Verificar la identidad de los usuarios mediante sistemas de seguridad adicionales

Si sospechamos que una persona no autorizada está intentando acceder a la cuenta de un usuario, se solicita a esa persona que responda a una pregunta de seguridad adicional o que verifique su identidad. Por ejemplo, es posible que se envíe un código de verificación al teléfono del propietario real de la cuenta. Si la persona no puede responder a la pregunta ni verificar su identidad, no podrá acceder a la cuenta.

Tipos de verificación de la identidad

En Google, decidimos qué tipo de verificación se presenta a los usuarios en función de múltiples factores de seguridad.

Métodos de verificación en dispositivos móviles

  • Un mensaje en el que se pide a los usuarios que toquen y, a continuación, un número en su teléfono. 
  • Un SMS o una llamada al dispositivo de recuperación de los usuarios, en los que se proporcionan un código de verificación e instrucciones para acceder a su cuenta. 

Si tu organización utiliza la Gestión de Dispositivos Móviles de Google, es posible que verifiquemos la identidad de los usuarios a través de sus dispositivos móviles gestionados; es decir, los dispositivos con los que acceden habitualmente a su cuenta de empresa. Para obtener más información sobre la Gestión de Dispositivos Móviles de Google, consulta el artículo Gestionar los dispositivos móviles de una organización.

Si solicitamos a los usuarios que verifiquen su identidad a través de su dispositivo móvil, verán una de estas pantallas:

Verificación de la identidad con IDs de empleado

Puedes utilizar IDs de empleado para verificar la identidad de tus usuarios. Los ID de empleado son más difíciles de adivinar y suplantar que muchos otros tipos de verificación. Si quieres usar este método, primero tienes que asegurarte de que cada cuenta de usuario tenga asociado uno de estos ID. Para obtener más información, consulta el artículo Añadir IDs de empleado como método de verificación de la identidad
Cuando se solicite a los usuarios que verifiquen su identidad con este método, verán esta pantalla:

Verificación de la identidad mediante una dirección de correo electrónico de recuperación

Cuando se detecta un inicio de sesión sospechoso, se solicita al usuario que introduzca una dirección de correo electrónico alternativa (de recuperación) para acceder a la cuenta. En este caso, el usuario verá esta pantalla:

Antes de utilizar la verificación de la identidad 

Para que podamos verificar la identidad de los usuarios mediante un número de teléfono o dirección de correo electrónico de recuperación, necesitamos que nos faciliten antes esta información. Cuando los usuarios inician sesión, se les muestra un mensaje en el que se les solicita que introduzcan su número de teléfono o la cuenta de correo electrónico de recuperación. Este mensaje aparece periódicamente hasta que nos proporcionan estos datos. Si utilizas la verificación de la identidad mediante IDs de empleado, asegúrate de que se hayan asociado IDs a las cuentas de tus usuarios. Para obtener más información, consulta el artículo Añadir IDs de empleado como método de verificación de la identidad.

Habilitar la verificación de identidad mediante SSO

Muchos clientes recurren a proveedores de identidades externos para autenticar a los usuarios que utilizan el inicio de sesión único (SSO) a través de SAML. El proveedor de identidades externo autentica a los usuarios, a quienes no se les presenta ningún método adicional de verificación de la identidad. Se omite la configuración de verificación en dos pasos de Google. Este es el comportamiento predeterminado.

Puedes definir una política para permitir que se apliquen verificaciones de autenticación adicionales en función del riesgo y la verificación en dos pasos, si está configurada. Si Google recibe una confirmación SAML válida (información de autenticación del usuario) del proveedor de identidades durante el inicio de sesión, se pueden presentar otras verificaciones de identidad adicionales.

Aplicaciones prácticas de las verificaciones de identidad adicionales con SSO

  • Quieres utilizar llaves de seguridad para proteger todo lo posible el acceso a los recursos sensibles alojados por Google y tu proveedor de identidades actual no las admite.
  • Quieres ahorrarte el coste de recurrir a un proveedor de identidades externo, ya que, en la mayoría de los casos, los usuarios acceden a los recursos de Google.
  • No quieres emplear la autenticación de Google (Google como proveedor de identidades), pero sí aprovechar las opciones que Google ofrece para verificar la identidad en función del riesgo.

Qué ocurre cuando se aplican verificaciones de identidad adicionales

Para que la implementación transcurra de forma fluida, informa a los usuarios sobre la nueva política y diles cuándo tienes previsto aplicarla. Esto es lo que ocurrirá si aplicas verificaciones de identidad adicionales:
  • Si ya tienes políticas de verificación en dos pasos, se aplicarán de inmediato.
  • A los usuarios afectados por la nueva política y que tengan habilitada la verificación en dos pasos, se les aplicará al iniciar sesión.
  • Además, según el análisis de riesgos de inicio de sesión de Google, es posible que los usuarios vean verificaciones adicionales en función del riesgo.

Configurar la verificación posterior al SSO

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Procedimientos de verificación de la identidad.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. A la izquierda, selecciona la unidad organizativa en la que quieras definir la política.
    Si quieres aplicar la configuración a todos los usuarios, selecciona el nivel organizativo superior. Inicialmente, las unidades organizativas heredan la configuración del elemento jerárquico superior.
  4. Selecciona Los inicios de sesión con SSO están sujetos a métodos de verificación adicionales.
    Google creará una entrada en el registro de auditoría de administración para indicar el cambio en la política. Con la nueva política, Google podrá presentar las verificaciones de autenticación en función del riesgo y la verificación en dos pasos, si está configurada. El valor predeterminado es omitir la verificación adicional.
  5. Abajo a la derecha, haz clic en Guardar.

Preguntas frecuentes

Métodos de verificación de la identidad y preguntas adicionales  |  Verificación mediante número de teléfono  |  Inhabilitar la verificación de la identidad  |  Administradores

Métodos de verificación de la identidad y preguntas adicionales

¿Cuándo se solicita a los usuarios que respondan a preguntas o verifiquen su identidad?

Se pide a los usuarios que verifiquen su identidad cuando se detectan inicios de sesión sospechosos; por ejemplo, cuando no siguen los patrones de inicio de sesión habituales. 

Importante: Decidimos qué tipo de verificación se presenta a los usuarios en función de varios factores de seguridad y usabilidad. Por ejemplo, puede que no siempre se presente la verificación de la identidad con un ID profesional, aunque hayas activado la opción correspondiente.

¿Pueden los usuarios cambiar su información de recuperación?

Sí. Para obtener más información, consulta el artículo Proporcionar un número de teléfono o una dirección de correo electrónico de recuperación 

Ya utilizamos la verificación en dos pasos, ¿por qué necesitamos la verificación de la identidad?

La verificación en dos pasos es un tipo de verificación de la identidad, por lo que si tus usuarios la tienen activada, no recibirán ninguna otra solicitud de verificación. Por este mismo motivo, en los informes del administrador, los procedimientos de verificación en dos pasos se muestran como eventos de verificación de la identidad.

¿Cómo funciona la verificación de la identidad si tengo habilitado el inicio de sesión único?

De forma predeterminada, la verificación de la identidad no está habilitada en las organizaciones con inicio de sesión único (SSO). El ajuste Verificación posterior al SSO de la consola de administración permite definir una política para presentar verificaciones de autenticación adicionales en función del riesgo y la verificación en dos pasos, si está configurada.

¿Incluye G Suite para Centros Educativos esta función?

Sí, todas las ediciones de G Suite incluyen preguntas de seguridad y la verificación de la identidad.

¿Cuándo se considera que un intento de inicio de sesión es sospechoso?

Consideramos que un inicio de sesión es sospechoso cuando nuestro sistema de análisis de riesgos lo identifica como un intento que no entra dentro del patrón de comportamiento habitual del usuario. Por ejemplo, cuando se intenta iniciar sesión desde una ubicación inusual o de una forma que se suele asociar a un uso inadecuado del servicio.

Verificación mediante número de teléfono

Si los usuarios de mi organización no disponen de un teléfono de empresa, ¿existe otro método para verificar sus cuentas?

Sí, hay distintos métodos de verificación. En función de la información que haya disponible en sus cuentas, se presenta a los usuarios un método u otro para verificar su identidad; por ejemplo, quizá se les solicita introducir el ID de empleado o una dirección de correo electrónico de recuperación. Los usuarios que no tienen acceso a su teléfono pueden usar códigos de seguridad para iniciar sesión. Para obtener más información, consulta el artículo Iniciar sesión mediante códigos de seguridad.

¿Cómo pueden los usuarios cambiar la dirección de correo electrónico o el número de teléfono de recuperación asociados a su cuenta?

Los usuarios pueden cambiar la información de recuperación en la configuración de su cuenta.

¿Pueden los usuarios optar por verificar otros datos en lugar del número de teléfono?

Si los usuarios no han facilitado ningún número de teléfono de recuperación, pueden verificar su identidad de otros modos; por ejemplo, introduciendo su dirección de correo de recuperación o su ID de empleado.

Inhabilitar la verificación de la identidad

Si un usuario no consigue verificar su identidad, ¿puedo inhabilitar la verificación?

En algunas situaciones, un usuario autorizado no puede verificar su identidad. Por ejemplo, es posible que no tenga cobertura en el teléfono y no pueda recibir el código de verificación, o bien no recuerde o no encuentre su ID de empleado.

Si esto ocurre, como administrador, tienes la posibilidad de desactivar temporalmente la verificación de la identidad para que pueda iniciar sesión:

  1. Inicia sesión en la consola de administración de Google
  2. Localiza la cuenta del usuario.
  3. Haz clic en la fila de la cuenta del usuario para ver su página de información.
  4. Haz clic en Seguridad.
  5. Haz clic en Verificación de la identidad.
  6. Haz clic en Desactivar durante 10 minutos.

Este cambio puede tardar varios minutos en aplicarse en la cuenta del usuario. En ese momento, la verificación de la identidad se desactivará durante 10 minutos para que el usuario pueda iniciar sesión. 

También puedes cambiar la contraseña del usuario para concederle acceso a una sesión que está bloqueada porque no ha podido verificar su identidad.

¿Puedo desactivar la verificación de la identidad en mi organización?

No, no puedes desactivar esta función en toda tu organización. Solo puedes desactivarla temporalmente a nivel de usuario.

¿Puede el usuario desactivar él mismo esta función en la configuración de su cuenta?

No, solo los administradores pueden desactivar la verificación de la identidad temporalmente.

Verificación de la identidad de administradores

¿Qué debe hacer para volver a entrar en su cuenta un administrador que no puede verificar su identidad?

Como administrador, puedes omitir la verificación y volver a obtener acceso a tu cuenta cambiando la contraseña. En la parte inferior de la pantalla Verificación de la identidad, haz clic en el enlace Cambia tu contraseña.

¿Qué ocurre si un superadministrador no puede verificar su identidad?

Si un superadministrador no puede verificar su identidad, otro superadministrador (si lo hubiera) puede desactivar temporalmente la verificación de la identidad del primero siguiendo los pasos descritos más arriba.

Como solución alternativa, el superadministrador puede omitir la verificación de la identidad cambiando su contraseña. En la parte inferior de la pantalla Verificación de la identidad, haz clic en el enlace Cambia tu contraseña.

Nota: La opción de cambiar la contraseña automáticamente no está disponible para todos los superadministradores. Para obtener más información sobre la recuperación de una cuenta de administrador, consulta el artículo Añadir opciones de recuperación a una cuenta de administrador.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?