Autenticación de Múltiples Factores (MFA)
contenidos
- Recomendaciones de uso de autenticación de múltiples factores
- Infografía: ¿Qué es la autenticación demúltiples factores (MFA)?
- Configuración MFA cuando se accede por primera vez a los serviciosTIC de la UIB
- Videos: ¿Cómo puedo configurar diferentes métodos MFA en la UIB?
- Videos: Inicio de sesión con MFA
- Política de implantación de MFA
- Preguntas frecuentes
Los usuarios que acceden a los sistemas de información de la UIB lo hacen utilizando credenciales corporativas, es decir, con su nombre de usuario y su contraseña.
La UIB dispone de un sistema de identificación única ó SSO (Single Sign On). Esto permite a los usuarios utilizar las mismas credenciales para acceder a diferentes servicios y/o aplicaciones autenticándose sólo una vez.
Por desgracia, la obtención de manera fraudulenta de credenciales de usuario por diferentes medios es cada vez más frecuente. Ante este hecho resulta indispensable desplegar un nivel de seguridad adicional, añadiendo una capa que complemente el uso de las credenciales de usuario y contraseña y que permita garantizar que el acceso a los datos lo tenga sólo el titular de la cuenta.
El mejor complemento consiste en añadir una arquitectura de autenticación de múltiples factores (MFA) en el proceso de autenticación de usuarios, donde se requerirá de una información adicional a las credenciales corporativas, que sólo tiene disponible el usuario y que permite verificar su identidad. De esta manera podremos evitar el acceso no autorizado a una cuenta del sistema aunque se hayan visto comprometidas o expuestas sus credenciales de acceso.
Utilizar MFA permitirá a la UIB reducir los riesgos derivados de errores humanos, contraseñas o dispositivos perdidos. Además, permitirá mejorar el nivel de protección de la información de la universidad y la de sus usuarios.
Recomendaciones de uso de autenticación de múltiples factores
Entre los diferentes factores de autenticación de los que se disponen, los hay que ofrecen un nivel de seguridad más elevado que otros. Los más seguros son los que emplean «algo que define al usuario» como son los datos biométricos (huella digital o su rostro).
Después en un segundo nivel tendríamos los factores que emplean «algo que el usuario tiene» como un objeto físico: un móvil o un token de seguridad.
A continuación, se muestra un listado de los factores de autenticación disponibles, ordenados de más recomendados (y más seguros) a menos:
- Mensaje emergente (push) en la aplicación móvil Microsoft Authenticator.
- Código de un solo uso basado en el tiempo con Google Authenticator u otras aplicaciones.
- Llamada telefónica de verificación al teléfono móvil.
- Llamada telefónica de verificación al teléfono institucional.
- Código de un solo uso mediante mensaje de texto al teléfono móvil.
Infografía: ¿Qué es la autenticación de
múltiples factores (MFA)?
Configuración del MFA cuando se accede por primera vez a los servicios TIC de la UIB
Videos configuración Microsoft Authenticator
Manual para configurar el MFA cuando se accede por primera vez a los servicios TIC de la UIB
Videos: ¿Cómo puedo configurar diferentes métodos MFA en la UIB?
Aplicación de autenticación (Configuración recomendada)
Microsoft Authenticator
Google Authenticator
No desinstale la aplicación de autenticación una vez configurada, será necesaria para poder acceder.
Teléfono
Teléfono de oficina
Llamada
Videos: Inicio de sesión con MFA
Microsoft Authenticator
Google Authenticator
Política de implantación de MFA
Dependiendo de los destinatarios, se han definido diferentes niveles de seguridad en función de la criticidad de los activos a los que se conectan.
Se han creado unos perfiles de seguridad en función del colectivo y del servicio al que se acceda.
Destinatarios MFA
Cualquier miembro de la comunidad universitaria que quiera hacer uso de los sistemas de información de la UIB deberá acceder utilizando un multifactor de autenticación con diferentes perfiles de seguridad.
EL MFA tiene como destinatarios a los colectivos que conforman la universidad:
- Personal Docente e Investigador.
- Personal de Administración y Servicios.
- Alumnos y resto de miembros de la comunidad universitaria.
Niveles de seguridad
En este apartado se definen los niveles de seguridad con diferentes requerimientos de implantación del MFA en función de la criticidad del activo al que se accede.
| Niveles de seguridad | Perfil |
|---|---|
| ALTO | MFA cada 24 horas |
| MEDIO | MFA cada 7 días. Si el usuario se encuentra en un nivel de riesgo medio o alto, MFA cada 24 horas (1) |
| BAJO | Sin MFA |
Perfiles de seguridad asignados
Los perfiles de seguridad asignados para el acceso a todas las aplicaciones corporativas, excepto a la infraestructura de escritorios virtuales son:
| Colectivos universitarios | Perfil |
|---|---|
| Personal Docente Investigador (PDI) | MEDIO |
| Personal de Administración y Servicios (PAS) | MEDIO |
| Alumnos y resto de miembros de la comunidad universitaria | MEDIO |
Perfiles de seguridad asignados (VDI)
Por otro lado, los perfiles de seguridad para el acceso a la infraestructura de escritorios virtuales (VDI) son:
| Colectivos universitarios | Conexiones internas desde la UIB | Conexiones externas (Internet) |
|---|---|---|
| Personal de Administración y Servicios (PAS) | BAJO | ALTO |
| Alumnos y resto de miembros de la comunidad universitaria | BAJO | ALTO |
Perfiles de seguridad asignados (VPN)
Por otro lado, los perfiles de seguridad para el acceso al servicio de acceso remoto (VPN) son:
| Colectivos universitarios | Conexiones internas desde la UIB | Conexiones externas (Internet) |
|---|---|---|
| Personal Docente Investigador (PDI) | ALTO | ALTO |
| Personal de Administración y Servicios (PAS) | ALTO | ALTO |
| Otros | ALTO | ALTO |
Preguntas frecuentes
¿Qué es la Autenticación de Múltiples Factores (MFA)?
Es una capa adicional de seguridad que se añade al esquema de autenticación básica donde, además de la validación basada en usuario y contraseña, se añade otro factor de autenticación que únicamente puede conocer este usuario, como puede ser: un código enviado a un móvil, una huella dactilar, sistema One-Time-Password (OTP), etc., convirtiendo este proceso de validación en mucho más seguro que el basado únicamente en una autenticación simple.
Métodos de MFA
Un método de autenticación multifactor se basa en solicitar, además del usuario y contraseña, una información adicional que únicamente tiene y conoce el usuario. El usuario puede tener configurados diferentes factores de autenticación adicionales y puede utilizar cualquiera de ellos para finalizar correctamente el proceso de autenticación.
Desde hace unos meses, la UIB dispone de la infraestructura Microsoft 365 como plataforma de entorno colaborativo.
A continuación, se describen algunos de los factores de autenticación que tenemos disponibles en Microsoft 365:
- Mensaje emergente (push) en la aplicación Microsoft Authenticator. El usuario recibe un mensaje push en su teléfono móvil. Para acceder a la aplicación debe desbloquearlo empleando un dato biométrico (huella digital, reconocimiento facial) o un código PIN de seguridad, en función de las características y configuración de su dispositivo móvil.
- Código de un solo uso basado en el tiempo TOTP (Time based One Time Password). El usuario dispone en su móvil de una aplicación como Google Authenticator u otras que genera un código de 6 dígitos. Para poder acceder debe introducir este código en el dispositivo. La validez de este código suele ser de unos 30 segundos.
- Código de un sólo uso OTP (One Time Password): El sistema contacta con el usuario utilizando:
- Envío de un mensaje de texto con un código a un móvil definido previamente por el usuario y que debe introducir para validar la autenticación.
- Llamada telefónica el sistema realiza una llamada a un teléfono que el usuario ha definido previamente (móvil o fijo) con una locución solicitando algún tipo de interacción por su parte para poder validar la autenticación.
- Tokens de seguridad: El usuario se identifica utilizando un dispositivo físico específico, registrado previamente, como por ejemplo un USB o un dispositivo físico TOTP.
¿Quiénes son los usuarios que usarán MFA?
Cualquier miembro de la comunidad universitaria que quiera hacer uso de los sistemas de información de la UIB deberá acceder utilizando un multifactor de autenticación con diferentes perfiles de seguridad.
EL MFA tiene como destinatarios a los tres colectivos que conforman la universidad:
- Personal Docente e Investigador
- Personal de Administración y Servicios
- Alumnos y resto de miembros de la comunidad universitaria unicamente cuando accedan a los escritorios virtuales de las aulas de informática
¿Qué pasa si el usuario olvida su dispositivo móvil o el token?
Es recomendable habilitar varios métodos de MFA (por ejemplo mensaje push con Microsoft Authenticator y llamada telefónica al teléfono institucional) para que en caso de no disponer de uno se pueda hacer uso de un segundo.
¿Por qué activar el MFA?
Adoptar esta medida de seguridad da cumplimiento a lo establecido al respecto por el Esquema Nacional de Seguridad (ENS, RD 311/2022 de 3 de mayo), concretamente en el la medida «Mecanismo de autenticación (usuarios de la organización) [op.acc.6]«. Esta normativa es de obligado cumplimiento en los organismos públicos.
¿Dónde puedo descargar las aplicaciones de autenticación?
¿Cómo puedo validar el funcionamiento del MFA configurado?
Para comprobar el correcto funcionamiento de la validación multifactor (MFA), acceda al siguiente https://aka.ms/mfasetup
¿Qué puedo hacer si los códigos que me devuelve la aplicación donde tengo configurado el MFA no son válidos?
Para comprobar el correcto funcionamiento de la validación multifactor (MFA), acceda al siguiente https://aka.ms/mfasetup
Los códigos que proporcionan las aplicaciones MFA son válidos únicamente para un momento en el tiempo. Si la hora configurada en el dispositivo desde donde consultas tu aplicación MFA no es correcta los códigos no serán válidos. Unos pocos segundos de desfase horario pueden hacer que los códigos no sean válidos.
Podemos verificar si tenemos la hora bien configurada en el equipo accediendo a la web: https://time.is/es/
Para sincronizar la hora podemos:
- equipos Windows: clickar encima de la hora a la derecha barra de tareas y seleccionar «Configuración de fecha y hora» -> «Sincroniza ahora»
- apps para dispositivos móviles: el cambio de zona horario no afecta a siempre que la hora esté sincronizada con la que corresponde zona en la que nos encontramos
- app Google Authenticator: dispone de una opción para forzar la sincronización de la hora. Desde la aplicación hay que ir al menú (icono de tres rayas horizontales) y seleccionar «Configuración» -> «Corrección de la hora en los códigos» -> «Sincroniza ahora»
¿Cómo puedo configurar una aplicación TOTP en mi equipo?
Para configurar un código de un solo uso basado en el tiempo TOTP (Time based One Time Password) distinguiremos dependiendo del sistema operativo del equipo.
No es recomendable utilizar esta aplicación en el mismo dispositivo con el que te conectas para gestionar el MFA.
Las aplicaciones TOTP dependiendo del S.O. son:
- Windows: 2fast – Two Factor Authenticator Supporting
- Mac: Step Two
- Linux: OATH Toolkit
¿Eres personal de la UIB y necesitas ayuda con el MFA?
El Centro de Atención al Usuario (CAU) atiende:
- por teléfono llamando al 971173398
- presencialmente de 8:00 a 20:00 horas (excepto el mes de agosto, periodos de Navidad y Semana Santa, que finaliza a las 15:00h)
- mediante el formulario de contacto para incidencias y/o soporte
¿Eres alumno de la UIB y necesitas ayuda con el MFA?
Si tienes dificultades en la configuración del MFA, a partir del mes de enero de 2025 se podrá ir a los Puntos de Soporte Técnico, situados en los vestíbulos de los edificios del campus o en las aulas de informática.