Microsoft ha anunciado que va a exigir la autenticación multifactor (MFA) para todos los inicios de sesión de Azure. Los clientes pueden seleccionar entre varias opciones de MFA a través de Microsoft Entra para satisfacer sus necesidades. Estas son: Usuarios que aprueban inicios de sesión desde una aplicación móvil mediante notificaciones push, biometría o códigos de acceso de un solo uso a través de las claves de seguridad FIDO2 de Microsoft Authenticator, que permiten inicios de sesión sin un nombre de usuario o contraseña mediante una comunicación de campo cercano (NFC) USB externa u otra clave de seguridad externa que admita los estándares Fast Identity Online (FIDO) Autenticación basada en certificados, que aplica MFA resistente a la suplantación de identidad mediante verificación de identidad personal (PIV) y tarjeta de acceso común (CAC). Claves de acceso, que están disponibles mediante la aprobación por voz o SMS de Microsoft Authenticator Microsoft agregó que las soluciones de MFA externas y los proveedores de identidad federados seguirán siendo compatibles y cumplirán con el requisito de MFA si están configurados para enviar una reclamación de MFA. El requisito se aplica a todos los usuarios que realizan cualquier operación de creación, lectura, actualización y eliminación (CRUD). Sin embargo, los usuarios finales que acceden a aplicaciones, sitios web o servicios alojados en Azure, pero no inician sesión en el portal de Azure, CLI o PowerShell, no están sujetos a este requisito. Además, las identidades de carga de trabajo, como las identidades administradas y las entidades de servicio, no se verán afectadas por esta aplicación. Los requisitos de autenticación para los usuarios finales seguirán estando controlados por los propietarios de la aplicación, el sitio web o el servicio. Leer ahora: ¿Es MFA suficiente para protegerlo contra los ciberataques? Implementación gradual de MFA obligatoria Microsoft reveló que la implementación obligatoria de MFA comenzará en la segunda mitad de 2024, y todos los administradores globales de Entra recibirán un aviso con 60 días de anticipación por correo electrónico y a través de las notificaciones de Azure Service Health. La fase 1 comenzará en octubre de 2024, cuando se requiera MFA para iniciar sesión en el portal de Azure, el centro de administración de Microsoft Entra y el centro de administración de Intune. La aplicación se implementará gradualmente para todos los inquilinos en todo el mundo. La fase 2 comenzará a principios de 2025, cuando la aplicación de MFA comience a aplicarse para Azure CLI, Azure PowerShell, la aplicación móvil de Azure y las herramientas de Infraestructura como código (IaC). Microsoft considerará plazos extendidos para los clientes con entornos complejos o barreras técnicas. Los clientes deberán implementar el nuevo requisito de MFA además de las políticas de acceso que hayan configurado en sus inquilinos. Para las organizaciones que actualmente tienen habilitados los valores predeterminados de Microsoft o una política de acceso condicional a través de la cual los usuarios inician sesión en Azure con MFA, los usuarios no verán un cambio en las prácticas de inicio de sesión existentes. Microsoft escribió: «Nuestro objetivo es brindar una experiencia sin fricciones para los clientes legítimos al tiempo que garantizamos que se implementen medidas de seguridad sólidas. Alentamos a todos los clientes a comenzar a planificar el cumplimiento lo antes posible para evitar interrupciones comerciales». Microsoft se compromete a reforzar su seguridad El requisito de Azure MFA forma parte de la Iniciativa de Futuro Seguro (SFI) de Microsoft, presentada en noviembre de 2023, que tiene como objetivo garantizar que la empresa pueda responder mejor a la creciente velocidad, escala y sofisticación de las ciberamenazas actuales. Uno de los pilares de la iniciativa está dedicado a proteger las identidades y los secretos, y Microsoft se comprometió a proteger el 100% de las cuentas de usuario con MFA segura, administrada y resistente al phishing. En junio de 2024, el presidente de Microsoft, Brad Smith, aceptó las críticas a las prácticas de ciberseguridad de la empresa en un informe de la Junta de Revisión de Seguridad Cibernética (CSRB), que, según dijo, permitió a los piratas informáticos estatales chinos acceder a los correos electrónicos de los funcionarios del gobierno de EE. UU. en el verano de 2023. Smith se comprometió en su testimonio ante el Congreso de EE. UU. a fortalecer las protecciones de ciberseguridad de Microsoft en todos los ámbitos, incluida la seguridad de las cuentas de los clientes. Crédito de la imagen: monticello / Shutterstock.com