Verificación en dos pasos

Implementar la verificación en dos pasos

Tus usuarios y tú desempeñáis un papel importante a la hora de configurar la verificación en dos pasos. 

Paso 1: Avisa a los usuarios antes de implementar la verificación en dos pasos (obligatorio)

Antes de implementar la verificación en dos pasos, informa a tus usuarios sobre los planes de tu empresa, por ejemplo:

  • Explica qué es la verificación en dos pasos y por qué se va a usar en tu empresa.
  • Indica si es opcional u obligatoria.
  • Si fuera necesario, especifica la fecha en la que los usuarios deben activarla.
  • Indica qué método de verificación en dos pasos es obligatorio o recomendado.

Paso 2: Configura la verificación en dos pasos básica (obligatorio)

Para ello, debes seleccionar un ajuste en la consola de administración de Google que permite a los usuarios activar la verificación en dos pasos. Este ajuste se aplica a todo el nivel organizativo superior, que podría tener varios dominios.

En los niveles organizativos superiores que se crearon después de diciembre del 2016, el ajuste de verificación en dos pasos de la consola de administración está activado de forma predeterminada. En las cuentas que se crean en niveles organizativos superiores más recientes, dicho ajuste también está activado de forma predeterminada. Cuando este ajuste está activado, los usuarios pueden configurar un método de verificación en dos pasos.

Autoriza a los usuarios del nivel organizativo superior a activar la verificación en dos pasos

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configuración básica.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Debajo de Verificación en dos pasos, marca la opción Permitir a los usuarios activar la verificación en dos pasos.
    Cualquier usuario que sea miembro del nivel organizativo superior podrá activar la verificación en dos pasos y configurar el método que prefiera.
  4. En la parte inferior derecha, haz clic en Guardar.

Indica a tus usuarios que se registren en la verificación en dos pasos

  1. Indica a tus usuarios que sigan las instrucciones que se facilitan en el artículo Activar la verificación en dos pasos para registrarse.
  2. Proporciónales instrucciones para registrarse en los distintos métodos de verificación en dos pasos:

Paso 3: Aplica la verificación en dos pasos (opcional)


Cuando aplicas la verificación en dos pasos, tus usuarios deben usar obligatoriamente esta función. Quienes no estén registrados en la verificación en dos pasos no podrán iniciar sesión en su cuenta.

Selecciona la configuración avanzada de verificación en dos pasos

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Seguridad y luego Configuración básica.

    Para ver Seguridad en la página principal, es posible que tengas que hacer clic en la opción Más controles situada en la parte inferior.

  3. Debajo de Verificación en dos pasos, comprueba que esté seleccionada la opción Permitir a los usuarios activar la verificación en dos pasos. En caso contrario, selecciónala y haz clic en Guardar.
  4. Haz clic en Ir a la configuración avanzada para aplicar la verificación en dos pasos.

Comprueba que los usuarios estén registrados en la verificación en dos pasos

Asegúrate de que los usuarios estén registrados en la verificación en dos pasos antes de aplicarla obligatoriamente. Los que no se hayan registrado no podrán iniciar sesión en sus cuentas.
  1. En la página Opciones avanzadas de seguridad, debajo de Aplicación obligatoria, haz clic en el enlace informe de registro que encontrarás a la derecha.
  2. Revisa el informe para ver qué usuarios no están registrados.
    Estos datos podrían tener un retraso de hasta 48 horas. Para ver el estado en tiempo real del registro de cada usuario en la verificación en dos pasos, consulta el artículo Gestionar la configuración de seguridad de los usuarios.
  3. Informa a los usuarios que no estén registrados de que deben hacerlo para evitar quedarse sin acceso a sus cuentas.

Activa la aplicación obligatoria

Aplica la verificación en dos pasos en las cuentas de los administradores y usuarios clave. Consulta las prácticas recomendadas de la verificación en dos pasos.

Este ajuste de la consola de administración, que permite a tus usuarios activar la verificación en dos pasos, se aplica a todo el nivel organizativo superior. Sin embargo, tienes la opción de aplicar la verificación en dos pasos a todo el nivel organizativo superior o únicamente a unidades organizativas específicas.

  1. En la página Opciones avanzadas de seguridad, a la izquierda, selecciona una unidad organizativa donde quieras aplicar la verificación en dos pasos.
    • Si no seleccionas una unidad organizativa, la configuración se aplicará a todo el nivel organizativo superior.
    • Si quieres que una unidad organizativa utilice los mismos ajustes que su unidad organizativa superior, haz clic en la opción Usar heredado, situada en la parte superior derecha.
  2. Selecciona cuándo se debe empezar a aplicar la verificación en dos pasos:
    • Activar aplicación obligatoria a partir de la fecha: empieza a aplicarse en la fecha que indiques.
    • Activar aplicación obligatoria: empieza a aplicarse de inmediato.
  3. Si has elegido la opción de aplicar la verificación en dos pasos en una fecha específica, haz clic en la fecha de inicio en el calendario. Cuando los usuarios inicien sesión, verán recordatorios para registrarse en la verificación en dos pasos.
  4. Haz clic en Guardar.

Evita que los nuevos usuarios se queden sin acceso a sus cuentas

Cuando apliques la configuración en dos pasos, asegúrate de que los nuevos empleados tienen suficiente tiempo para registrarse antes de que se aplique este requisito a sus cuentas. Para ello, define un nuevo periodo de registro de usuarios. Durante ese periodo, los usuarios podrán iniciar sesión solo con sus contraseñas.
  1. En la página Opciones avanzadas de seguridad, junto a Plazo para que los nuevos usuarios se registren, selecciona un periodo entre un día y seis meses.
    Ese es el plazo que tendrán los nuevos usuarios para registrarse en la verificación en dos pasos desde la primera vez que inicien sesión.
  2. Haz clic en Guardar.

Paso 4: Selecciona opciones de aplicación (opcional)

Selecciona el método de verificación en dos pasos que se aplicará 

Al aplicar la verificación en dos pasos, de forma predeterminada se puede usar cualquier método de verificación. No obstante, te recomendamos que utilices llaves de seguridad, ya que son el método más seguro. Consulta las prácticas recomendadas de la verificación en dos pasos.

  1. En la página Opciones avanzadas de seguridad, debajo de Métodos de verificación en dos pasos permitidos, selecciona el método que prefieras:
    • Cualquiera: los usuarios pueden configurar cualquier método de verificación en dos pasos.
    • Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas: los usuarios pueden configurar cualquier método de verificación en dos pasos, salvo los que impliquen recibir códigos de verificación en sus teléfonos.
    • Solo con llave de seguridad: los usuarios deben configurar una llave de seguridad.
  2. Haz clic en Guardar.
Evitar problemas al implementar la verificación en dos pasos de manera obligatoria 

Al aplicar la verificación en dos pasos, los usuarios que no tengan configurado alguno de los métodos permitidos de este tipo de verificación dejarán de poder acceder a sus cuentas cuando caduquen sus sesiones activas. Si fuera el caso, tendrás que ayudarles a recuperar sus cuentas para que puedan iniciar sesión. Situaciones de ejemplo:

  • La verificación en dos pasos era opcional, pero se cambia a obligatoria.
  • La verificación en dos pasos era obligatoria y los usuarios podían utilizar cualquier método, pero se cambia para prohibir los métodos que impliquen recibir códigos a través de mensajes de texto o llamadas telefónicas.
  • La verificación en dos pasos era opcional, se permitía cualquier método de verificación o se permitían todos excepto mensajes de texto o llamadas de voz, pero se pasa a obligar a los usuarios a utilizar llaves de seguridad como el único método de verificación en dos pasos.

Avisa a los usuarios de que vas a aplicar la verificación en dos pasos

Antes de implementar la verificación en dos pasos de manera obligatoria, avisa a tus usuarios de que vas a hacerlo y notifícales la fecha de aplicación de modo que tengan tiempo para añadir un método de verificación en dos pasos. Configura también un periodo para que los nuevos empleados puedan registrarse, tal como se explica en la sección "Evita que los nuevos usuarios se queden sin acceso a sus cuentas".

Si hay usuarios que no han configurado ningún método permitido antes de la fecha de aplicación

Es posible que haya usuarios que no hayan configurado ningún método de verificación en dos pasos válido antes de la fecha de aplicación. En ese caso, puedes darles algo más de tiempo para que añadan un método de verificación incluyéndolos en un grupo de excepción en el que la verificación en dos pasos no sea obligatoria. Consulta cómo evitar que se bloqueen las cuentas cuando se aplica la verificación en dos pasos.

Aunque esta solución permite que los usuarios inicien sesión en sus cuentas, no se recomienda utilizarla habitualmente, ya que esas cuentas no estarán protegidas por la verificación en dos pasos mientras estén en el grupo de excepción.

Aplicar la opción "Cualquiera, excepto códigos de verificación a través de mensajes de texto o llamadas telefónicas"

Si antes de activar esta opción los usuarios ya utilizan algún método de verificación en dos pasos, probablemente algunos hayan elegido solo los mensajes de texto y las llamadas telefónicas. Sin embargo, al activar la opción, esos usuarios no podrán iniciar sesión con ningún número de teléfono en el que antes recibían códigos de verificación a través de mensajes o llamadas, ni podrán añadir ningún otro número.

Para evitar que esos usuarios no puedan iniciar sesión en sus cuentas, haz lo siguiente:

  • Solicita a los usuarios que añadan y empiecen a utilizar otro método de verificación en dos pasos antes de configurar esta política. También debes informarles de que no podrán recibir códigos de verificación en sus teléfonos una vez que se aplique la nueva política.
  • Utiliza el evento de actividad de auditoría de inicio de sesión login_verification para saber qué usuarios inician sesión con códigos de verificación en dos pasos que reciben en sus teléfonos mediante mensajes de texto o llamadas. Si el parámetro login_challenge_method de un usuario tiene el valor idv_preregistered_phone, ese usuario se ha autenticado a través de un código de verificación recibido mediante un mensaje de texto o una llamada telefónica.

Aplicar la opción "Solo con llave de seguridad"

Antes de aplicar esta política, revisa los ajustes de seguridad de los usuarios para comprobar que hayan configurado sus llaves.

  • En Solo con llave de seguridad, haz clic en usuarios han registrado las llaves de seguridad para generar una lista de usuarios.
  • Haz clic en un usuario de la lista para ver sus ajustes.
Permite que los usuarios empleen códigos de seguridad si pierden su llave de seguridad
Si solo permites las llaves de seguridad como método de verificación en dos pasos y un usuario pierde su llave, deberás facilitarle una forma de iniciar sesión hasta que reciba una llave nueva. Puedes permitir que los usuarios utilicen códigos de seguridad durante un periodo de gracia específico.
  1. En la página Opciones avanzadas de seguridad, junto a Periodo de gracia de suspensión de la política de verificación en dos pasos, selecciona un periodo entre un día y una semana.
    El periodo de gracia comienza cuando se generan los códigos de seguridad.
  2. Haz clic en Guardar.
Permitir códigos de seguridad cuando no se admiten llaves de seguridad 
Si obligas a tus usuarios a utilizar llaves de seguridad, es posible que algunos de ellos tengan problemas para usar ciertas aplicaciones. En particular, no podrán iniciar sesión con sus credenciales de Google en aplicaciones web a las que se acceda a través de plataformas que no admiten llaves de seguridad, como iOS para móviles, Safari e Internet Explorer. A continuación, te mostramos algunos ejemplos:
  • Aplicación web de empresa que solo se ejecuta en un navegador que no admite llaves de seguridad
    María trabaja en el departamento de finanzas y usa una aplicación web financiera que solo puede utilizarse en Internet Explorer 8.0. Como es obligatorio usar llaves de seguridad, no puede iniciar sesión en la aplicación web con su cuenta de Google.
  • Configuración inicial de iPhone
    Miguel trabaja en el departamento de ventas y tiene un iPhone nuevo. Para configurarlo, tiene que iniciar sesión en su cuenta de Google en ese dispositivo, pero como Safari y los dispositivos móviles iOS no admiten llaves de seguridad, no puede iniciar sesión ni, por tanto, configurar el iPhone.

Habilitar códigos de seguridad

Si alguna plataforma no admite llaves de seguridad, puedes permitir que los usuarios inicien sesión y se autentiquen con un código de seguridad especial de un solo uso. Estos códigos solo pueden generarse en dispositivos compatibles con las llaves de seguridad.

  1. En la página Opciones avanzadas de seguridad, en Métodos de verificación en dos pasos admitidos, Solo con llave de seguridad, selecciona Los usuarios pueden utilizar el código de seguridad de https://g.co/sc en vez de llaves de seguridad como método de verificación en dos pasos.
  2. Haz clic en Guardar.

Cómo funcionan los códigos de seguridad

Los códigos de seguridad son distintos de los códigos de un solo uso que generan aplicaciones como Google Authenticator; para generarlos, los usuarios deben insertar su llave de seguridad en un dispositivo compatible y, a continuación, tocar la llave.

Cuándo se deben permitir los códigos de seguridad

Si obligas a que se utilicen llaves de seguridad, los códigos de seguridad permiten que los usuarios puedan trabajar en entornos en los que no se admite ese método de verificación. Sin embargo, como los códigos de seguridad no son tan seguros como las llaves de seguridad, autoriza su uso únicamente a los usuarios que necesiten trabajar en plataformas o aplicaciones que no admitan llaves de seguridad.

Experiencia de usuario

Siguiendo con el ejemplo de María, empleada del departamento de finanzas, vamos a ver cómo puede utilizar una aplicación web financiera que se ejecuta en Internet Explorer 8.0.

  1. María inicia sesión en su portátil con sus credenciales de Google.
  2. Para confirmar su identidad, inserta una llave de seguridad en un puerto USB del portátil o toca una llave de seguridad que ya está insertada.
  3. Abre Internet Explorer 8.0 e intenta iniciar sesión en la aplicación financiera.
  4. Sigue las indicaciones para obtener un código de seguridad de un solo uso en un dispositivo en el que pueda utilizar su llave de seguridad.
  5. María abre Chrome en su portátil y va a https://g.co/sc.
  6. Toca la llave de seguridad para generar un código de seguridad.
  7. Copia el código de seguridad y lo utiliza para terminar de iniciar sesión en la aplicación web de Internet Explorer.

En este momento, solo Chrome y Firefox son compatibles con las llaves de seguridad. Los códigos de seguridad de un solo uso son válidos durante 5 minutos.

Permite que los usuarios no tengan que repetir la verificación en dos pasos en dispositivos de confianza

Se recomienda obligar a los usuarios a repetir la verificación en dos pasos en dispositivos de confianza, salvo en los casos en que utilicen diferentes dispositivos habitualmente.

  1. En la página Opciones avanzadas de seguridad, debajo de Frecuencia de la verificación en dos pasos, selecciona una opción:
    • Permitir que el usuario confíe en el dispositivo al utilizar la verificación en dos pasos: la primera vez que los usuarios inicien sesión en un dispositivo nuevo, podrán marcar una casilla para indicar que confían en ese dispositivo y así no tener que repetir la verificación en dos pasos en él. El usuario no tendrá que volver a utilizar la verificación en dos pasos en ese dispositivo hasta que borre las cookies, se restablezcan sus cookies de inicio de sesión o revoque el dispositivo en su cuenta.
    • No permitir que el usuario confíe en el dispositivo al utilizar la verificación en dos pasos: los usuarios deben repetir el procedimiento cada vez que inicien sesión.
  2. Haz clic en Guardar.

Paso 5: Gestiona las llaves de seguridad (opcional)

Asigna una llave de seguridad a un usuario

Puedes añadir una llave de seguridad a una cuenta de usuario. Si el usuario no está registrado en la verificación en dos pasos, se hará automáticamente cuando registres su llave. Consulta el artículo Gestionar la configuración de seguridad de los usuarios.

 

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?