Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Mejores prácticas para asegurar las cuentas

Orientación sobre cómo proteger las cuentas con acceso a tu cadena de suministro de software.

Acerca de esta guía

Esta guía describe los cambios de más alto impacto que puedes hacer para incrementar la seguridad de la cuenta. Cada sección describe un cambio que puedes hacer a tus procesos para mejorar la seguridad. Los cambios de más alto impacto se listan primero.

¿Cuál es el riesgo?

La seguridad de las cuentas es fundamental para la seguridad de tu cadena de suministro. Si un atacante puede apoderarse de tu ceunta en GitHub Enterprise Cloud, este puede hacer cambios malintencionados a tu código o a tu proceso de compilación. Así que tu primera meta debería ser que fuera difícil que alguien se apoderara de tu cuenta y de las cuentas de otros miembros de tu organización o empresa.

Centralizar la autenticación

Si eres un propietario de organización o de empresa, puedes configurar la autenticación centralizada con SAML. Si bien puedes agregar o eliminar a los miembros manualmente, es más simple y seguro configurar el inicio de sesión único (SSO) y el SCIM entre GitHub Enterprise Cloud y tu proveedor de identidad (IdP) de SAML. Esto también simplifica el proceso de autenticación para todos los miembros de tu empresa.

Puedes configurar la autenticación de SAML para una cuenta de empresa u organización. Con SAML, puedes otorgar el acceso a las cuentas personales de los miembros de tu empresa u organización en GitHub.com mediante tu IdP o puedes crear y controlar las cuentas que le pertenecen a tu empresa al utilizar las Usuarios Administrados de Enterprise. Para obtener más información, consulta la sección "Acerca de la autenticación para tu empresa".

Después de que configuras la autenticación de SAML, cuando los miembros soliciten acceso a tus recursos, se les podría dirigir a tu flujo de SSO para garantizar que aún los reconozca tu IdP. Si no se les reconoce, su solicitud se rechazará.

Algunos IdP son copatible con un protocolo llamado SCIM, el cual aprovisiona o desaprovisiona automáticamente el acceso en GitHub Enterprise Cloud cuando haces cambios a tu IdP. Con SCIM, puedes simplificar la administración conforme crece tu equipo y puedes revocar el acceso a las cuentas rápidamente. El SCIM está disponible para las organizaciones individuales en GitHub Enterprise Cloud o para las empresas que utilizan Usuarios Administrados de Enterprise. Para obtener más información, consulta la sección "SCIM para las organizaciones".

Configurar la autenticación bifactorial

La mejor forma de mejorar la seguridad de tus cuentas es configurar la autenticación bifactorial (2FA). Las contraseñas por sí mismas pueden ponerse en riesgo si se pueden adivinar fácilmente, si se reutilizan en otro sitio que se haya puesto en riesgo o mediante ingeniería social, como con el phishing. La 2FA hace que sea mucho más difícil que tus cuentas se pongan en riesgo, incluso si un atacante tiene tu contraseña.

Si eres un propietario de empresa, podrías configurar una política para requerir la 2FA para todas las organizaciones que le pertenecen a tu empresa.

Si eres un propietario de organización, entonces podrìas requerir que todos los miembros de la organización habiliten la 2FA.

Configura tu cuenta empresarial

Los propietarios de las empresas podrían requerir la 2FA para todos los miembros de la empresa. La disponibilidad de las políticas de 2FA en GitHub Enterprise Cloud depende de cómo los miembros se autentican para acceder a los recursos de la empresa.

Si tu empresa utiliza Usuarios Administrados de Enterprise o la autenticación de SAML se requiere para esta, no puedes configurar la 2FA en GitHub Enterprise Cloud. Alguien con acceso administrativo a tu IdP debe configurar la 2FA para el IdP.

Para obtener más información, consulta las secciones "Acerca de la administración de accesos e identidad para tu empresa" y "Requerir políticas para los ajustes de seguridad en tu empresa".

Configurar tu cuenta personal

Nota: Dependiendo del método de autenticación que haya configurado un propietario de empresa para tu empresa en GitHub.com, podrías no poder habilitar la 2FA para tu cuenta personal.

GitHub Enterprise Cloud es compatible con varias opciones para la 2FA y, si bien cualquiera de ellas es mejor que nada, la opción más segura es la WebAuthn. La WebAuthn requiere ya sea de una llave de seguridad de hardware o de un dispositivo que sea compatible con ella mediante instrumentos como Windows Hello o Mac TouchID. Es posible, aunque difícil, hacer phishing en otras formas de 2FA (por ejemplo, que alguien te pida que le leas tu contraseña de una sola ocasión de 6 dígitos). Sin embargo, no se puede hacer phishing con la WebAuthn, ya que el alcance del dominio está integrado en el protocolo, lo que previene que las credenciales de un sitio web se hagan pasar por una página de inicio de sesión para que se utilice en GitHub Enterprise Cloud.

Cuando configuras la 2FA, siempre deberás descargar los códigos de recuperación y configurar más de un factor. Esto garantiza que el acceso a tu cuenta no dependa de un solo dispositivo. Para obtener más información, consulta las secciones "Configurar la autenticación bifactorial", "Configurar los métodos de recuperación de la autenticación bifactorial" y Llaves de seguridad de hardware con marca de GitHub en la tienda de GitHub.

Configurar tu cuenta de organización

Nota: Dependiendo del método de autenticación que haya configurado un propietario de empresa para tu empresa en GitHub.com, podrías no poder requerir la 2FA para tu organización.

Si eres un propietario de organización, puedes ver a los usuarios que no tienen habilitada la 2FA, ayudarles a configurarla y luego requerirla para tu organización. Para guiarte en este proceso, consulta las siguientes secciones:

  1. "Ver si un usuario en tu organización tiene habilitada la 2FA"
  2. "Prepararse para requerir la autenticación bifactorial en tu organización"
  3. "Requerir la autenticación bifactorial en tu organización"

Conectarte a GitHub Enterprise Cloud utilizando llaves SSH

Hay otras formas de interactuar con GitHub Enterprise Cloud màs allà de iniciar sesiòn en el sitio web. Muchas personas autorizan el còdigo que suben a GitHub con una llave SSH privada. Para obtener más información, consulta la sección "Acerca de SSH".

Tal como la contraseña de tu cuenta, si un atacante pudiera obtener tu llave SSH privada, podrían hacerse pasar por ti y subir código malintencionado a cualquier repositorio al cuál tengas acceso de escritura. Si almacenas tu llave privada SSH en un volumen de disco, es buena idea protegerlo con una frase de ingreso. Para obtener más información, consulta la sección "Trabajar con frases de acceso para llaves SSH".

Otra opción es generar llaves SSH en una llave de seguridad de hardware. Podrías utilizar la misma llave que utilizas para la 2FA. Las llaves de seguridad de hardware son difíciles de poner en riesgo remotamente, ya que la llave SSH privada permanece en el hardware y no se puede acceder directamente a ella desde el software. Para obtener más información, consulta la sección "Generar una llave SSH nueva para una llave de seguridad de hardware".

Las llaves SSH respaldadas por hardware son bastante seguras, pero el requisito de hardware podría no funcionar para algunas organizaciones. Un enfoque alterno es utilizar llaves SSH que solo sean válidas durante un periodo de tiempo corto, para que incluso si esta se pone en riesgo, no pueda aprovecharse por mucho tiempo. Este es el concepto detrás de ejecutar tu propia autoridad de certificados SSH. Si bien este acercamiento te proporciona mucho control de cómo se autentican los usuarios, también trae consigo la responsabilidad de mantener una autoridad de certificados SSH por ti mismo. Para obtener más información, consulta la sección Acerca de las autoridades de certificados SSH".

Pasos siguientes