Tema 6

6. Autenticación multifactor (MFA): factores, riesgos y buenas prácticas

La autenticación multifactor busca reducir la dependencia de una sola prueba, especialmente de la contraseña. Bien implementada, eleva de forma significativa el costo del ataque. Mal entendida, en cambio, puede dar una falsa sensación de seguridad. La clave no está solo en agregar un segundo paso, sino en elegir factores adecuados y operarlos correctamente.

Objetivo Entender cómo funciona MFA y cómo aplicarlo bien
Enfoque Práctico, comparativo y orientado a amenazas reales
Resultado Distinguir MFA útil de MFA débil o mal diseñado

6.1 Introducción

La contraseña, por sí sola, concentra demasiado riesgo. Puede filtrarse, reutilizarse, adivinarse o robarse mediante phishing. La autenticación multifactor aparece para romper esa dependencia y exigir una prueba adicional de otra categoría.

La idea general es simple: aunque un atacante obtenga una credencial, todavía debería enfrentar una segunda barrera independiente. Sin embargo, en la práctica, no toda implementación de MFA ofrece la misma protección. Algunas combinaciones son mucho más resistentes que otras, especialmente frente a phishing y ataques de intermediación.

Por eso este tema no solo enumera métodos. También analiza qué amenazas mitigan, qué limitaciones tienen y qué errores frecuentes convierten un control aparentemente fuerte en uno superficial.

6.2 Qué es exactamente MFA

MFA significa Multi-Factor Authentication. El término describe un proceso de autenticación que utiliza dos o más factores independientes pertenecientes a categorías distintas, por ejemplo:

  • Algo que el usuario sabe, como una contraseña.
  • Algo que el usuario tiene, como un token, una app autenticadora o una llave física.
  • Algo que el usuario es, como biometría.

El punto clave es la independencia. Dos pruebas del mismo tipo no necesariamente constituyen multifactor real. Contraseña más pregunta secreta, por ejemplo, siguen siendo conocimiento. Mejoran poco si el atacante ya puede obtener o inferir secretos del usuario.

MFA no significa “más pasos”. Significa combinar pruebas de distinta naturaleza para que comprometer una sola no alcance.

6.3 Qué problema resuelve MFA

El objetivo principal de MFA es reducir el impacto del compromiso de una credencial primaria, especialmente la contraseña. Si un atacante roba una clave por phishing o aprovecha reutilización desde una brecha anterior, debería encontrarse con un segundo requisito independiente.

Esto mejora de forma especial la resistencia frente a:

  • Credential stuffing.
  • Password spraying.
  • Reutilización de contraseñas filtradas.
  • Phishing básico que solo roba usuario y contraseña.
  • Errores humanos vinculados al manejo de claves.

No obstante, MFA no resuelve todo. Si el segundo factor puede ser secuestrado, engañado o eludido por un flujo alternativo inseguro, la mejora real disminuye.

6.4 MFA no elimina la necesidad de proteger el primer factor

Un error común es asumir que “como hay MFA, la contraseña ya no importa tanto”. Esa idea es incorrecta. El primer factor sigue siendo parte crítica del sistema y sigue siendo un objetivo de ataque.

Si las contraseñas son débiles, el sistema puede quedar expuesto a soporte fraudulento, fatiga de segundo factor, procesos de recuperación inseguros o variantes de phishing que capturen ambos pasos. MFA debe verse como defensa en profundidad, no como permiso para descuidar lo básico.

6.5 Tipos comunes de segundo factor

Los métodos más frecuentes de segundo factor en sistemas actuales son:

  • OTP por aplicación: códigos temporales generados localmente.
  • SMS: códigos enviados al número asociado.
  • Push notification: aprobación desde una app confiable.
  • Llaves de seguridad FIDO2/WebAuthn: autenticación basada en criptografía asimétrica.
  • Smart cards o certificados: comunes en entornos corporativos controlados.
  • Biometría local: a menudo usada para desbloquear una credencial protegida en el dispositivo.

Aunque todos suelen agruparse como “segundo factor”, no ofrecen la misma protección ni requieren la misma madurez operativa.

6.6 OTP por aplicación autenticadora

Los códigos OTP generados por una aplicación autenticadora son una opción muy difundida. En general se basan en secretos compartidos y generan códigos temporales con validez breve.

Sus ventajas principales son:

  • No dependen de la red móvil como el SMS.
  • Son baratos y relativamente simples de desplegar.
  • Funcionan bien como mejora concreta sobre contraseña sola.

Sus límites también importan:

  • Siguen siendo vulnerables a ciertos escenarios de phishing en tiempo real.
  • Exigen un proceso correcto de enrolamiento y recuperación.
  • Si el secreto base se expone, el factor queda comprometido.

6.7 SMS como segundo factor

El SMS fue durante mucho tiempo uno de los métodos más usados por su conveniencia y alcance. Sin embargo, hoy se lo considera una forma de MFA más débil que otras alternativas modernas.

Los problemas principales son:

  • Riesgo de SIM swapping o fraude sobre la línea.
  • Dependencia de la infraestructura del operador.
  • Posible interceptación o desvío en escenarios específicos.
  • Exposición al phishing si el usuario ingresa el código en un sitio falso.

Esto no significa que SMS sea inútil. Suele ser mejor que no tener MFA, especialmente en contextos de adopción masiva. Pero para accesos de alto riesgo o requerimientos fuertes, conviene optar por métodos más robustos.

6.8 Push notification y aprobación interactiva

En este modelo, el usuario recibe una notificación en una aplicación confiable y aprueba o rechaza la solicitud. Su principal ventaja es la experiencia de usuario: evita transcribir códigos y puede incorporar contexto del intento de acceso.

Sin embargo, mal implementado puede ser vulnerable a la llamada fatiga MFA: el atacante dispara múltiples intentos hasta que el usuario aprueba por error, por costumbre o por confusión.

Para reducir este problema conviene:

  • Mostrar contexto claro del intento.
  • Usar confirmación con número o desafío vinculado a pantalla.
  • Limitar frecuencia y detectar patrones abusivos.
  • Educar al usuario para rechazar solicitudes inesperadas.

6.9 Llaves FIDO2 y autenticación resistente a phishing

Las llaves de seguridad y el ecosistema FIDO2/WebAuthn representan una de las opciones más fuertes para MFA moderno. Su principal ventaja es que no dependen de compartir un secreto reutilizable con el servidor en el mismo sentido que una contraseña o un OTP.

Mediante criptografía asimétrica y validación ligada al origen, ofrecen una resistencia muy superior a phishing y ataques de intermediación. Por eso suelen recomendarse para cuentas administrativas, accesos de alto valor y entornos donde la resistencia a takeover es prioritaria.

Su principal desafío no suele ser técnico, sino de despliegue: compra de dispositivos, enrolamiento, backups, soporte y experiencia de recuperación si el usuario pierde la llave.

6.10 Biometría en MFA

La biometría puede participar en MFA, aunque muchas veces actúa como mecanismo local para desbloquear un factor de posesión almacenado en el dispositivo. Por ejemplo, una huella puede habilitar el uso de una passkey protegida por hardware.

Es importante no tratar la biometría como solución mágica. Aporta comodidad, pero plantea preguntas de privacidad, spoofing y revocación. En general funciona mejor cuando está contenida localmente y no como dato biométrico centralizado que deba viajar o almacenarse en bruto en servidores.

6.11 Comparación entre opciones de MFA

Método Ventaja principal Debilidad típica Nivel relativo
SMS Alta adopción y simplicidad SIM swapping, phishing, dependencia del operador Básico a intermedio
OTP por app Buena relación entre costo y mejora real Phishing en tiempo real, recuperación delicada Intermedio
Push Muy buena experiencia de usuario Fatiga MFA, aprobaciones impulsivas Intermedio
FIDO2/WebAuthn Alta resistencia a phishing Mayor complejidad de despliegue y soporte Alto
Certificados o smart cards Control fuerte en entornos administrados Operación más pesada y dependiente de infraestructura Alto

6.12 Qué ataques sigue sufriendo un sistema con MFA

MFA mejora mucho el panorama, pero no convierte el sistema en invulnerable. Algunas amenazas siguen siendo relevantes:

  • Phishing en tiempo real: el atacante intermedia el flujo y solicita el segundo factor al usuario.
  • MFA fatigue: repetición de solicitudes push hasta lograr aprobación.
  • Secuestro del proceso de recuperación: bypass del factor principal mediante soporte o reset inseguro.
  • Robo de sesión: si el atacante obtiene la sesión ya autenticada, puede evitar el flujo de login.
  • Compromiso del dispositivo: malware o control del equipo desde el que se realiza la autenticación.

Por eso MFA debe complementarse con gestión de sesiones segura, detección de anomalías, hardening del endpoint y protección del flujo de recuperación.

6.13 MFA fatigue y abuso de aprobaciones push

La fatiga MFA se convirtió en un problema visible porque explota un rasgo humano: la presión, la costumbre y el cansancio. Si el usuario recibe muchas notificaciones para aprobar un acceso, puede aceptar una por error o para “hacer desaparecer” el aviso.

Esto demuestra un punto importante: la experiencia de usuario no es un detalle menor en seguridad. Un diseño cómodo pero ambiguo puede ser más inseguro que uno un poco más exigente pero claro.

Las defensas típicas incluyen:

  • Number matching o código de verificación contextual.
  • Rate limiting de desafíos.
  • Alertas por múltiples intentos anómalos.
  • Canales de aviso alternativos para eventos sospechosos.

6.14 MFA y procesos de enrolamiento

Un punto crítico, a veces subestimado, es el enrolamiento inicial del segundo factor. Si un atacante logra registrar su propio dispositivo o método durante esta etapa, todo el sistema queda debilitado aunque el método posterior sea fuerte.

Por eso el enrolamiento debe protegerse especialmente:

  • Exigir una identidad inicial suficientemente verificada.
  • Registrar eventos y cambios de factor.
  • Notificar al titular del alta de un nuevo método.
  • Permitir revisión y revocación de factores enrolados.

6.15 MFA y recuperación de cuenta

El despliegue de MFA fracasa si la recuperación está mal pensada. Tarde o temprano habrá usuarios que pierdan un teléfono, cambien de dispositivo o no puedan completar el segundo factor. La pregunta no es si ocurrirá, sino cómo se manejará sin abrir una puerta fácil para atacantes.

Buenas prácticas incluyen:

  • Códigos de respaldo de un solo uso.
  • Métodos alternativos previamente enrolados.
  • Procedimientos de verificación reforzada para cuentas sensibles.
  • Registro y revisión de cambios en factores recuperados o reemplazados.

Un soporte técnico con criterios débiles puede deshacer toda la fortaleza del MFA.

6.16 Cuándo exigir MFA

No todos los escenarios tienen el mismo nivel de exposición. Sin embargo, hay casos donde MFA debería considerarse prácticamente obligatorio:

  • Cuentas administrativas.
  • Accesos remotos.
  • Aplicaciones con datos sensibles o financieros.
  • Paneles de gestión de usuarios y permisos.
  • Entornos corporativos con SSO y alto valor lateral.
  • Servicios expuestos a internet con credenciales humanas.

En otros contextos, la decisión puede graduarse por riesgo, criticidad y experiencia de usuario, usando MFA adaptativa o step-up authentication.

6.17 MFA adaptativa y step-up

Una implementación madura no siempre exige el segundo factor en cada operación de la misma manera. En algunos sistemas conviene aplicar MFA adicional solo cuando cambia el contexto o cuando la operación es especialmente sensible.

Ejemplos típicos:

  • Inicio de sesión desde un dispositivo nuevo.
  • Cambio de contraseña o de email principal.
  • Aprobación de pagos o transferencias.
  • Descarga masiva de información sensible.

Este enfoque mejora la usabilidad, pero requiere una evaluación de riesgo bien diseñada para no dejar huecos previsibles.

6.18 Errores frecuentes al implementar MFA

  • Creer que cualquier segundo paso equivale a MFA fuerte.
  • Usar SMS para contextos críticos sin considerar mejores opciones.
  • No proteger el proceso de enrolamiento inicial.
  • No diseñar recuperación segura y verificable.
  • Ignorar el robo de sesión y enfocarse solo en el login.
  • No registrar cambios de factores o intentos fallidos relevantes.
  • Aplicar fricción excesiva sin contexto y fomentar bypass operativos.

6.19 Qué debes recordar de este tema

  • MFA busca reducir el impacto del compromiso de una sola credencial.
  • No todos los segundos factores ofrecen la misma resistencia frente a phishing o fraude.
  • OTP, SMS, push y FIDO2 mejoran la seguridad en distinto grado.
  • Un mal proceso de enrolamiento o recuperación puede arruinar una buena solución MFA.
  • La fatiga MFA y el robo de sesión siguen siendo amenazas relevantes.
  • MFA funciona mejor cuando se integra con contexto, monitoreo y gestión de riesgo.

6.20 Conclusión

La autenticación multifactor es una de las mejoras más valiosas que puede incorporar un sistema de acceso, pero su efectividad depende de los detalles. Elegir factores más resistentes, proteger enrolamiento y recuperación, y entender las amenazas reales hace la diferencia entre una defensa robusta y una implementación que solo suma pasos.

En el próximo tema abordaremos la gestión de sesiones, cookies, tokens y expiración segura, porque autenticar bien no alcanza si la sesión resultante puede ser secuestrada o mantenida de forma insegura.

Volver al índice