Al igual que ocurre desde hace años con su banco, o más recientemente con sus redes sociales o sitios de compras, los servicios online protegidos únicamente con una contraseña se han demostrado que son muy débiles frente ataques, ya que los robos de contraseña por descuidos o malware son habituales. Con el MFA ponemos otra barrera más para intentar parar estos ataques basados en el robo de contraseñas.

Cada cuenta de empleado de la UC es una puerta que permite, mediante el uso de diferentes técnicas, desarrollar ataques más complejos y graves que pueden llegar a paralizar a toda la institución. Esto no es una posibilidad teórica o algo lejano. Es algo que ya ha ocurrido en universidades españolas análogas a la nuestra, y que puede ocurrir aquí. Por eso muchas de las universidades españolas ya obligan a sus empleados a usar MFA y varias lo requieren siempre.
Las contraseñas de los empleados de las universidades que se han filtrado, por phishing, malware o porque usan la misma contraseña para otros servicios online, se venden en el mercado negro (Dark Web), y son una herramienta muy útil para realizar ataques a personas o instituciones para extorsionarlas o por ciberterrorismo de motivación ideológica.
No es algo que “pase a los demás”. Cada año a decenas de empleados de la UC les roban sus contraseñas, normalmente por usar la misma contraseña que en otros servicios, como correos particulares o redes sociales, por phishing o por otras causas. No ser cuidadoso con nuestras credenciales de empleado, por ejemplo, usar la misma contraseña para otros servicios fuera de la UC o no prestar atención al phishing, pueden causar un grave daño social, económico y reputacional tanto a la Universidad como a nivel personal. Consulte: https://sdei.unican.es/nopiques

Sí, en caso de querer acceder a determinados servicios desde fuera de la UC.
Si no quiere utilizar MFA o no se siente cómodo usándolo, no podrá acceder remotamente a la Red UNICAN por VPN y no podrá acceder a los servicios que requieran autenticación MFA cuando estamos fuera de la UC, por lo que solo podrá usarlos cuando esté en su puesto de trabajo. Por ejemplo, sin MFA no podrá leer su correo profesional salvo cuando está en su puesto de trabajo.

Puede registrar hasta cinco métodos, que pueden ser: un teléfono fijo (para recibir un código temporal por llamada de voz automatizada), dos números de móvil (para recibir códigos temporales por SMS o llamada), llaves de seguridad (tipo Yubico) y aplicaciones de autenticación (Microsoft Authenticator) instaladas en varios dispositivos. Lo importante es que sean dispositivos que están bajo su control personal. Si pierde un dispositivo donde tienen configurado la App para MFA, debe borrar dicho método de la configuración de su cuenta.

Si al intentar configurarlo le solicita MFA, significa que ya tenía algún método configurado previamente. Por ejemplo, en su día configuró la App Microsoft Authenticator pero posteriormente la borró o cambió de móvil. Si no tiene registrado su número de teléfono (para recibir un SMS) o no se acuerda de nada, tendrá que empezar de cero.
Para borrar todos los mecanismos MFA existentes deberemos acceder con certificado electrónico al Campus Virtual de la UC ( https://campusvirtual.unican.es ) y seleccionar la opción de Administrar Cuenta > “Reset MFA”.

Sin lugar a dudas, lo mejor es usar habitualmente la aplicación de autenticación Microsoft Authenticator mediante notificaciones, pero además registrar al menos otro método alternativo para no quedarse bloqueado. Además, Microsoft Authenticator le permite darse de alta, opcionalmente, en passwordless sign-in (ver instrucciones en este documento).

No. No es necesario proporcionar un número de teléfono.
Puede utilizar solo la aplicación Microsoft Authenticator aunque recomendamos en ese caso tener la aplicación registrada en al menos dos dispositivos distintos para tener dos alternativas de validación MFA.

Aunque el móvil es el mecanismo más natural y ​cómodo para hacer uso del MFA, existe como alternativa la posibilidad de utilizar alguna aplicación de escritorio que permite usar MFA. Naturalmente esta aplicación será necesaria configurarla en un ordenador que esté bajo nuestro control exclusivo y al que tengamos acceso cuando nos encontramos fuera de la UC. Para ello se han de seguir las instrucciones del Manual de Configuración del MFA si no tengo móvil, que encontrará en https://sdei.unican.es/mfa

Si decide registrar un número de teléfono, se trata de un acto entre usted y Microsoft y únicamente a efectos de la prestación del servicio MFA. La Universidad no interviene. No se utiliza para ninguna otra finalidad.

Los datos se almacenan en la Unión Europea y Microsoft cumple la legislación española y europea en materia de datos personales (RGPDP) y de seguridad para las administraciones públicas (ENS), siendo su representante legal en la Unión Europea Microsoft Ireland Ltd. Para más información consulte la información legal disponible en el sitio de Microsoft.

Sí, pero tengan en cuenta las limitaciones físicas.

Puede ser de utilidad como medio de emergencia alternativo por si pierde/desinstala el Microsoft Authenticator, por ejemplo. Pero su limitación es que solo podrá usarlo si está físicamente donde está la línea fija, y si se trata del despacho no tiene sentido como método principal ya que solo le pedirá el MFA cuando esté fuera de la Universidad.

Sí, pero tenga en cuenta que eso solo le sirve por si hay un problema con la aplicación (por ejemplo, la desinstala por error).

Se recomienda tener registrados otros métodos adicionales por si pierde el terminal móvil, y con ello el acceso a la aplicación y a la línea móvil, ya que en este escenario al perder el móvil perdería los dos métodos MFA a la vez. O al menos hasta que recupere la línea del número de móvil después de hacer los correspondientes trámites con su compañía telefónica.

Lo mínimo sería tener dos y lo más recomendable para evitar inconvenientes son tres: la aplicación Authenticator, el número de móvil habitual y un número de teléfono alternativo bajo nuestro control o total confianza por si perdemos el móvil donde tenemos la aplicación y la línea registrada.

Sí. Normalmente se protege con autenticación biométrica (huella o reconocimiento facial). Si su dispositivo no lo soporta debe protegerlo con un PIN local.

No. Solo en la instalación de la aplicación (para “bajársela”) y el registro inicial. Luego funciona de forma autónoma incluso si no hay cobertura o está en modo avión. Si no tiene datos en el móvil, las notificaciones entrantes (tipo “push”) con los números de dos cifras no funcionan, pero en ese caso basta con marcar, “quiero usar otro método” e indicar que se quiere usar una “contraseña de un solo uso”. Entonces introducimos el número de seis cifras que aparece en la App para nuestra cuenta y que es aleatorio y cambiante.

Si se desinstala la aplicación se pierde el vínculo con la cuenta y por tanto ese factor de autenticación. No vale con volverla a instalar. Al reinstalarla deberá vincular de nuevo la aplicación a su cuenta. Tenga en cuenta que necesitará otro sistema de MFA (por ejemplo, un SMS al número de línea móvil) para acceder al portal y realizar todas estas operaciones.
Por eso recomendamos tener medios alternativos ya que, si no, no podrá acceder y deberá resetear todos sus métodos MFA desde Campus Virtual usando su certificado personal.
Para borrar todos los mecanismos MFA existentes deberemos acceder con certificado electrónico al Campus Virtual de la UC ( https://campusvirtual.unican.es ) y seleccionar la opción de Administrar Cuenta > “Reset MFA”.

Puede que reciba en la App Microsoft Authenticator una solicitud de inicio de sesión que no esperaba. Esto puede deberse a:
- Una solicitud de renovación del inicio de sesión de un dispositivo en el que tenemos configurado. . - Un intento de validación fraudulenta.
Dado que ante la duda es mejor no aceptar un intento de validación que no reconocemos, es mejor pulsar “No, no soy yo”.
Sin embargo, cuando pulsamos “No, no soy yo” es posible que el sistema nos ofrezca a continuación bloquear la autenticación MFA para nuestra cuenta pulsando “Informar”. Este punto es muy delicado, ya que si bloqueamos el MFA de nuestra cuenta bloquearemos la validación en cualquier servicio que use MFA. Si bloqueamos el MFA de nuestra cuenta pulsando “Informar” la única forma de desbloquearlo es contactar con el soporte del Servicio de Informática.
Por tanto, si se trata de una solicitud puntual que no reconocemos lo mejor es pulsar “No, no soy yo” pero no “informar”, es decir pulsar “cancelar”. Lo más probable es que se deba a algún dispositivo propio que se nos ha olvidado que lo teníamos configurado. Cuando vayamos a usarlo veremos que la autenticación MFA ha caducado y volvemos a activarla y ya está. Pero por si acaso se trata de un fraude es mejor decir que no se reconoce ese intento de inicio de sesión. Únicamente tiene sentido bloquear en MFA (pulsando “informar”) si recibimos muchas notificaciones que no reconocemos y queremos evitarlas. En ese caso al bloquear el MFA de nuestra cuenta, se bloquearán los servicios que requieren MFA y debemos contactar con el soporte del Servicio de Informática.

Si pierde el móvil y es el único dispositivo de doble autenticación que tiene registrado no podrá acceder a los servicios cuando se requiera MFA y deberá abrir un caso con nuestro soporte que se podrá demorar o bien restear todos sus métodos MFA accediendo a Campus Virtual con su certificado electrónico personal.

Por ello le recomendamos que active varios métodos MFA. Por ejemplo, un número de móvil distinto de el del dispositivo donde tiene instalado Microsoft Authenticator.
Por eso recomendamos tener medios alternativos ya que, si no, no podrá acceder y deberá resetear todos sus métodos MFA desde Campus Virtual usando su certificado personal.
Para borrar todos los mecanismos MFA existentes deberemos acceder con certificado electrónico al Campus Virtual de la UC ( https://campusvirtual.unican.es ) y seleccionar la opción de Administrar Cuenta > “Reset MFA”.

Debe acceder al portal de https://aka.ms/mfasetup y agregar primero el Authenticator del nuevo dispositivo. Al agregar el Authenticator del nuevo dispositivo no se elimina automáticamente la aplicación del antiguo. Desinstale la aplicación de su antiguo dispositivo y a continuación elimine la instancia de Microsoft Authenticator referida al antiguo dispositivo de la configuración de su cuenta en https://aka.ms/mfasetup
Si ya no tiene acceso al antiguo dispositivo (lo ha perdido, se ha roto, ..) tenga en cuenta que necesitará otro sistema de MFA (por ejemplo, un SMS al número de línea móvil) para acceder al portal y realizar todas estas operaciones.
Por eso recomendamos tener medios alternativos ya que, si no, no podrá acceder y deberá resetear todos sus métodos MFA desde Campus Virtual usando su certificado personal.
Para borrar todos los mecanismos MFA existentes deberemos acceder con certificado electrónico al Campus Virtual de la UC ( https://campusvirtual.unican.es ) y seleccionar la opción de Administrar Cuenta > “Reset MFA”.

Debe acceder a https://aka.ms/mfasetup y en información de seguridad “cerrar todas las sesiones”. A continuación, elimine la instancia de Microsoft Authenticator referida al dispositivo perdido.
Tenga en cuenta que necesitará otro sistema de MFA (por ejemplo, un SMS a otro número de teléfono o la aplicación en otro dispositivo que sigue en su poder) para acceder al portal y realizar todas estas operaciones.
Por eso recomendamos tener medios alternativos ya que, si no, no podrá acceder y deberá resetear todos sus métodos MFA desde Campus Virtual usando su certificado personal.
Para borrar todos los mecanismos MFA existentes deberemos acceder con certificado electrónico al Campus Virtual de la UC ( https://campusvirtual.unican.es ) y seleccionar la opción de Administrar Cuenta > “Reset MFA”.

Paulatinamente se irá implementado en todos los servicios en donde sea técnicamente viable. Por otra parte, en esta fase solo se requerirá MFA desde fuera de la Red UNICAN.

En el caso de la VPN UC cada vez que se valida debe usar MFA. Es decir, en la VPN se va pedir siempre, aunque localmente se puede indicar que lo cacheé y lo pida con menos frecuencia. Pero en el caso de otros servicios podremos decir que solo pida el MFA cada 60 días. Además, solo se solicitará si estamos fuera de la Red UNICAN. Adicionalmente, algunos usuarios encuentran el password-less sign-in más cómodo que la combinación contraseña + MFA.