Google ha confirmado planes para requerir que todos los clientes de Google Cloud utilicen la autenticación multifactor (MFA), un proceso que comienza este mes con alertas y “recordatorios útiles” integrados dentro de la consola de Google Cloud, antes de un período de aplicación gradual que comienza en el próximo año.
La gigante de internet y la nube anunció silenciosamente sus planes de MFA en un documento publicado en octubre, aunque el vicepresidente de ingeniería de la compañía, Mayank Upadhyay, lo anunció formalmente en una publicación de blog esta semana.
“Implementaremos MFA obligatorio para Google Cloud de manera gradual que se expandirá a todos los usuarios de todo el mundo durante el 2025”, escribió Upadhyay. “Para garantizar una transición sin problemas, Google Cloud proporcionará notificaciones previas a las empresas y usuarios en el camino para ayudar a planificar las implementaciones de MFA”.
La noticia, sin lugar a dudas, llega en medio de una ola de violaciones de datos, con al menos mil millones de registros robados en lo que va del año 2024. A través de un ejemplo, el gigante de la salud Change Healthcare, propiedad de UnitedHealth, sufrió un ataque de ransomware en febrero, una violación de datos que vio datos de salud robados de más de 100 millones de personas en los Estados Unidos. ¿La causa? Credenciales robadas sin protección por MFA.
Por otro lado, la gigante de almacenamiento de datos Snowflake también acaparó titulares después de que los datos privados de cientos de sus clientes (incluido Ticketmaster) se filtraron en línea. Estas violaciones nuevamente fueron causadas por la falta de aplicación obligatoria de MFA, con Snowflake introduciendo posteriormente MFA obligatorio como una opción para los administradores de Snowflake, aunque sigue siendo decisión del cliente si activarla o no.
Irónicamente, en lo que respecta a las noticias de hoy al menos, investigadores de seguridad en la empresa de ciberseguridad Mandiant, propiedad de Google, colaboraron con Snowflake para investigar el robo de datos, concluyendo que las violaciones de datos resaltaron la necesidad de “… la aplicación universal de MFA y autenticación segura”.
[[IMG::]]
Y así, Google ahora está siguiendo el consejo de su propia subsidiaria.
A partir de principios de 2025, Google dice que requerirá que todos los usuarios de Google Cloud que actualmente ingresan con una contraseña activen el MFA, lo que significa que solo podrán acceder a sus cuentas de Google Cloud utilizando un mecanismo de autenticación secundario, como una aplicación de autenticación o una llave de seguridad física.
Para finales de 2025, este requisito se extenderá a los llamados “usuarios federados”, que se refieren a aquellos que acceden a los recursos de Google Cloud a través de un autenticador de terceros.
El anuncio de Google sigue de cerca a medidas similares en gigantes de la nubes rivales. AWS comenzó un despliegue gradual de MFA obligatorio en junio, mientras que Microsoft siguió con Azure poco después.
Cabe señalar que, si bien los consumidores también pueden beneficiarse de MFA para las cuentas estándar de Google, esto sigue siendo opcional, y los usuarios pueden activar y desactivar la función a su antojo. La compañía dice que, si bien el 70% de las cuentas de Google (las que se utilizan regularmente, al menos) tienen activada la verificación en dos pasos (2SV), solo está haciendo esto obligatorio para los clientes empresariales debido a los riesgos adicionales que conllevan las implementaciones empresariales en la nube. Sin embargo, los usuarios individuales que intenten acceder a los recursos de Google Cloud Platform con su cuenta regular también deberán activar el MFA.
“Hoy en día, hay una amplia adopción de 2SV por parte de los usuarios en todos los servicios de Google”, señala Upadhyay. “Sin embargo, dada la naturaleza sensible de las implementaciones en la nube, y con el phishing y las credenciales robadas aún siendo uno de los principales vectores de ataque observados por nuestro equipo de inteligencia de amenazas de Mandiant, creemos que es hora de exigir 2SV para todos los usuarios de Google Cloud.”
