En los últimos meses se están produciendo cada vez más ataques de usurpación de identidad en distintos Servicios de Internet, por lo que es conveniente reforzar la Seguridad de los mismos.

En ese sentido, MICROSOFT provee de una solución para securizar Microsoft 365, que está incluída en el precio de todas sus modalidades de suscripción: MFA. Funciona con un Doble Factor de Identificación, como los Servicios Bancarios Online.

Pensamos que es muy importante poner en marcha esta protección, para evitar problemas como el envío de correos sensibles falsos en nuestro nombre, solicitudes de pagos a cuentas ajenas, etc., por lo que si quieres saber cómo funciona, puedes seguir leyendo o si ya lo tienes claro, puedes pedirnos que te la configuremos.

Tradicionalmente, el acceso a cualquier sitio depende de unas credenciales (usuario y contraseña). Este control tan simple ya no es suficiente, porque existen muchos tipos de ataque enfocados a obtener nuestras credenciales.  El objetivo de la mayoría de los ataques es hacerse con nuestras credenciales. Entre los ataques más utilizados podemos destacar los siguientes:

  • Phishing: simulación de un sitio web, copiando el original, con la intención de engañar al usuario para que introduzca sus credenciales en un sitio que no es al que realmente quiere entrar.
  • Spoofing: es una suplantación de identidad. Más sofisticado, puede engañar incluso a usuarios con conocimientos avanzados. Si es un ataque dirigido es extremadamente peligroso porque buscará y explotará las vulnerabilidades existentes en los sistemas que utilice la víctima.
  • Ataques por fuerza bruta: a base de probar una y otra vez, se pueden conseguir contraseñas disponiendo de tiempo, tras numerosos intentos.
  • Filtraciones: a veces la propia víctima es la responsable del propio ataque, cuando suele utilizar la misma contraseña en varios sitios (algo que es un error MUY grave). Con que uno sólo de esos sitios sea atacado y alguien obtenga la lista de usuarios y contraseñas del mismo, lo primero que harán será intentar acceder a otros sitios con esas mismas credenciales. Una filtración en una red social, por ejemplo, podría dar pie a que alguien consiguiera acceso a nuestro correo.

La solución más sencilla a este problema es utilizar lo que se suele llamar “verificación en dos pasos”: MFA (Multi Factor Authentication o Autenticación de Múltiple Factor) 

Ejemplo de MFA

 

¿QUÉ ES EL MFA?

Es un procedimiento que garantiza la identidad del usuario en base a múltiples factores:

  1. Algo que sabemos: usuario y contraseña
  2. Algo que tenemos: un teléfono móvil, un llavero de seguridad, un certificado digital
  3. Algo que somos: información biométrico (huella dactilar, reconocimiento facial, etc).

En el caso de Microsoft 365, donde hasta ahora sólo utilizamos el punto 1, podemos elevar la seguridad exigiendo el uso del punto 2: implementando MFA para activar el envío de “tokens de seguridad” por SMS al teléfono móvil del usuario.

¿QUÉ IMPLICA LA ACTIVACIÓN DEL MFA?

Las opciones MFA vienen incluidas en toda suscripción a Office 365. No es un servicio por el que haya que pagar un coste adicional. No obstante, requiere tiempo y coordinación con los usuarios, ya que al activar MFA, se solicitará al usuario un código por SMS cada vez que acceda a los servicios de Office 365.

Obviamente, como todo refuerzo en la seguridad, de cara a la “usabilidad” esto supone un “obstáculo” adicional a la hora de trabajar. Pero mediante el uso de Microsoft Outlook, que es la aplicación que recomienda el fabricante, se simplifica y el MFA se hace “casi” transparente al usuario:

  • Si está utilizando Outlook desde un dispositivo con Windows o un dispositivo móvil iOS/Android, al realizar la configuración de la cuenta de correo se solicitará un código (enviado por SMS).
  • A partir de aquí, el equipo quedará identificado como “equipo seguro” por lo que no será necesario volver introducirlo cada vez que reiniciemos (únicamente en ocasiones puntuales, tras actualizaciones importantes de Office o del Sistema Operativo, o tras un cambio de contraseña).
  • En cualquier equipo no identificado como “equipo seguro”, o siempre que se acceda a través del portal Web de Office 365, será necesario validar el usuario, la contraseña, y el código de validación de MFA enviado por SMS al teléfono móvil asociado a la cuenta.

Por tanto, es necesario vincular cada cuenta de usuario de Office 365 a un teléfono móvil que esté disponible para la persona que utilice esa cuenta. También es posible vincular varias cuentas a un mismo teléfono móvil, por ejemplo en el caso de cuentas compartidas entre varias personas. Esto requiere algo de previsión, ya que si no tenemos acceso al teléfono móvil, será necesario contactar con Soporte Técnico para desactivarlo provisionalmente o sustituirlo por otro número. 

¿CÓMO REALIZAR LA ACTIVACIÓN DEL MFA?

La activación del MFA requiere acceso al Panel de Administración de Microsoft 365, no es necesario que los usuarios realicen ninguna acción, salvo introducir el código indicado en el “token de seguridad” que reciban por SMS.

El procedimiento es sencillo pero implica cierta coordinación con todos los usuarios. Recomendamos avisarles previamente y fijar una fecha a partir de la cual comenzarán a enviarse “tokens de seguridad” por SMS.

Se requiere por tanto una lista de teléfonos móviles a los que asociar cada cuenta de usuario. Desde el momento de su activación, se solicitarán “tokens de seguridad” desde las aplicaciones Office, que serán enviados por SMS a los teléfonos indicados.

Es importante añadir que la activación es totalmente opcional: se puede activar en todas, en alguna, o en ninguna cuenta, siempre bajo vuestra decisión final. Nuestra recomendación es activarlo en todas las cuentas para minimizar riesgos.

Desde el Departamento de Sistemas de DICOP CONSULTING podemos activar el MFA en las cuentas que nos indiquéis y coordinar con vosotros una fecha para su puesta en marcha.

Y recomendación adicional: utilizar MFA en cualquier otra plataforma  (por ejemplo casi todos los bancos, algunas redes sociales, otros proveedores de correo y servicios en nube, etc).