Google Cloud hará obligatoria la autenticación multifactor en 2025
Google ha confirmado planes para exigir a todos los clientes de Google Cloud que utilicen autenticación multifactor (MFA), un proceso que comienza este mes con indicaciones y “recordatorios útiles” integrados dentro de la consola de Google Cloud, antes de un período de aplicación gradual que comenzará en el nuevo año.
El gigante de Internet y la nube anunció silenciosamente sus planes de MFA en un documento publicado en octubre, aunque el vicepresidente de ingeniería de la compañía, Mayank Upadhyay, lo anunció formalmente en una publicación de blog esta semana.
“Implementaremos MFA obligatoria para Google Cloud en un enfoque gradual que se implementará para todos los usuarios en todo el mundo durante 2025”, escribió Upadhyay. “Para garantizar una transición sin problemas, Google Cloud proporcionará notificaciones anticipadas a las empresas y usuarios a lo largo del camino para ayudar a planificar las implementaciones de MFA”.
La noticia, indiscutiblemente tardía, llega en medio de una serie de filtraciones de datos, con al menos mil millones de registros robados en 2024 hasta el momento. A modo de ejemplo, el gigante sanitario Change Healthcare, propiedad de UnitedHealth, se vio afectado por un ataque de ransomware en febrero, una filtración de datos que provocó el robo de datos sanitarios de más de 100 millones de personas en Estados Unidos. ¿Causa? Credenciales de backend robadas que no estaban protegidas por MFA.
Mientras tanto, el gigante del almacenamiento de datos Snowflake también apareció en los titulares después de que cientos de datos privados de sus clientes (incluido Ticketmaster) se filtraran en línea. Estas infracciones fueron nuevamente causadas por la falta de aplicación obligatoria de MFA, y Snowflake posteriormente introdujo MFA obligatorio como una opción para los administradores de Snowflake, aunque aún depende del cliente si desea activar esto.
Irónicamente, al menos en lo que se refiere a las noticias de hoy, los investigadores de seguridad de la empresa de ciberseguridad Mandiant, propiedad de Google, trabajaron con Snowflake para investigar el robo de datos y concluyeron que las violaciones de datos resaltaron la necesidad de “… aplicación universal de MFA y autenticación segura”.
Por eso Google sigue ahora el consejo de su propia filial.
A partir de principios de 2025, Google dice que requerirá que todos los usuarios de Google Cloud que actualmente inician sesión con una contraseña activen MFA; esto significa que solo podrán acceder a sus cuentas de Google Cloud mediante el uso de un mecanismo de autenticación secundario, como un código. enviado por SMS, aplicación de autenticación o clave de seguridad física.
A finales de 2025, este requisito se ampliará a los llamados “usuarios federados”, que se refieren a aquellos que acceden a los recursos de Google Cloud a través de un autenticador de terceros.
El anuncio de Google sigue a medidas similares en gigantes de la nube rivales. AWS comenzó una implementación gradual de MFA obligatoria en junio, mientras que Microsoft hizo lo mismo con Azure poco después.
Vale la pena señalar que, si bien los consumidores también pueden beneficiarse de MFA para cuentas de Google estándar, esto sigue siendo opcional, y los usuarios pueden activar y desactivar la función a su antojo. La compañía dice que si bien el 70% de las cuentas de Google (al menos aquellas que se usan regularmente) tienen activada lo que llama verificación de dos pasos (2SV), esto solo lo hace obligatorio para los clientes comerciales debido a los mayores riesgos que conlleva. con implementaciones de nube empresarial.
“Hoy en día, los usuarios adoptan ampliamente la 2SV en todos los servicios de Google”, señala Upadhyay. “Sin embargo, dada la naturaleza sensible de las implementaciones en la nube, y dado que el phishing y las credenciales robadas siguen siendo uno de los principales vectores de ataque observados por nuestro equipo de Mandiant Threat Intelligence, creemos que es hora de exigir 2SV para todos los usuarios de Google Cloud”.