MFA Autenticación Multifactor.

MFA es el requisito de que la autenticación utilice dos o más factores de categorías distintas (conocimiento, posesión, inherencia). No todo MFA es equivalente: los códigos por SMS y correo electrónico son susceptibles de phishing, las notificaciones push generan fatiga, y los tokens hardware y las passkeys son las formas robustas. NIS 2 y DORA exigen MFA «fuerte» en los accesos críticos.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

MFA es el requisito de que la autenticación utilice dos o más factores de categorías distintas (conocimiento, posesión, inherencia). No todo MFA es equivalente: los códigos por SMS y correo electrónico son susceptibles de phishing, las notificaciones push generan fatiga, y los tokens hardware y las passkeys son las formas robustas. NIS 2 y DORA exigen MFA «fuerte» en los accesos críticos.

Qué cuenta como factor, y por qué importa

La autenticación multifactor exige dos o más pruebas de identidad extraídas de categorías diferentes, de modo que comprometer una no entregue la cuenta a un atacante. Las tres categorías clásicas son el conocimiento (algo que sabes, como una contraseña o un PIN), la posesión (algo que tienes, como un teléfono, una llave de seguridad o una tarjeta inteligente) y la inherencia (algo que eres, como una huella dactilar o el rostro). La palabra clave aquí es diferentes. Dos contraseñas no constituyen autenticación multifactor, porque pertenecen a la misma categoría y caen ante los mismos ataques. Una contraseña más un código de un dispositivo independiente sí, porque ahora un atacante necesita vencer dos controles no relacionados a la vez.

Aquí es también donde se encuentran la MFA y la gestión de identidades. La MFA solo refuerza el paso de autenticación, el momento en que un usuario demuestra quién es. No dice nada sobre lo que ese usuario tiene luego permitido hacer, lo cual es la autorización, ni sobre el aprovisionamiento, el desaprovisionamiento o las revisiones de acceso. Trate la MFA como una capa endurecida dentro de un programa de IAM más amplio, no como un sustituto del mínimo privilegio ni de la limpieza de cuentas huérfanas.

No toda MFA es igual

La observación más importante del profesional es que la MFA existe en un espectro de robustez, y la diferencia no es cosmética. Los códigos de un solo uso por SMS y correo electrónico son mejores que una contraseña sola, pero son susceptibles de phishing: una página de inicio de sesión falsa y convincente simplemente pide a la víctima que escriba el código, y un atacante lo retransmite en tiempo real. El SIM swapping empeora aún más el SMS.

Las aprobaciones por notificación push añaden un toque, pero invitan a la fatiga de MFA, en la que un atacante que ya tiene la contraseña satura de solicitudes de aprobación hasta que un usuario cansado acepta una. Las formas robustas son factores de posesión vinculados al sitio legítimo: llaves de seguridad físicas y passkeys construidas sobre FIDO2 y WebAuthn. Como la credencial está vinculada criptográficamente al dominio real, no entrega nada a una página que imita el original. Esa propiedad es lo que se entiende por MFA resistente al phishing.

Métodos de MFA según su resistencia a los ataques comunes
MétodoCategoríaResistente al phishingDebilidad típica
Código por SMS o correo electrónicoPosesión (débil)NoRetransmitido en páginas falsas, SIM swap
Aplicación de autenticación TOTPPosesiónNoEl código puede ser robado por phishing en tiempo real
Aprobación por pushPosesiónNoFatiga de MFA y aprobación accidental
Llave física (FIDO2)PosesiónCoste y logística de inscripción
Passkey (WebAuthn)Posesión más inherenciaRecuperación y vinculación al dispositivo

Contexto normativo y de estándares

La MFA ha pasado de ser una recomendación a una expectativa en toda la regulación europea de ciberseguridad. NIS 2 exige a las entidades esenciales e importantes adoptar medidas de ciberhigiene y de control de acceso, mencionando explícitamente la autenticación multifactor o continua para la seguridad del acceso. DORA impone expectativas comparables al sector financiero, donde la autenticación fuerte protege las funciones críticas y el acceso remoto.

Ambos marcos se inclinan hacia el extremo fuerte del espectro en lugar de considerar suficiente cualquier MFA. La misma dirección aparece en las directrices del NIST, que favorecen los autenticadores resistentes al phishing para el acceso de alto valor, y en marcos de referencia como ISO/IEC 27001 y los CIS Controls, que tratan la MFA como una salvaguarda fundamental del control de acceso.

Lo que los profesionales realmente hacen es secuenciar el despliegue según el riesgo. Protegen primero las cuentas privilegiadas y administrativas, luego el acceso remoto y expuesto a Internet, después la población general de usuarios, y eligen métodos resistentes al phishing allí donde el impacto de una vulneración es alto. Planifican cuidadosamente la recuperación y la inscripción, ya que la pérdida de factores supone un coste operativo real, y vigilan los patrones de fatiga y elusión. Bien hecha, la MFA retira discretamente el valor de una contraseña robada. Hecha como una casilla que marcar, da una falsa sensación de seguridad mientras el canal susceptible de phishing permanece abierto.

Frequently asked questions

01¿Exigir dos contraseñas es autenticación multifactor?

No. Dos contraseñas son ambas factores de conocimiento, por lo que caen ante los mismos ataques a la vez. La verdadera MFA combina factores de categorías diferentes, por ejemplo algo que sabes más algo que tienes o algo que eres.

02¿Por qué se considera débil la MFA basada en SMS?

Los códigos SMS pueden ser robados por phishing en tiempo real, porque una página de inicio de sesión falsa simplemente pide a la víctima que escriba el código mientras un atacante lo retransmite. Los ataques de SIM swap también pueden redirigir el mensaje por completo. El SMS sigue siendo mejor que una contraseña sola, pero no es resistente al phishing.

03¿Qué es la MFA resistente al phishing?

Es la autenticación en la que la credencial está vinculada criptográficamente al sitio legítimo, de modo que no puede reproducirse en una página que imita el original. En la práctica, esto significa llaves de seguridad físicas FIDO2 y passkeys WebAuthn, que no entregan nada útil a un dominio falso.

04¿Qué es la fatiga de MFA?

Es un ataque en el que alguien que ya tiene una contraseña válida satura al usuario con solicitudes de aprobación push hasta que una persona cansada o distraída pulsa aprobar. La coincidencia de números y la limitación de solicitudes ayudan, pero los métodos resistentes al phishing eliminan la debilidad por completo.

05¿Exigen realmente NIS 2 y DORA la MFA?

Ambos esperan medidas fuertes de control de acceso y de autenticación para el acceso crítico, y la autenticación multifactor o continua forma parte explícitamente de ese conjunto de herramientas. El énfasis está en métodos fuertes en lugar de considerar suficiente cualquier forma de MFA.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.