Configurar los métodos de verificación de MFA disponibles para usuarios para organizaciones de Salesforce

Nombre de control

Configuración de métodos de verificación de autenticación de múltiples factores (MFA)

Configuración recomendada

Active métodos de verificación MFA resistentes a phishing, priorizando autenticadores integrados, llaves de seguridad de hardware y autenticación basada en certificados.

Descripción general de control

Salesforce admite múltiples métodos de verificación MFA para permitir a los usuarios verificar su identidad durante el inicio de sesión o la activación del dispositivo. Estos métodos van desde autenticadores resistentes a phishing, como datos biométricos y llaves de seguridad de hardware, a métodos más débiles como contraseñas basadas en SMS. La selección de métodos de verificación sólidos reduce significativamente el riesgo de robo de credenciales y ataques de ingeniería social.

Riesgo de seguridad si no está configurado

Si los métodos de verificación MFA sólidos no están activados, los usuarios pueden confiar en opciones más débiles o menos resistentes a la suplantación de identidad (phishing). Esto aumenta la susceptibilidad a phishing, reproducción de credenciales, intercambio de SIM y ataques de ingeniería social que pueden llevar a un acceso no autorizado.

Escenarios de amenazas

Ataques de phishing capturando contraseñas simultáneas, ataques de intercambio de SIM dirigidos a MFA basada en SMS, secuestro de sesiones debido a la falta de autenticación vinculada al origen, suplantación de usuarios o sistemas sin validación de certificado.

Intervalo de puntuaje de CVSS estimado

Crítico (9,0 a 10,0).

Consideraciones de impacto de riesgo

La gravedad del riesgo depende del tipo de usuario (interno frente a externo), los niveles de privilegios de acceso, la exposición de sitios de Experience Cloud y si los métodos de autenticación son resistentes a phishing.

Mayor riesgo cuando

Solo MFA basada en SMS está disponible, los autenticadores resistentes a phishing no están activados, las llaves de seguridad de hardware no son compatibles o la autenticación de sistema a sistema carece de validación basada en certificados.

Bajo riesgo cuando

Este control puede considerarse de bajo riesgo al implementar una o más de las siguientes acciones:

• Autenticadores integrados: Los autenticadores biométricos basados en dispositivos como Touch ID, Face ID o Windows Hello están activados.
• Llaves de seguridad de hardware: Las llaves de seguridad WebAuthn (FIDO2) o U2F son compatibles y adoptadas por los usuarios.
• Autenticación basada en certificado: La validación de certificados mutua se aplica para la autenticación segura del usuario o del sistema.
• Uso limitado de SMS: MFA basada en SMS está restringida a usuarios externos únicamente y complementada con protecciones adicionales donde sea posible.
• Requerir verificación de usuario durante la verificación de MFA: Durante la verificación de MFA, la verificación de usuario está configurada para aplicarse para verificar el usuario.

Consideraciones de negocio e integración

Los clientes deben tener en cuenta la experiencia de usuario, la compatibilidad de dispositivos, las poblaciones de usuarios externos y los requisitos normativos al seleccionar métodos de MFA. Los sitios de Experience Cloud de cara al público pueden requerir la adopción por fases de métodos de autenticación más sólidos.

Remediación recomendada

Active autenticadores integrados y llaves de seguridad de hardware, configure la autenticación basada en certificados donde corresponda, limite o elimine gradualmente MFA basada en SMS y revise regularmente la adopción y el uso de métodos de MFA.

Directrices de revisión del estado de seguridad

Security Health Review evalúa métodos de verificación de MFA para ayudar a los clientes a adoptar autenticación resistente a phishing, reducir el riesgo de ataque basado en identidad y alinearse con líneas base de seguridad recomendadas por Salesforce y principios de Zero Trust.