Los factores de conocimiento incluyen contraseña y preguntas de seguridad. Factores de posesión incluyen teléfono (SMS, app autenticadora), token hardware. Factores biométricos incluyen huella, rostro, voz.
Qué es autenticación multifactor (mfa)
Autenticación multifactor (MFA) requiere múltiples factores para verificar identidad: algo que sabes (contraseña), algo que tienes (teléfono, token), algo que eres (huella digital, reconocimiento facial). Un atacante que roba tu contraseña no puede acceder sin el segundo factor. MFA es quizás el control defensivo único más efectivo: reduce dramáticamente riesgo de acceso no autorizado incluso si credenciales son comprometidas.
Por qué importa
Las contraseñas son débiles. Los usuarios las reutilizan, son fáciles de piratear, y normalmente están comprometidas en algún breach. Si tu única defensa es contraseña, eres vulnerable. MFA añade segundo factor que atacante probablemente no tiene: teléfono, token de hardware, o biométrica. Los datos lo prueban: Microsoft reporta que MFA bloquea 99.9% de intentos de acceso no autorizado incluso con contraseña válida. Hard2bit ve organizaciones sin MFA donde una sola contraseña comprometida abre la puerta a toda la infraestructura. Organizaciones con MFA detienen el mismo ataque en segundos.
Puntos clave
Los tipos de MFA varían en seguridad: SMS es débil (puede ser interceptado), app autenticadora es mejor (basada en tiempo), token hardware es más fuerte (resistente a phishing). Hard2bit recomienda autenticadores de app o hardware para roles críticos.
El phishing puede still funcionar contra MFA débil: si un atacante crea sitio falso que te pide contraseña y MFA, puedes dar ambos si no verificas URL. MFA push (app notificación) es más resistente porque requiere acción explícita en dispositivo.
La implementación requiere elegir provider (Microsoft, Google, Okta) y enforzar en aplicaciones críticas. Rollout gradual es clave: comenzar con acceso privilegiado, luego extender a todos.
El balance es usabilidad vs seguridad: MFA más fuerte es más incómodo, puede crear fricción, especialmente para usuarios remotos. Buena UX es importante para adoption.
Ejemplo: MFA impide ataque de credential stuffing
Un banco robó lista de 10000 credenciales de empleados de un breach de LinkedIn. Intentaron acceder a sistemas bancarios usando las mismas credenciales. Sin MFA, habrían tenido acceso a 200+ cuentas. El banco tenía MFA obligatorio en aplicaciones críticas: el atacante entró en la interfaz de login, nombre de usuario y contraseña válidos fueron aceptados, pero el sistema pidió código de MFA (SMS a teléfono del empleado). El atacante no tenía el teléfono, así que el acceso fue rechazado. Los 200+ intentos fallidos fueron auditados y alertaron al SOC. Sin MFA, sería desastre. Con MFA, fue prevenido completamente.
Errores habituales
- Permitir solo SMS como MFA. SMS puede ser interceptado o desviado (SIM swap). Para acceso crítico, exigir app autenticadora o token hardware.
- No enforzar MFA para acceso privilegiado. Si administrador de base de datos no tiene MFA y su contraseña es comprometida, atacante tiene control completo. MFA debe ser obligatorio para roles de riesgo.
- Fallar en backup codes. Si usuario pierde teléfono con app MFA, ¿cómo accede? Backup codes generados y guardados en lugar seguro (vault de contraseñas, físicamente) son necesarios.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿MFA es efectivo contra phishing sofisticado?
Depende del tipo de MFA y phishing. Si atacante crea sitio falso y consigue que entres credenciales y código de MFA (usando proxy en tiempo real), MFA-based puede ser comprometido. Pero MFA push (notificación en app donde actualmente aceptas o rechazas) es más resistente porque requiere decisión consciente. Hard2bit recomienda MFA push para roles críticos.
¿Cómo implementamos MFA sin romper productividad?
Implementación gradual: fase 1 acceso remoto (VPN), fase 2 servicios administrativos, fase 3 todos. Elegir buen provider (Microsoft Entra, Okta) con integraciones buenas reduce fricción. Educar usuarios con demo antes de rollout. Preparar help desk para soporte. Usualmente usuarios se adaptan en 1-2 semanas.
¿Cuál es el mejor tipo de MFA?
Ranking: 1) Token hardware (resistente a phishing, sin batería), 2) App autenticadora (basada en tiempo, multi-device), 3) MFA push (notificación, visibilidad), 4) SMS (débil, pero mejor que nada). Para máxima seguridad, combina app autenticadora con MFA push. Para equilibrio, app autenticadora es gold standard.
¿Qué pasa si empleado pierde su teléfono con MFA?
Por eso backup codes son críticos. Cuando MFA se setup, genera 10-12 códigos únicos que empleado imprime y guarda en lugar seguro (home safe, password vault). Si pierde teléfono, puede usar backup code. Hard2bit recomienda politica clara: reportar pérdida al help desk, usar backup code si disponible, reset de MFA hecho por admin con verifiación de identidad.