Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Mejores prácticas para asegurar las cuentas

Orientación sobre cómo proteger las cuentas con acceso a tu cadena de suministro de software.

Acerca de esta guía

Esta guía describe los cambios de más alto impacto que puedes hacer para incrementar la seguridad de la cuenta. Cada sección describe un cambio que puedes hacer a tus procesos para mejorar la seguridad. Los cambios de más alto impacto se listan primero.

¿Cuál es el riesgo?

La seguridad de las cuentas es fundamental para la seguridad de tu cadena de suministro. Si un atacante puede apoderarse de tu ceunta en GitHub, este puede hacer cambios malintencionados a tu código o a tu proceso de compilación. Así que tu primera meta debería ser que fuera difícil que alguien se apoderara de tu cuenta y de las cuentas de otros miembros de tu organización.

Configurar la autenticación bifactorial

La mejor forma de mejorar la seguridad de tu cuenta personal es configurar la autenticación bifactorial (2FA). Las contraseñas por sí mismas pueden ponerse en riesgo si se pueden adivinar fácilmente, si se reutilizan en otro sitio que se haya puesto en riesgo o mediante ingeniería social, como con el phishing. La 2FA hace que sea mucho más difícil que tus cuentas se pongan en riesgo, incluso si un atacante tiene tu contraseña.

Si eres un propietario de organización, entonces puedes requerir que todos los miembros de la organización habiliten la 2FA.

Configurar tu cuenta personal

GitHub es compatible con varias opciones para la 2FA y, si bien cualquiera de ellas es mejor que nada, la opción más segura es la WebAuthn. La WebAuthn requiere ya sea de una llave de seguridad de hardware o de un dispositivo que sea compatible con ella mediante instrumentos como Windows Hello o Mac TouchID. Es posible, aunque difícil, hacer phishing en otras formas de 2FA (por ejemplo, que alguien te pida que le leas tu contraseña de una sola ocasión de 6 dígitos). Sin embargo, no se puede hacer phishing con la WebAuthn, ya que el alcance del dominio está integrado en el protocolo, lo que previene que las credenciales de un sitio web se hagan pasar por una página de inicio de sesión para que se utilice en GitHub.

Cuando configuras la 2FA, siempre deberás descargar los códigos de recuperación y configurar más de un factor. Esto garantiza que el acceso a tu cuenta no dependa de un solo dispositivo. Para obtener más información, consulta las secciones "Configurar la autenticación bifactorial", "Configurar los métodos de recuperación de la autenticación bifactorial" y Llaves de seguridad de hardware con marca de GitHub en la tienda de GitHub.

Configurar tu cuenta de organización

Si eres un propietario de organización, puedes ver a los usuarios que no tienen habilitada la 2FA, ayudarles a configurarla y luego requerirla para tu organización. Para guiarte en este proceso, consulta las siguientes secciones:

  1. "Ver si un usuario en tu organización tiene habilitada la 2FA"
  2. "Prepararse para requerir la autenticación bifactorial en tu organización"
  3. "Requerir la autenticación bifactorial en tu organización"

Conectarte a GitHub utilizando llaves SSH

Hay otras formas de interactuar con GitHub màs allà de iniciar sesiòn en el sitio web. Muchas personas autorizan el còdigo que suben a GitHub con una llave SSH privada. Para obtener más información, consulta la sección "Acerca de SSH".

Tal como la contraseña de tu cuenta, si un atacante pudiera obtener tu llave SSH privada, podrían hacerse pasar por ti y subir código malintencionado a cualquier repositorio al cuál tengas acceso de escritura. Si almacenas tu llave privada SSH en un volumen de disco, es buena idea protegerlo con una frase de ingreso. Para obtener más información, consulta la sección "Trabajar con frases de acceso para llaves SSH".

Otra opción es generar llaves SSH en una llave de seguridad de hardware. Podrías utilizar la misma llave que utilizas para la 2FA. Las llaves de seguridad de hardware son difíciles de poner en riesgo remotamente, ya que la llave SSH privada permanece en el hardware y no se puede acceder directamente a ella desde el software. Para obtener más información, consulta la sección "Generar una llave SSH nueva para una llave de seguridad de hardware".

Pasos siguientes