Prácticas recomendadas de seguridad para proteger cuentas de administrador

Sigue las prácticas recomendadas que se indican en este artículo para mejorar la seguridad de tus cuentas de administrador y, por consiguiente, de tu empresa en general.

Proteger cuentas de administrador

Solicitar un segundo factor de autenticación al iniciar sesión en cuentas de administrador

Con la verificación en dos pasos puedes proteger cuentas administradas frente a accesos no autorizados incluso si alguien descubre una contraseña de administrador. Resulta especialmente importante añadir esta capa de seguridad a las cuentas de superadministrador, ya que con ellas se controla el acceso a todos los datos corporativos y de los empleados de la organización.

Aplicar la verificación en dos pasos mediante llaves de seguridad

La verificación en dos pasos puede completarse de varias maneras; por ejemplo, mediante llaves de seguridad, mensajes de Google, Google Authenticator o códigos de seguridad. Las llaves de seguridad son pequeños dispositivos de hardware con los que se puede realizar la autenticación de dos factores. Estos dispositivos sirven de protección frente a amenazas de suplantación de identidad y son el método más seguro de verificación en dos pasos.

No utilizar cuentas de superadministrador para llevar a cabo actividades rutinarias

Los superadministradores pueden gestionar todos los aspectos de la cuenta de tu empresa y cambiar la contraseña de otros usuarios.

Por este motivo, recomendamos que realicen las actividades rutinarias con una cuenta de usuario distinta. Solo deben iniciar sesión en su cuenta de superadministrador para llevar a cabo tareas específicas de superadministrador, como configurar la verificación en dos pasos o ayudar a otro administrador a recuperar su cuenta.

Cerrar sesión siempre en cuentas de superadministrador

Si inicias sesión en una cuenta de superadministrador para realizar tareas de administración y luego no la cierras, el riesgo de que se produzcan ataques de suplantación de identidad aumenta. Por este motivo, recomendamos que los superadministradores inicien sesión cuando deban hacer tareas concretas y cierren sesión una vez que hayan terminado.

Gestionar cuentas de superadministrador

Configurar varias cuentas de superadministrador

Recomendamos que las empresas tengan más de una cuenta de superadministrador, cada una de ellas gestionada por una persona diferente. De este modo, si se pierde una cuenta o se vulnera su seguridad, otro superadministrador puede hacer las tareas importantes mientras se recupera la otra cuenta.

Crear cuentas de superadministrador distintas

Si hay varios superadministradores y todos inician sesión con el mismo usuario (por ejemplo, admin@example.com), no podrás saber qué superadministrador ha realizado cada actividad que figura en el registro de auditoría. Por tanto, recomendamos que cada superadministrador tenga su propia cuenta de administrador.

Por ejemplo, si María y Juan son superadministradores, deberían tener una cuenta de superadministrador y otra de usuario cada uno. Por ejemplo:

  • admin-maria@example.com, maria@example.com
  • admin-juan@example.com, juan@example.com
Delegar tareas de administración rutinarias en cuentas de usuario

Para contribuir a que las cuentas de superadministrador solo se utilicen cuando sea necesario, puedes delegar tareas de administración habituales en cuentas de usuario. Por ejemplo, puedes dar permisos para cambiar contraseñas a una cuenta de usuario determinada, pero permitir que solo los superadministradores eliminen cuentas.

Al delegar privilegios de administrador, sigue el modelo de privilegios mínimos; es decir, da a las cuentas de usuario de los administradores acceso solo a los recursos y herramientas que necesitan para hacer sus tareas habituales.

Supervisar la actividad de cuentas de administrador

Configurar alertas de actividad de administradores por correo electrónico

Puedes supervisar la actividad de administradores y controlar los posibles riesgos de seguridad configurando alertas por correo electrónico para recibir notificaciones cuando se den determinadas situaciones; por ejemplo, cuando se produzcan intentos de inicio de sesión sospechosos, se vulneren dispositivos móviles u otro administrador haga cambios en la configuración.

Al activar las alertas de una actividad, recibes un correo electrónico cada vez que se produzca dicha actividad.

Revisar el registro de auditoría de la consola de administración

El registro de auditoría de la consola de administración es otra herramienta con la que puedes supervisar la actividad de administradores. En ella se muestra el historial de todas las tareas realizadas en la consola de administración de Google y se indica qué administrador las llevó a cabo, cuándo lo hizo y desde qué dirección IP se conectó.

Cuando se registran actividades de superadministradores, en la columna Descripción del evento aparece _SEED_ADMIN_ROLE seguido del nombre de usuario.

Prepararse para recuperar cuentas de administrador

Añadir opciones de recuperación a las cuentas de administrador

Recomendamos que los administradores añadan opciones de recuperación a su cuenta de administrador.

Si un administrador olvida su contraseña, puede hacer clic en el enlace ¿Necesitas ayuda? de la página de inicio de sesión para que Google le envíe una contraseña nueva por teléfono, mensaje de texto o correo electrónico. Para que Google pueda enviársela, el administrador debe haber incluido un número de teléfono y una dirección de correo electrónico de recuperación en la cuenta.

Recabar información para cambiar contraseñas

Si un superadministrador no puede cambiar su contraseña con las opciones de recuperación por correo electrónico o teléfono y no hay otro superadministrador que pueda cambiarla, puede ponerse en contacto con el servicio de asistencia de Google.

Para verificar la identidad del superadministrador, Google solicita la siguiente información sobre la cuenta de la organización:

  • La fecha en que se creó la cuenta
  • La dirección de correo electrónico alternativa que se asoció a la cuenta originalmente (es decir, el correo electrónico que se utilizó para registrarse)
  • El número de pedido de Google asociado a la cuenta (si procede)
  • El número de cuentas de usuario creadas
  • La dirección de facturación vinculada a la cuenta
  • El tipo de tarjeta de crédito utilizada y sus últimos cuatro dígitos

Google también pide al administrador que verifique la propiedad de DNS del dominio, por lo que este debe tener las credenciales para editar la configuración de DNS del dominio con su registrador.

Registrar una llave de seguridad de repuesto

Recomendamos que los administradores registren más de una llave de seguridad en su cuenta de administrador y las guarden en una ubicación segura. De este modo, en el caso de pérdida o robo de la llave de seguridad principal, aún podrán iniciar sesión en sus cuentas.

Guardar códigos de seguridad con antelación

Si un administrador pierde la llave de seguridad o el teléfono en el que recibe los códigos de la verificación en dos pasos o los mensajes de Google, puede iniciar sesión de todos modos introduciendo un código de seguridad.

Por este motivo, recomendamos que los administradores generen e impriman códigos de seguridad por si los necesitan y los guarden en una ubicación segura.

Configurar una cuenta de administrador adicional

Si un administrador no puede iniciar sesión en su cuenta de administrador, otro administrador puede generar un código de seguridad para que el primero pueda iniciar sesión mediante la verificación en dos pasos.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?