En febrero de 2022 Salesforce estableció como obligatorio el uso del Multi-Factor Authentication (MFA) para aumentar la seguridad de su plataforma. Sin embargo, a día de hoy muchos usuarios continúan sin establecerlo, por lo que durante los próximos meses se comenzará a realizar el uso forzado de este método en todas las orgs. En S4G analizamos toda la información que necesitas para tener tu plataforma Salesforce totalmente protegida.
¿Qué es el MFA de Salesforce?
El MFA o Multi-Factor Authentication es una de las herramientas más sencillas y efectivas para mejorar la seguridad de los inicios de sesión contra amenazas en la seguridad como ataques de phishing, keyloggers, robo de credenciales…
Proporciona una capa de seguridad extra al procedimiento de inicio de sesión, requiriendo una prueba o factor adicional para garantizar que verdaderamente el usuario es quien dice ser.
A los factores tradicionales de nombre de usuario y contraseña (algo que sabes), se le añade la necesidad de aportar algo que tienes, por ejemplo un teléfono móvil o una llave de seguridad. De esta forma, la combinación de “algo que sabes” y “algo que tienes” hace que el acceso al sistema sea mucho más seguro.
Fechas de uso forzado de MFA Salesforce para 2023
A partir del 1 de febrero de 2022, Salesforce comenzó a solicitar a sus clientes que utilizasen MFA para acceder a sus productos. Todos los usuarios internos que quisieran acceder al sistema a través de la interfaz de usuario deberían utilizar MFA para validar el inicio de sesión. Sin embargo, pese a ser obligatorio, muchos usuarios no lo activaron en su momento. Por ello, para 2023 Salesforce ha establecido una serie de fechas para diferentes productos y soluciones a partir de las cuales se forzará el uso de MFA en la plataforma. De esta forma, a partir de finales de 2023 cualquier usuario de Salesforce tendrá activado MFA. Estas son las fechas de uso forzado para cada solución y producto en 2023:
- Productos construidos sobre Salesforce Platform: Septiembre de 2023.
- MuleSoft Anypoint Platform: Segunda mitad de 2023.
- Tableau Online: Entre el 17 y el 21 de abril de 2023.
En el resto de productos y soluciones ya se estableció el uso forzado de MFA a lo largo de 2022.
Métodos de Verificación en MFA de Salesforce
Disponemos de múltiples métodos de verificación compatibles con MFA en Salesforce. Cada administrador podrá configurar aquellos que considere oportunos para su organización.
- Salesforce Authenticator
Se trata de una App Móvil de Salesforce que permite verificar el inicio de sesión desde nuestro teléfono móvil.
El funcionamiento es sencillo: Cada vez que el usuario ingrese su nombre de usuario y contraseña en Salesforce, recibirá una notificación en la aplicación Salesforce Authenticator. El usuario podrá en ese momento, confirmar que ha sido él o rechazar el acceso.
Cuenta además con ventajas como poder configurar “ubicaciones seguras” como la oficina o nuestra casa. De esta forma, si nos encontramos en una de estas ubicaciones, el acceso a Salesforce será automático.
La aplicación es gratuita y está disponible tanto para Android como iOS.
- Aplicaciones de autenticación externas
Existen aplicaciones de terceros como Google Authenticator o Microsoft Authenticator que también permite confirmar los inicios de sesión en Salesforce de manera similar a Salesforce Authenticator.
- Llaves de seguridad
Es posible utilizar una llave de seguridad (USB) para gestionar el MFA. Estas llaves son dispositivos físicos de seguridad que pueden adquirirse en múltiples mercados. Cada usuario debe disponer de su propia llave e insertarla en el ordenador para verificar el inicio de sesión.
- Autenticadores integrados
Por último, también es posible utilizar los propios autenticadores biométricos disponibles en nuestros dispositivos (como el lector de huellas dactilares, Windows Hello, Touch ID o Face ID) para segurizar nuestro inicio de sesión.
¿Es obligatorio activarlo?
Como decíamos al principio, desde el 1 de febrero de 2022 se debía activar el MFA para reforzar la seguridad de nuestras organizaciones. Por el momento no es una medida totalmente obligatoria en algunos productos y soluciones, pero el hecho de no activarlo haría que no estuviéramos cumpliendo con las condiciones contractuales de Salesforce. Además, como se reflejaba antes, a lo largo de 2023 Salesforce irá forzando el uso de MFA a todos aquellos usuarios que todavía no lo tengan activado.
Si no sabes si tu implementación satisface los requisitos del MFA de Salesforce, puedes completar este cuestionario en el que se revisan los aspectos claves en la seguridad de tu organización.
Además, puedes encontrar toda la información sobre MFA en el FAQ que Salesforce ha preparado al respecto. Y si tienes alguna duda sobre cómo activar MFA en tu sistema, no dudes en ponerte en contacto con nosotros.
