Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Procedimientos recomendados para proteger las cuentas

Instrucciones sobre cómo proteger las cuentas con acceso a la cadena de suministro de software.

Acerca de esta guía

En esta guía se describen los cambios de mayor impacto que puede realizar para mejorar la seguridad de la cuenta. Cada sección detalla un cambio que puede realizar en los procesos para mejorar la seguridad. Los cambios de mayor impacto se enumeran primero.

¿Cuál es el riesgo?

La seguridad de la cuenta es fundamental para la seguridad de la cadena de suministro. Si un atacante puede tomar el control de su cuenta en GitHub, puede realizar cambios malintencionados en el código o el proceso de compilación. Por lo tanto, tu primer objetivo debe ser dificultar que alguien tome el control de tu cuenta y de las cuentas de otros miembros de la organización.

Configurar la autenticación en dos fases

La mejor forma de mejorar la seguridad de tu cuenta personal es configurar la autenticación en dos fases (2FA). Las contraseñas por sí mismas pueden verse expuestas si son fáciles de adivinar, al reutilizarse en otro sitio que se haya visto expuesto o por ingeniería social, como el phishing. La autenticación en dos fases hace que sea mucho más difícil que las cuentas se vean expuestas, incluso si un atacante tiene su contraseña.

Si es propietario de la organización, puede exigir que todos los miembros de la organización habiliten la autenticación en dos fases.

Configurar su cuenta personal

GitHub admite varias opciones de autenticación en dos fases y, aunque cualquiera de ellas es mejor que nada, la opción más segura es WebAuthn. WebAuthn requiere una clave de seguridad de hardware o un dispositivo que la admita en sistemas como Windows Hello o Mac TouchID. Es posible, aunque difícil, suplantar otras formas de autenticación en dos fases (por ejemplo, alguien que le pida que lea su contraseña puntual de 6 dígitos). Sin embargo, esto no pasa con WebAuthn, ya que el alcance del dominio está integrado en el protocolo, lo que impide que se usen credenciales de un sitio web que traten de suplantar una página de inicio de sesión en GitHub.

Al configurar la autenticación en dos fases, siempre debe descargar los códigos de recuperación y configurar más de un factor. Esto garantiza que el acceso a su cuenta no dependa de un único dispositivo. Para obtener más información, consulte "Configuración de la autenticación en dos fases", "Configuración de métodos de recuperación de autenticación en dos fases" y Claves de seguridad de hardware de GitHub en la tienda de GitHub.

Configurar la cuenta de la organización

Si es propietario de la organización, puede ver qué usuarios no tienen habilitada la autenticación en dos fases, ayudarles a configurarla y, a continuación, exigirla en su organización. Para guiarle a través de ese proceso, consulte:

  1. "Ver si los usuarios de la organización han habilitado la autenticación en dos fases"
  2. "Prepararse para requerir autenticación de dos factores en tu organización"
  3. "Requerir autenticación en dos fases en la organización"

Conectarse a GitHub mediante claves de SSH

Hay otras maneras de interactuar con GitHub además de iniciar sesión en el sitio web. Muchas personas autorizan el código que insertan en GitHub con una clave privada de SSH. Para obtener más información, consulte Acerca de SSH.

Al igual que sucede con la contraseña de la cuenta, si un atacante pudo obtener la clave privada de SSH, podría suplantar tu identidad e insertar código malintencionado en cualquier repositorio para el que tengas acceso de escritura. Si almacena la clave privada de SSH en una unidad de disco, es recomendable protegerla con una frase de contraseña. Para obtener más información, consulte "Trabajar con frases de contraseña de clave de SSH".

Otra opción es generar claves de SSH una clave de seguridad de hardware. Puede usar la misma clave que está usando para la autenticación en dos fases. Las claves de seguridad de hardware son muy difíciles de exponer de forma remota, ya que la clave de SSH privada permanece en el hardware y no es accesible directamente desde el software. Para obtener más información, consulte "Generación de una nueva clave de SSH para una clave de seguridad de hardware".

Pasos siguientes