La comunidad de seguridad cibernética ha reaccionado positivamente al anuncio de Google del 4 de noviembre de que comenzará a aplicar la autenticación multifactor (MFA) para millones de usuarios de Google Cloud en todo el mundo durante 2025, y la medida se describe como un importante paso adelante para proteger el ecosistema digital más amplio.
Las políticas mejoradas, anunciadas a principios de esta semana por el vicepresidente de ingeniería de Google Cloud, Mayank Upadhyay, implementarán MFA obligatoria para todos los usuarios que actualmente inicien sesión con solo una contraseña.
“Implementaremos MFA obligatoria para Google Cloud en un enfoque gradual que se implementará para todos los usuarios en todo el mundo durante 2025. Para garantizar una transición sin problemas, Google Cloud proporcionará notificaciones anticipadas a las empresas y usuarios a lo largo del camino para ayudar a planificar las implementaciones de MFA. ” dijo Upadhyay.
“Hemos sido firmes defensores de nuestro sistema MFA durante más de una década y estamos aquí para ayudarlo con esta importante actualización de seguridad. En Google entendemos que necesitas flexibilidad y control a la hora de implementar nuevas medidas de seguridad. Por eso estamos implementando la AMF obligatoria en fases”, añadió.
En la primera fase, a partir de este mes, Google comenzará a dirigirse a los usuarios desprotegidos con más recordatorios e información sobre MFA en su Google Cloud Console, específicamente dirigido al 30% de los usuarios del servicio que aún no están inscritos. Esta guía impulsará a las organizaciones a crear conciencia y planificar la MFA, además de brindar asesoramiento sobre los procesos de prueba y la habilitación.
A partir de principios de 2025, Google comenzará a exigir MFA para todos los usuarios nuevos y existentes que inicien sesión con una contraseña, y aparecerán notificaciones y orientación al respecto en Google Cloud Console, Firebase Console, gCloud y otras plataformas. Aquellos que deseen seguir utilizando estas herramientas no tendrán más opción que inscribirse en MFA en este momento.
Finalmente, para esta época del próximo año, los requisitos de MFA se habrán extendido a todos los usuarios que federan la autenticación en Google Cloud. Habrá una serie de opciones disponibles para cumplir con este requisito: las organizaciones pueden optar por habilitar MFA con su proveedor de identidad principal antes de acceder a Google Cloud, y se está trabajando para garantizar que existan estándares y procedimientos para hacerlo más fácil. O es posible que los usuarios deseen agregar capas adicionales de MFA a través de sus cuentas de Google, si prefieren utilizar el propio sistema de Google.
La MFA obligatoria ya ha tenido éxito para otros
Introducir MFA obligatoria para los servicios en la nube es en gran medida una idea cuyo momento ha llegado, y Google no es el único gigante de la nube que está tomando tales medidas; a principios de 2024, Microsoft anunció que introduciría una política de este tipo a raíz de una serie de altas -Ciberataques de perfil que involucran a sus usuarios y ha estado vigente en Azure desde principios de octubre.
Mientras tanto, el gigante de la comunidad de código abierto GitHub, que introdujo MFA obligatorio para desarrolladores y proyectos seleccionados en 2023, dijo que ha visto una tasa de aceptación del 95 % entre los contribuyentes de código que recibieron el requisito de MFA, y un aumento del 54 % en la adopción de MFA. entre todos los contribuyentes activos a los proyectos que alberga.
Mike Britton, CIO de Abnormal Security, dijo que la medida de Google estaba muy retrasada: “[MFA] es un servicio de seguridad fundamental que debería ser 100% obligatorio para todos los proveedores de software y plataformas, especialmente para el correo electrónico, que sigue siendo el principal vector a través del cual los actores de amenazas lanzan ataques avanzados.
“Creo que los proveedores de software deberían proporcionar MFA (y otros servicios básicos de seguridad como SSO) a sus clientes como parte de su oferta básica estándar. No deberíamos monetizar las capacidades y características de seguridad básicas de nuestro producto a menos que el costo de dichas características sea prohibitivo sin tarifas de suscripción adicionales, lo que a menudo no es el caso”.
Patrick Tiquet, vicepresidente de seguridad y cumplimiento de Keeper Security, agregó: “La implementación gradual de Google facilita a los usuarios el nuevo requisito, ya que MFA puede encontrar resistencia debido a la fricción percibida en la experiencia del usuario, especialmente cuando se implementa de manera abrupta.
“El plan de varios pasos, que comienza con recordatorios en la consola y avanza hacia la aplicación total, prioriza la adopción por parte de los usuarios y minimiza la interrupción operativa con una transición gradual para facilitar a los usuarios el acceso a MFA, allanando el camino para una implementación más fluida y un cumplimiento más estricto.
“Sin embargo, las organizaciones que utilizan Google Cloud también deberán planificar la implementación dentro de su fuerza laboral. La capacitación de los empleados sobre la importancia de MFA será fundamental y herramientas como un administrador de contraseñas pueden facilitar la adopción al almacenar y completar de forma segura los códigos MFA”.
Anna Collard, vicepresidenta senior de estrategia de contenido y evangelista del especialista en capacitación en seguridad KnowBe4, también elogió la nueva política de Google, pero dijo que MFA por sí sola no era una solución milagrosa.
“La seguridad eficaz depende de un enfoque de defensa en capas que combine múltiples estrategias para proteger activos y datos. Tampoco toda la calidad de la MFA es igual; por ejemplo, la MFA resistente al phishing, como las habilitadas por FIDO, son una opción mucho mejor que la MFA basada en texto o push”, afirmó.