Déjame hacer una suposición fundamentada. Te cambiaste a Google Workspace porque se suponía que te facilitaría las cosas. ¡Y aunque te sorprenda, lo hizo! ¡Un punto para Google! Sin embargo, quizás esa utilidad se vio interrumpida un día porque alguien reenvió 3,000 correos electrónicos de clientes a su correo personal en su último día de trabajo. ¡Ay! Eso duele de muchas maneras.
La cuestión es la siguiente: Google Workspace ofrece una seguridad sólida. Sin embargo, tu Google Workspace... Probablemente falte La mayoría de las funciones de seguridad principales. La diferencia se reduce a unos 20 minutos de configuración. que casi nadie haceAsí que vamos a cambiar eso. La buena noticia es que es fácil y sencillo. El resto de este artículo describe las vulnerabilidades de seguridad más comunes en Google Workspace y cómo solucionarlas.
Muchas organizaciones habilitan la autenticación multifactor y dan por sentado que están protegidas. Sin embargo, un análisis más detallado suele revelar deficiencias. Algunos usuarios quedan excluidos de la MFA, las cuentas antiguas permanecen activas o los administradores crean excepciones por conveniencia (¿recuerdas la llamada del fin de semana del alto ejecutivo cuyo teléfono se perdió, así que no tenían MFA y la desactivaste?).
¿Por qué esto importa?
Una sola cuenta sin MFA puede proporcionar acceso a correo electrónico, archivos y oportunidades de phishing a usuarios internos de confianza (¡el tipo de ataque de phishing más exitoso que existe!). Este es uno de los problemas más comunes observados en incidentes reales.
Como arreglarlo
Requerir MFA para cada usuario sin excepcionesDesactivar por completo la autenticación heredada. Aplicar requisitos de MFA más estrictos para las cuentas administrativas. Si la MFA es opcional en algún lugar, los atacantes la encontrarán.
OAuth permite a los usuarios conectar aplicaciones de terceros a Google Workspace. Si bien es práctico, esta función conlleva riesgos. Con un solo clic en "Permitir", una aplicación puede acceder al correo electrónico, archivos, contactos y calendarios sin necesidad de contraseña ni activación de MFA.
¿Por qué esto importa?
Las aplicaciones OAuth maliciosas pueden acceder silenciosamente a datos confidenciales durante meses sin ser detectadas. Este es el riesgo que sorprende a los administradores cuando están limpiando después de una filtración, no antes.
Como arreglarlo
Bloquear aplicaciones de terceros de forma predeterminada. Aprueba solo aplicaciones conocidas, confiables y aprobadas. Revisa los permisos de las aplicaciones trimestralmente y configura alertas para las aplicaciones recién conectadas.
Si no se está revisando el acceso OAuth, Es posible que su equipo otorgue acceso completo al correo electrónico de las aplicaciones que usaron una vez para un ejercicio de formación de equipos en 2023.
El acceso de administrador en modo Dios (bueno, se llama superadministrador, pero significa modo Dios) proporciona un control amplio y potente sobre Google Workspace. A pesar de ello, muchos entornos asignan privilegios administrativos a demasiados usuarios. Recuerde que cada administrador adicional aumenta la superficie de ataque y hace que la auditoría sea más laboriosa.
¿Por qué esto importa?
Si una cuenta de administrador se ve comprometida, un atacante puede restablecer contraseñas, añadir superadministradores, desactivar controles de seguridad y acceder a todos sus datos. En ese punto, la contención se vuelve extremadamente difícil.
Como arreglarlo
Limite el acceso de superadministrador a una pequeña cantidad de cuentas confiables. Utilice permisos administrativos basados en roles siempre que sea posible. Separe las cuentas administrativas de las cuentas de correo electrónico de uso diario y revise los registros de actividad administrativa periódicamente. El privilegio mínimo quizá no sea emocionante, pero es muy efectivo.
Gmail ofrece una sólida protección básica, pero los atacantes se adaptan constantemente. Siguen existiendo deficiencias de configuración comunes, como políticas DMARC configuradas solo para monitorización, la omisión de advertencias de remitentes externos y la formación de usuarios que se realiza una sola vez y nunca se refuerza.
¿Por qué esto importa?
El correo electrónico sigue siendo el principal punto de entrada para la gran mayoría de los ataques en empresas medianas y pequeñas. Esto no ha cambiado en más de 20 años.
Como arreglarlo
Implemente SPF, DKIM y DMARC con una política de rechazo. Añada un etiquetado claro, sencillo pero relevante para los remitentes externos. Ofrezca capacitación mensual sobre seguridad (videos y HootPhish) en lugar de sesiones puntuales.
La tecnología ayuda, pero los usuarios capacitados suelen ser la defensa más eficaz. Una sesión de entrenamiento maratónica al año deja a tu equipo dolorido, confundido y sin mayor seguridad que antes. El entrenamiento mensual desarrolla la memoria muscular que impide que alguien haga clic antes de mirar/pensar/validar.
Google Workspace genera registros de auditoría detallados, pero muchas organizaciones nunca los revisan. Esto genera una brecha de visibilidad.
¿Por qué esto importa?
La actividad sospechosa suele pasar desapercibida, como inicios de sesión desde ubicaciones imposibles, descargas masivas de archivos y reglas ocultas de reenvío de correo electrónico. Para cuando se descubre la actividad, ya se han producido daños considerables.
Como arreglarlo
Habilite el registro de auditoría detallado. Supervise las anomalías de inicio de sesión. Revise los cambios en las reglas del buzón y configure alertas para comportamientos de alto riesgo.
Si nadie está mirando los registros, Los atacantes actúan como ladrones que saben que la casa está vacía y que los propietarios están de vacaciones durante dos semanas. No tienen prisa. Se ayudan a sí mismos.
Google Workspace simplifica y facilita el uso compartido de archivos. Solicita a los usuarios que otorguen acceso antes de enviar correos electrónicos a personas externas, pero los mensajes de advertencia son demasiado inofensivos o se ignoran, lo que provoca que se compartan demasiados archivos confidenciales externamente sin seguimiento ni supervisión.
¿Por qué esto importa?
Los datos pueden salir de la organización silenciosamente y sin generar alertas. Esto suele ocurrir sin mala intención, pero el impacto sigue siendo el mismo.
Como arreglarlo
Restringe el uso compartido de archivos externos de forma predeterminada. Requiere aprobación para el acceso externo. Revisa periódicamente los enlaces compartidos y aplica fechas de caducidad para los enlaces públicos.
La conveniencia nunca debe anteponerse al control. Dejar archivos abiertos a "cualquiera que tenga el enlace" es como poner las llaves de casa debajo del felpudo y esperar que sólo las personas adecuadas las encuentren.
Esta podría ser la brecha más importante. Muchas organizaciones usan Google Workspace sin estándares de seguridad escritos, revisiones de acceso periódicas ni una responsabilidad de seguridad claramente asignada.
Sin gobernanza, las configuraciones de seguridad se degradan gradualmente. Eso es pura teoría del caos.
¿Por qué esto importa?
Las configuraciones de seguridad varían naturalmente con el tiempo si nadie se encarga de mantenerlas y revisarlas. Los atacantes se aprovechan de esta variación.
Como arreglarlo
Defina los estándares básicos de seguridad de Google Workspace. Realice revisiones de acceso trimestrales. Alinee las configuraciones con los estándares de seguridad reconocidos y asigne una responsabilidad clara para su mantenimiento.
Todos deberían practicar la seguridad, pero alguien debe rendir cuentas por ello. Los atacantes buscan las mismas señales que los ladrones: sin luces de seguridad, sin pegatinas de la compañía de alarmas, sin perro guardián. Éstas son las características de una casa que no tiene nadie vigilando.
La mayoría de las vulneraciones de seguridad de Google Workspace no son ataques sofisticados de estados-nación con el último exploit de día cero. Son simples exploits de configuraciones predeterminadas, configuraciones olvidadas y confianzas infundadas.
Los atacantes piensan como ladrones. No buscan el robo imposible. Buscan la casa sin alarmas, sin luces con temporizador y con el correo amontonado en la puerta.
Cierra esas brechas. Tu objetivo no es la perfección. Su objetivo es parecer menos fácil que la organización de al lado.
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
Tu bandeja de entrada recibe docenas de correos electrónicos a diario que parecen completamente rutinarios. Una notificación de DocuSign encaja a la perfección.
Read more
Y sí, la IA Gemini de Google no tenía ni idea de que trabajaba para los delincuentes. El malware siempre ha seguido un guion...
Read more
Los grupos de ransomware no están entrando en las organizaciones como lo hacían hace cinco años. Los métodos de entrada han...
Read moreObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
