de SSO: se implementan automáticamente las verificaciones de identidad adicionales (incluida la verificación en dos pasos, si se ha configurado).
¿Esta función está disponible en las ediciones Education?

Sí, todas las ediciones de Google Workspace incluyen preguntas de seguridad y pruebas de verificación de la identidad adicionales.

¿Cuándo se considera que un intento de inicio de sesión es sospechoso?

Consideramos que un inicio de sesión es sospechoso cuando nuestro sistema de análisis de riesgos lo identifica como un intento que no entra dentro del patrón de comportamiento habitual del usuario. Por ejemplo, cuando se intenta iniciar sesión desde una ubicación inusual o de una forma que se suele asociar a un uso inadecuado del servicio.

Verificación mediante número de teléfono

Si mis usuarios no tienen un teléfono de empresa, ¿hay algún otro método para verificar sus cuentas?

Sí, hay diferentes métodos para verificar la identidad. En función de la información que haya disponible en las cuentas de los usuarios, se les presenta un método u otro para verificar su identidad; por ejemplo, se les puede solicitar que introduzcan su ID de empleado o una dirección de correo de recuperación. Los usuarios que no tienen acceso a su teléfono pueden utilizar códigos de verificación alternativos para iniciar sesión. Para obtener más información, consulta el artículo Iniciar sesión utilizando códigos de verificación alternativos.

¿Cómo pueden los usuarios cambiar la dirección de correo electrónico o el número de teléfono de recuperación asociados a su cuenta?

Los usuarios pueden cambiar la información de recuperación en la configuración de su cuenta.

¿Pueden los usuarios optar por verificar su identidad con otro método que no sea el teléfono de recuperación?

Si los usuarios no han facilitado ningún número de teléfono de recuperación, pueden verificar su identidad de otros modos; por ejemplo, introduciendo su dirección de correo de recuperación o su ID de empleado.

Inhabilitar las verificaciones de identidad de un usuario

Si un usuario no consigue verificar su identidad, ¿puedo inhabilitar la verificación?

Sí, un administrador puede desactivar las verificaciones de identidad durante 10 minutos. 

En algunas situaciones, un usuario autorizado no puede verificar su identidad. Por ejemplo, es posible que no tenga cobertura en el teléfono y no pueda recibir el código de verificación. O puede que no recuerde o no encuentre su ID de empleado. Si esto ocurre, un superadministrador puede desactivar las verificaciones de identidad durante 10 minutos para que pueda iniciar sesión o llevar a cabo la acción sensible. Ten cuidado al desactivar las verificaciones de identidad, ya que la cuenta será menos segura frente a los accesos no autorizados durante esos 10 minutos.

¿Puedo desactivar las verificaciones de identidad en mi organización?

No, no puedes desactivar esta función en toda tu organización. Solo puedes desactivarla temporalmente a nivel de usuario.

¿Puede un usuario desactivar él mismo esta función en la configuración de su cuenta?

No, solo los administradores pueden desactivar la verificación de la identidad u otras pruebas de seguridad temporalmente.

Verificación de la identidad de administradores

¿Cómo puede volver a entrar en su cuenta un administrador que no puede verificar su identidad?

Como administrador, puedes recuperar el acceso a tu cuenta siguiendo las indicaciones de la página de inicio de sesión para cambiar la contraseña.

Si eres administrador de Google Workspace y tienes problemas para iniciar sesión en tu cuenta de administrador, consulta el artículo Recuperar el acceso de administrador a tu cuenta para obtener instrucciones.

¿Qué ocurre si un superadministrador no puede verificar su identidad?

Si un superadministrador no puede verificar su identidad, otro superadministrador (si lo hubiera) puede desactivar temporalmente la verificación de la identidad del primero siguiendo los pasos descritos más arriba.

Como solución alternativa, el superadministrador puede omitir la verificación de la identidad cambiando su contraseña.

Nota: La opción de cambiar la contraseña automáticamente no está disponible para todos los superadministradores. Para obtener más información sobre la recuperación de una cuenta de administrador, consulta el artículo Añadir opciones de recuperación a una cuenta de administrador.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
1322106839115380363
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false