Con la autenticación multifactor (MFA, por sus siglas en inglés), el usuario no solo debe introducir su nombre de usuario y contraseña para acceder a un recurso empresarial, sino que también debe usar su dispositivo para deslizar el dedo o escanear su rostro para confirmar su identidad.
Estos elementos se utilizan para verificar al usuario con mayor precisión antes de concederle el acceso. Los escenarios de alto riesgo o la actividad sospechosa pueden generar requisitos de inicio de sesión o pasos de verificación adicionales.
Dado que las contraseñas son tan vulnerables, ya sea al phishing, la ingeniería social o incluso a ataques de fuerza bruta, añadir la MFA refuerza la seguridad de cualquier cuenta protegida con contraseña.
Microsoft ha reportado que al habilitar MFA se bloquean más de 99.9% de los ataques de compromiso de cuenta. De forma complementaria, ISACA ha señalado que MFA permite reducir hasta en 99.9% las brechas en accesos no autorizados si está bien implementada.
Estas cifras muestran que no se trata de una mejora marginal, sino de un salto cualitativo en la protección del perímetro de identidad digital.
Cualquier punto de acceso, así como los recursos empresariales, desde VPN hasta aplicaciones SaaS, pueden protegerse con la MFA.
Índice de temas
Errores más comunes
Aunque la MFA es una de las mejores maneras de proteger sus cuentas en línea, los errores al configurarla o usarla pueden dejar vulnerable a los sistemas frente a ciberataques.
1. No hacer obligatoria la MFA
Si los empleados no están obligados a usar la MFA, probablemente no la habiliten. Sin su aplicación de la MFA, las empresas corren un mayor riesgo de sufrir ataques de phishing, robo de credenciales y ransomware.
La recomendación es exigir la MFA para todas las cuentas de trabajo, incluyendo Microsoft 365, VPN y servicios en la nube. También se sugiere usar políticas de acceso condicional para aplicar la MFA en inicios de sesión de alto riesgo.
2. Desactivar la MFA por incomodidad
Algunos usuarios —sobre todo los de mayor rango o confianza— piden desactivar la MFA porque tarda más en iniciar sesión.
Los ciberdelincuentes atacan las cuentas sin MFA porque son más fáciles de hackear. La autenticación multifactor es una capa de seguridad esencial: vale la pena dedicar unos segundos extra para evitar el robo de la cuenta.
Si se quiere una experiencia más rápida, se puede usar una llave de seguridad de hardware o un inicio de sesión sin contraseña.
3. Usar mensajes SMS en lugar de una app de autenticación
Los códigos SMS pueden interceptarse mediante ataques de intercambio de SIM o estafas de phishing. Los hackers pueden falsificar números de teléfono o redirigir mensajes sin su conocimiento.
Si los SMS son la única opción, hay que asegurarse de que la cuenta de operador esté protegida con un PIN.
En contraste, las aplicaciones de autenticación generan códigos en un dispositivo, lo que dificulta que sean interceptados. Entre las opciones más comunes están Microsoft Authenticator o Google Authenticator.
4. No monitorear ataques de fatiga de MFA
Los atacantes bombardean a los usuarios con solicitudes MFA hasta que aprueban el acceso accidentalmente. Si aprueban una solicitud desconocida, un ciberdelincuente puede iniciar sesión en la cuenta inmediatamente.
De acuerdo con Duo, 34% de los usuarios aprueba solicitudes fraudulentas de MFA después de más de cinco intentos. La fatiga de MFA causó 62% de las brechas de seguridad en la nube en 2024, según Okta.
La recomendación para el usuario es nunca aprobar una solicitud de MFA a menos que haya hecho el inicio de sesión. Si recibe solicitudes inesperadas, hay que rechazarlas, cambiar la contraseña inmediatamente y reportar los intentos de inicio de sesión sospechosos al área de IT.
Estas, por su parte deben bloquear inicios de sesión después de tres intentos fallidos de MFA, obligar a los usuarios a ingresar dígitos desde la aplicación y no permitir las aprobaciones automáticas, además de implementar detección de anomalías basada en inteligencia artificial.
5. Ignorar los riesgos de los métodos de recuperación
Los atacantes explotan los restablecimientos por “Olvidé mi contraseña” —a menudo más débiles que la MFA principal— y los correos electrónicos/números de teléfono de respaldo —con frecuencia comprometidos—.
Para asegurar la recuperación de cuentas se recomienda exigir la misma seguridad para los métodos de recuperación. Por ejemplo, el estándar abierto para la autenticación sin contraseña multifactor de identidad rápida en línea 2 (FIDO2) para restablecer FIDO2.
También funciona auditar las opciones de recuperación trimestralmente y eliminar los números de teléfono obsoletos, así como supervisar los restablecimientos inusuales, como más de tres cambios de contraseña en la última hora, por ejemplo.
6. No probar la resiliencia de la MFA
Seis de cada 10 organizaciones, de acuerdo con Gartner, nunca prueban las defensas de la MFA. CrowdStrike asegura que los equipos rojos —aquellos que hacen pentests— eluden la MFA en 89% de las interacciones.
Se recomienda simular ataques de phishing contra la MFA (páginas simuladas de Evilginx, por ejemplo), realizar simulacros de fatiga de MFA y auditar registros para detectar aprobaciones sospechosas (inicios de sesión a medianoche desde nuevos países).
7. Usar la MFA solo para cuentas importantes
Muchas personas activan la MFA para el correo electrónico y la banca, pero no para redes sociales, almacenamiento en la nube o cuentas de trabajo. Los hackers pueden aprovechar cuentas más vulnerables y desprotegidas para acceder a cuentas más confidenciales.
La recomendación es activar la MFA en todas las cuentas compatibles, incluyendo: correo electrónico (Outlook, Gmail, Yahoo) aplicaciones bancarias y financieras, almacenamiento en la nube (OneDrive, Google Drive), redes sociales (Facebook, Twitter, LinkedIn), cuentas de trabajo (Microsoft 365, VPN, Escritorio remoto).
8. No tener un método de MFA de respaldo
Si el usuario pierde su teléfono o elimina la aplicación de autenticación, podría quedarse sin acceso a su cuenta. La recuperación puede tardar días o semanas, según el proveedor de servicios.
Configurar un método de MFA secundario (número de teléfono de respaldo, clave de seguridad o códigos de respaldo) puede ser una solución. También se recomienda almacenar los códigos de recuperación de forma segura, usando Keeper Security o un administrador de contraseñas y activa la copia de seguridad en la nube en la aplicación Microsoft Authenticator o Google Authenticator.
