¿Qué es la autenticación multifactor de Office 365?

Recientemente hemos visto un cambio desde entornos on-premise hacia entornos cloud y, con este cambio, han llegado una serie de desafíos de seguridad – el más notable que, en teoría, cualquier persona puede acceder a una cuenta con privilegios desde prácticamente cualquier parte del mundo.

Esto implica que las empresas han tenido que enfocar su atención en asegurarse de que los métodos de autenticación que usan son lo suficientemente robustos para prevenir que no queden en compromiso sus cuentas de usuario.

A diferencia de los métodos tradicionales de autenticación, que solo requieren un nombre de usuario y una contraseña, la autenticación multifactor (MFA) requiere factores adicionales, que normalmente incluyen una combinación de algo que sabe el usuario, algo que tiene o algo que es.

Con este método, si un adversario quisiera robar la contraseña de un usuario mediante fuerza bruta, sería difícil conseguir hacer login ya que no podrían proporcionar los factores adicionales requeridos para conseguir la autenticación.

Office 365 ofrece autenticación multifactor de serie sin necesidad de comprar una licencia adicional para usarlo. No obstante, existe una versión mejorada en la suite Enterprise Mobility + Security para la que sí es necesario adquirir una licencia.

Según el informe Verizon Business 2020 Data Breach Investigations Report, el “37 por ciento de los robos de credenciales, usaron credenciales robadas o débiles” y, en América del Norte, “la técnica más potenciada es el uso de credenciales robadas, que representa más del 79% de las infracciones de hackeo”. Es importante por tanto que los negocios impulsen los protocolos más robustos de autenticación que tengan a su alcance. Aquí están los beneficios que conlleva habilitar MFA en Office 365:

  • Reduce la probabilidad de un robo de identidad, una amenaza creciente para cualquier tipo de empresa.
  • Hace que las contraseñas robadas sean menos útiles para los atacantes, por lo que se reduce el incentivo para que dirijan sus ataques a una red determinada.
  • MFA es una forma sencilla, económica y efectiva de reforzar la seguridad por lo que es una solución muy buena para compañías más pequeñas.
  • Otros métodos de seguridad como antivirus, SIEM, DLP, cortafuegos y sistemas de prevención de intrusión sólo son tan seguros como lo sean los métodos de autenticación usados para protegerlos.
  • Cuánto más estrictas se vuelven las regulaciones de privacidad de datos, es posible que el uso de MFA para proteger las cuentas de usuario se convierta en obligatorio para empresas que recogen, procesan y almacenan grandes cantidades de datos personales sensibles.

Métodos de autenticación multifactor en Office 365

Office 365 proporciona diversos métodos MFA, que incluyen:

Este método consiste en una llamada o SMS al móvil del usuario. En la llamada se pide al usuario presionar la almohadilla (#) para confirmar su identidad. Si elige un mensaje de texto, se envía al usuario un SMS con una contraseña de 6 dígitos de un solo uso (OTP) que el usuario debe introducir en la página de login. Normalmente se pide un número alternativo que se usará en caso de que el usuario no conteste al número proporcionado o si la llamada va directa al buzón de voz. Autenticarse mediante móvil implica que el usuario ha de tener ese móvil a mano cuando vaya a iniciar sesión, que en algunas ocasiones puede que no sea el método más conveniente (especialmente si se pierde el móvil).

Cuando se selecciona esta opción, la llamada se realiza a una extensión o número de teléfono en la oficina. Como en el caso anterior, para completar el proceso de autorización se pedirá al usuario que presione # en el teléfono.

La aplicación Microsoft Authenticator es quizás la que proporcione la mejor experiencia de usuario al usar MFA en Office. La app se puede descargar e instalar desde el siguiente vínculo. Cuando un usuario intenta autenticarse a través de la aplicación recibe una notificación en su dispositivo, en la que se le pedirá que apruebe o rechace esta petición. Como alternativa, también existe la opción de recibir un código de verificación que se actualiza cada 30 segundos y que es necesario para el inicio de sesión.

Cómo configurar la autenticación multifactor en Office 365

Solo los administradores globales van a poder habilitar MFA en Office 365. Una vez hecho el login, el administrador va a necesitar completar los siguientes pasos:

  1. Ir al Centro de Administración.
  2. Hacer clic en “Usuarios Activos” en el panel de navegación izquierdo y expandir “Usuarios”.
  3. Expandir la etiqueta en la que pone “Más” y hacer clic en “Configuración de Azure AD Multi-Factor”.
  4. Seleccionar en la lista los usuarios para los que se quiere habilitar MFA y hacer clic sobre “Habilitar”. También se puede hacer clic en el cuadro que aparece junto a MOSTRAR NOMBRES y seleccionar todos los usuarios.

NOTA: los administradores tienen la opción de habilitar MFA sobre cuentas de usuario que aún no han completado su registro. En este caso, se le pedirá al usuario que elija qué otro método de verificación prefiere cuando intenten iniciar sesión por primera vez.

Iniciar sesión con MFA en Office 365

  1. Ir al portal de Office 365, escribir el nombre de usuario y hacer clic sobre “Siguiente” para continuar.
  2. Escribir la contraseña y hacer clic sobre “Iniciar sesión”.
  3. Se pedirá habilitar la autenticación multifactor y configurar los métodos de verificación adicionales.
  4. Elegir el método de contacto preferido.
  5. Una vez se haya completado el registro, si el administrador ha habilitado la creación de contraseñas para apps, habrá que tomar nota de la contraseña para poder iniciar sesión en las apps que no usen el buscador web (como por ejemplo, Skype for Business, etc.).
  6. Al hacer clic en “Finalizado” ya se habrá iniciado sesión en Office 365.

Añadir más puntos de seguridad.

Este sería un primer paso importante para mejorar la seguridad en nuestros sistemas. Si ya tenemos implementada esta función, aunque segura, la autenticación multifactor no es infalible, por lo que podemos tener soluciones encaminadas a dotar de mayor robustez nuestra seguridad.

Si por ejemplo queremos supervisar y gestionar los ordenadores y dispositivos y utilizar múltiples motores antimalware para garantizar la seguridad de los servidores, los adjuntos al correo electrónico, el tráfico web y los medios portátiles, e incluso implementar una herramienta para transferir archivos confidenciales de forma segura, Opswat ofrece diferentes soluciones que nos pueden ayudar a conseguir estos objetivos.

Mediante Atakama podemos cifrar ficheros y distribuir las claves a diferentes dispositivos, eliminando la necesidad de contraseñas. Además, los ficheros alojados en la nube sólo existirán de forma encriptada, protegiendo frente a errores humanos, fallos en la gestión de accesos, configuraciones erróneas y un largo etcétera de vulnerabilidades que ponen en riesgo nuestros archivos sensibles.

Por último, implementar una solución de auditoría como Lepide nos puede ayudar a supervisar cuentas con privilegios, así como detectar y responder a cualquier actividad anómala de archivos y carpetas. Cada vez que se acceda a documentos que contienen datos sensibles, o que estos se muevan, se modifiquen o se eliminen, se envía una alerta al administrador, que puede comprobar si las acciones realizadas son legítimas. La Plataforma de Seguridad de Datos de Lepide también proporciona una serie de características adicionales, incluyendo la búsqueda y la clasificación automáticas de los datos, la gestión de cuentas de usuario inactivas, las alertas de umbral, y más. LDSP también puede agregar registros de eventos de múltiples plataformas, incluidas las plataformas en la nube más populares.

Si te gustaría conocer soluciones como las que te mencionamos arriba, que pueden ayudarte a tener mayor visibilidad sobre datos sensibles y proteger contra amenazas internas, no dudes en ponerte en contacto con nosotros.