Verificar la identidad de los usuarios mediante sistemas de seguridad adicionales

Si sospechamos que una persona no autorizada está intentando acceder a la cuenta de un usuario, se solicita a esa persona que responda a una pregunta de seguridad adicional o que verifique su identidad. Por ejemplo, podríamos enviar un código de verificación al teléfono del propietario real de la cuenta. Si la persona no puede responder a la pregunta de seguridad ni verificar su identidad, no podrá acceder a la cuenta.

Mostrar todo   |   Ocultar todo

Métodos de verificación de la identidad

Para determinar cuál es la manera más adecuada de verificar la identidad de un usuario concreto, tenemos en cuenta distintos factores de seguridad.

Verificación de la identidad con dispositivos móviles
  • Un mensaje en el que se pide a los usuarios que toquen y, a continuación, un número en su teléfono. 
  • Un SMS o una llamada al dispositivo de recuperación de los usuarios, en los que se proporcionan un código de verificación e instrucciones para acceder a su cuenta. 

Si tu organización utiliza la gestión de puntos finales de Google, podemos pedir a los usuarios que verifiquen su identidad a través de sus dispositivos móviles gestionados; es decir, los dispositivos con los que acceden habitualmente a su cuenta de empresa. Consulta más información en el artículo Administrar dispositivos con la gestión de puntos finales de Google.

Si solicitamos a los usuarios que verifiquen su identidad a través de su dispositivo móvil, verán una de estas pantallas:
Verificación de la identidad con IDs de empleado
Puedes verificar la identidad de tus usuarios con sus IDs de empleado, que son más difíciles de adivinar y suplantar que otros tipos de verificación. Si quieres usar este método, primero tienes que asegurarte de que cada cuenta de usuario tenga asociado uno de estos IDs. Para obtener más información, consulta el artículo Añadir IDs de empleado como método de verificación de la identidad
Cuando se solicite a los usuarios que verifiquen su identidad con este método, verán esta pantalla:
Verificación de la identidad con un correo de recuperación
Cuando se detecta un inicio de sesión sospechoso, se solicita al usuario que introduzca una dirección de correo alternativa (de recuperación) para verificar su identidad. En ese caso, el usuario verá esta pantalla:

Requisitos para usar la verificación de la identidad

Para que podamos verificar la identidad de los usuarios mediante un número de teléfono o una dirección de correo de recuperación, necesitamos que antes nos faciliten esta información. Cuando los usuarios inician sesión, se les muestra un mensaje en el que se les solicita que introduzcan su número de teléfono o la cuenta de correo electrónico de recuperación. Este mensaje aparece periódicamente hasta que nos proporcionan esos datos. Si utilizas la verificación de la identidad mediante IDs de empleado, asegúrate de que se hayan asociado IDs a las cuentas de tus usuarios. Consulta más información en el artículo Añadir IDs de empleado como método de verificación de la identidad.

Habilitar la verificación de la identidad con SSO

Muchos clientes recurren a proveedores de identidades externos para autenticar a los usuarios que utilizan el inicio de sesión único (SSO) mediante SAML. Esos proveedores de identidades autentican a los usuarios, a quienes no se les presenta ninguna verificación de la identidad basada en riesgo. Se ignora cualquier método de verificación en dos pasos de Google que esté configurado. Este es el comportamiento predeterminado.

Puedes definir una política para permitir que se usen pruebas de autenticación basada en riesgo adicionales y la verificación en dos pasos, si está configurada. Si Google recibe una aserción SAML válida (información de autenticación del usuario) del proveedor de identidades durante el inicio de sesión, se pueden presentar otras pruebas de verificación de identidad adicionales.

Cuándo puede ser interesante utilizar pruebas de verificación de la identidad adicionales con SSO
  • Quieres utilizar llaves de seguridad para proteger todo lo posible el acceso a los recursos sensibles alojados en Google y tu proveedor de identidades no las admite.
  • Quieres ahorrarte el coste de recurrir a un proveedor de identidades externo, ya que, en la mayoría de los casos, los usuarios acceden a recursos de Google.
  • No quieres emplear la autenticación de Google (es decir, no quieres usar Google como proveedor de identidades), pero sí aprovechar las opciones que ofrece Google para verificar la identidad en función del riesgo.
Qué ocurre cuando se implementan pruebas de verificación de la identidad adicionales
Para que la implementación transcurra sin problemas, informa a los usuarios sobre la nueva política y diles cuándo tienes previsto aplicarla. Esto es lo que sucederá si solicitas pruebas de verificación de identidad adicionales al iniciar sesión:
  • Si ya tienes políticas de verificación en dos pasos (por ejemplo, si la verificación en dos pasos es obligatoria), se aplicarán de inmediato.
  • A los usuarios afectados por la nueva política que tengan habilitada la verificación en dos pasos, se les solicitará que verifiquen su identidad al iniciar sesión.
  • Si Google determina que puede haber riesgo en un inicio de sesión, a los usuarios se les pueden presentar pruebas de verificación de la identidad basadas en riesgo al iniciar sesión.
Configurar la verificación posterior al SSO
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Procedimientos de verificación de la identidad.
  3. A la izquierda, selecciona la unidad organizativa en la que quieras definir la política.
    Si quieres aplicar la configuración a todos los usuarios, selecciona el nivel organizativo superior. En principio, las unidades organizativas heredan la configuración del elemento jerárquico superior.
  4. Haz clic en Verificación posterior al SSO.
  5. Selecciona Los inicios de sesión con SSO están sujetos a métodos de verificación adicionales (si corresponde) y a la verificación en dos pasos (si está configurada).
    Google creará una entrada en el registro de auditoría de la consola de administración para indicar el cambio de política. Con la nueva política, Google podrá presentar pruebas de verificación de la identidad basadas en riesgo y solicitar la verificación en dos pasos, si está configurada. De forma predeterminada, no se presentarán pruebas adicionales.
  6. Abajo a la derecha, haz clic en Guardar.

Preguntas frecuentes

Preguntas de seguridad y pruebas de verificación de la identidad adicionales  |  Verificación mediante número de teléfono  |  Inhabilitar la verificación de la identidad  |  Administradores

Preguntas de seguridad y pruebas de verificación de la identidad adicionales

¿Cuándo se solicita a los usuarios que respondan a preguntas de seguridad o verifiquen su identidad?

Se pide a los usuarios que verifiquen su identidad cuando se detectan inicios de sesión sospechosos; por ejemplo, cuando no siguen los patrones de inicio de sesión habituales. 

Importante: Para determinar cuál es la manera más adecuada de verificar la identidad de un usuario concreto, tenemos en cuenta distintos factores de seguridad y usabilidad. Por ejemplo, aunque hayas activado la verificación de la identidad mediante un ID de empleado, puede que no siempre se use este método.

Como administrador, ¿puedo elegir qué método de verificación de la identidad mostrar a mis usuarios?

La verificación en dos pasos es un tipo de verificación de la identidad. Como administrador, puedes hacer que su activación sea obligatoria para tus usuarios. Si lo haces, a los usuarios no se les presentará ninguna otra prueba de verificación de la identidad basada en riesgo.

Si no implementas obligatoriamente la verificación en dos pasos para tus usuarios, o si un usuario no la tiene activada, Google decidirá qué método es el más adecuado para verificar su identidad. Para determinar qué método de verificación es el más adecuado, se tienen en cuenta varios factores de seguridad y usabilidad. Por ejemplo, aunque hayas activado la verificación de la identidad mediante un ID de empleado, puede que no siempre se use este método.

¿Pueden los usuarios cambiar su información de recuperación?

Sí. Para obtener más información, consulta el artículo Proporcionar un número de teléfono o una dirección de correo electrónico de recuperación 

Si ya utilizamos la verificación en dos pasos, ¿por qué necesitamos la verificación de la identidad?

La verificación en dos pasos es un tipo de verificación de la identidad. Cuando los usuarios la tienen activada, no reciben ninguna otra solicitud de verificación. Por este mismo motivo, en los informes del administrador, los procedimientos de verificación en dos pasos se muestran como eventos de verificación de la identidad.​.​

¿Cómo funciona la verificación de la identidad si tengo habilitado el SSO?

De forma predeterminada, la verificación de la identidad no está habilitada en las organizaciones que utilizan el SSO. No obstante, con el ajuste "Verificación posterior al SSO" de la consola de administración, puedes definir una política para hacer pruebas de autenticación basada en riesgo adicionales y solicitar la verificación en dos pasos, si está configurada.

¿Está disponible esta función en las ediciones Education?

Sí, todas las ediciones de Google Workspace incluyen preguntas de seguridad y pruebas de verificación de la identidad adicionales.

¿Cuándo se considera que un intento de inicio de sesión es sospechoso?

Consideramos que un inicio de sesión es sospechoso cuando nuestro sistema de análisis de riesgos lo identifica como un intento que no entra dentro del patrón de comportamiento habitual del usuario. Por ejemplo, cuando se intenta iniciar sesión desde una ubicación inusual o de una forma que se suele asociar a un uso inadecuado del servicio.

Verificación mediante número de teléfono

Si mis usuarios no tienen un teléfono de empresa, ¿hay algún otro método para verificar sus cuentas?

Sí, hay diferentes métodos para verificar la identidad. En función de la información que haya disponible en las cuentas de los usuarios, se les presenta un método u otro para verificar su identidad; por ejemplo, se les puede solicitar que introduzcan su ID de empleado o una dirección de correo de recuperación. Los usuarios que no tienen acceso a su teléfono pueden utilizar códigos de verificación alternativos para iniciar sesión. Para obtener más información, consulta el artículo Iniciar sesión utilizando códigos de verificación alternativos.

¿Cómo pueden los usuarios cambiar la dirección de correo electrónico o el número de teléfono de recuperación asociados a su cuenta?

Los usuarios pueden cambiar la información de recuperación en la configuración de su cuenta.

¿Pueden los usuarios optar por verificar su identidad con otro método que no sea el teléfono de recuperación?

Si los usuarios no han facilitado ningún número de teléfono de recuperación, pueden verificar su identidad de otros modos; por ejemplo, introduciendo su dirección de correo de recuperación o su ID de empleado.

Inhabilitar la verificación de la identidad

Si un usuario no consigue verificar su identidad, ¿puedo inhabilitar la verificación?

En algunas situaciones, un usuario autorizado no puede verificar su identidad. Por ejemplo, es posible que no tenga cobertura en el teléfono y no pueda recibir el código de verificación. O puede que no recuerde o no encuentre su ID de empleado.

En estos casos, ten en cuenta que, como administrador, tienes la opción de desactivar temporalmente la verificación de la identidad para que pueda iniciar sesión:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Usuarios.
  3. Haz clic en la fila de la cuenta del usuario para ver su página de información.
  4. Haz clic en Seguridad.
  5. Haz clic en Verificación de la identidad.
  6. Haz clic en Desactivar durante 10 minutos.

Este cambio puede tardar varios minutos en aplicarse en la cuenta del usuario. En ese momento, la verificación de la identidad se desactivará durante 10 minutos para que el usuario pueda iniciar sesión. 

Nota: También puedes cambiar la contraseña del usuario para concederle acceso a una sesión que está bloqueada porque no ha podido verificar su identidad.

¿Puedo desactivar la verificación de la identidad en mi organización?

No, no puedes desactivar esta función en toda tu organización. Solo puedes desactivarla temporalmente a nivel de usuario.

¿Puede un usuario desactivar él mismo esta función en la configuración de su cuenta?

No, solo los administradores pueden desactivar la verificación de la identidad temporalmente.

Verificación de la identidad de administradores

¿Cómo puede volver a entrar en su cuenta un administrador que no puede verificar su identidad?

Como administrador, puedes saltarte la verificación de la identidad y volver a tener acceso a tu cuenta cambiando la contraseña. En la parte inferior de la pantalla Verificación de la identidad, haz clic en el enlace Cambia tu contraseña.

¿Qué ocurre si un superadministrador no puede verificar su identidad?

Si un superadministrador no puede verificar su identidad, otro superadministrador (si lo hubiera) puede desactivar temporalmente la verificación de la identidad del primero siguiendo los pasos descritos más arriba.

Como solución alternativa, el superadministrador puede omitir la verificación de la identidad cambiando su contraseña. En la parte inferior de la pantalla Verificación de la identidad, haz clic en el enlace Cambia tu contraseña.

Nota: La opción de cambiar la contraseña automáticamente no está disponible para todos los superadministradores. Para obtener más información sobre la recuperación de una cuenta de administrador, consulta el artículo Añadir opciones de recuperación a una cuenta de administrador.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.