Queda menos de un año antes de que Microsoft deshabilite la autenticación básica para sus Exchange Web Services (EWS). Si bien las aplicaciones más nuevas, como Office 365 Pro Plus, usan técnicas de autenticación modernas, si usa Office 365 con clientes más antiguos o aplicaciones personalizadas, esta es una actualización que requerirá cambios en las aplicaciones que está usando y posiblemente reescribir su código personalizado.

El 13 de octubre de 2020, las aplicaciones heredadas no podrán conectarse a Office 365 ni al servicio Exchange Online independiente. Otros servicios de Office también dejarán de aceptar conexiones de aplicaciones más antiguas en la misma fecha, aunque esto no se debe a cambios en el servicio, sino al final del soporte tradicional para esas versiones.

Los usuarios con suscripciones de Office 365 ya se han actualizado a las versiones compatibles. Solo los usuarios con código local o versiones antiguas con licencia perpetua de Office perderán el acceso a la nube. Si aún usa servidores de Office locales, como Exchange, no perderá el acceso porque las nuevas reglas de autenticación solo se aplican a los servicios de Office alojados en la nube.

Índice
  • Eliminación de la autenticación básica
  • ¿Qué está en riesgo?
  • Encuentra aplicaciones que necesitan una actualización
  • Eliminación de la autenticación básica

    La eliminación gradual de la autenticación básica es, para ser honesto, un movimiento sensato. Uno de los protocolos de autenticación web más antiguos, utiliza nombres de usuario y contraseñas de texto sin formato para controlar el acceso a los servicios. Incluso con TLS para cifrar la conexión subyacente, sigue siendo una forma arriesgada de controlar el acceso a lo que pueden ser datos comercialmente confidenciales. No es solo la posibilidad de interceptación de contraseñas lo que hace que la autenticación básica sea un riesgo significativo: Microsoft ha visto una serie de ataques de rociado de contraseñas en Office 365 que muestran cómo es fácil que los malos actores se aprovechen de los modelos de seguridad antiguos.

    Si usa una versión reciente de Office, en Windows o dispositivos móviles, no notará el cierre final. Su aplicación ya usa lo que Microsoft llama "autenticación moderna", usando el protocolo OAuth 2.0. Es posible que los administradores deban actualizar cualquier PowerShell que usen al módulo Exchange Online PowerShell V2, ya que usa protocolos de autenticación modernos. Microsoft también agregará compatibilidad con OAuth a IMAP y POP3, por lo que si prefiere usar esos protocolos, puede actualizar los clientes de correo electrónico a versiones que admitan OAuth en lugar de la autenticación básica.

    ¿Qué está en riesgo?

    Donde las cosas se vuelven más complejas es con las aplicaciones personalizadas que se escribieron para funcionar con las API de EWS. Exchange Web Services se usa con Exchange Online y aunque actualmente está operativo, solo tiene actualizaciones de seguridad desde julio de 2018. Es una API SOAP que brinda acceso a los datos de Exchange, por lo que puede acceder y enviar mensajes, trabajar con calendarios y usar libretas de direcciones Microsoft ha trasladado sus propios servicios y API a Microsoft Graph, un conjunto de herramientas más potente que brinda acceso a más que solo datos de Exchange, que se pueden usar para crear aplicaciones multiplataforma con API ampliamente disponibles.

    Si tiene un código personalizado, debe moverlo a Microsoft Graph ahora. Hay SDK para las plataformas y marcos de desarrollo más populares, incluido .NET. Estos deberían permitirle modificar el código existente sin demasiada dificultad, ya que los métodos utilizados para llamar al gráfico son similares a los que ha utilizado con EWS. También obtiene autenticación a través de OAuth 2.0, con soporte para herramientas de autenticación más seguras, incluida la multifactor. El código EWS heredado seguirá funcionando si cambia a usar OAuth 2.0, pero esto no se recomienda porque las nuevas características solo se envían con Microsoft Graph.

    Encuentra aplicaciones que necesitan una actualización

    Con menos de un año para actualizar sus aplicaciones, será importante saber qué aplicaciones utilizan autenticación básica en su red. Microsoft ha prometido una herramienta para simplificar el proceso, pero aún no está disponible, por lo que tendrá que usar las herramientas integradas en Office 365 y Azure Active Directory hasta que se lance.

    Una herramienta útil para asegurarse de que sus usuarios no utilicen clientes más antiguos y menos seguros con su infraestructura de Office 365 es la Herramienta de seguridad y cumplimiento de Office 365. Aquí encontrará el Panel de flujo de correo. Esto incluye un panel que muestra a los usuarios que utilizan la autenticación SMTP para enviar correo, y puede hacer clic para obtener detalles sobre lo que se está utilizando. Es probable que se trate de cuentas o aplicaciones comprometidas diseñadas para usar autenticación básica. Puede ver qué aplicaciones han usado los usuarios, lo que le permite crear una lista de lo que necesita ser reemplazado o actualizado.

    VER: Windows 10: una hoja de trucos (República Tecnológica)

    Sin embargo, esto solo muestra un conjunto de aplicaciones, y otros pueden usar la autenticación básica para iniciar sesión en todos los demás servicios de Office 365. Aquí puede usar su Office 365 Azure Active Directory para obtener una lista de todas las aplicaciones que los usuarios usan para iniciar sesión en su inquilino. Es una lista útil para obtener de todos modos, ya que le ayuda a mantener el control de las aplicaciones utilizadas en su red.

    Si bien la cuenta gratuita de Azure AD que viene con las suscripciones de Office 365 puede brindarle parte de la información que necesita, los informes más complejos sobre los inicios de sesión de los usuarios y las principales aplicaciones requieren una suscripción independiente de Azure AD P1 o P2. También le permitirá usar PowerShell para obtener un acceso más profundo a los datos que ve en el portal, agregar sus propios filtros y usar herramientas como Excel para crear informes personalizados sobre el uso de aplicaciones y API.

    Una suscripción de Azure AD también le permite usar herramientas como políticas de acceso condicional para administrar aplicaciones que acceden a su arrendatario. Una vez que identifica una aplicación que utiliza la autenticación básica, puede bloquearla de EWS y otros servicios para ver si es una aplicación lo suficientemente importante como para que los usuarios se quejen. Como alternativa, si no quiere usar más que las herramientas gratuitas de Azure AD que vienen con Office 365, puede usar PowerShell para deshabilitar la autenticación básica en sus inquilinos y esperar a ver qué aplicaciones no funcionan.

    El paso de Microsoft a un modelo de autenticación más seguro para EWS tiene sentido, dados los riesgos de seguridad asociados con la autenticación básica. Al pasar al modelo de seguridad basado en tokens de OAuth 2.0, puede restringir el acceso a aplicaciones específicas porque los tokens están vinculados a la aplicación que los solicita. El uso de la autenticación básica, en el panorama de amenazas actual, es arriesgado en el mejor de los casos y una invitación al ciberataque en el peor. Con una fecha límite que se avecina, pasar a la autenticación moderna lo más rápido posible no solo es una buena idea para mantener contentos a los usuarios, sino que también reducirá el riesgo y hará que sus sistemas sean más seguros.