¿Qué es la Autenticación Multifactor (MFA)?
La autenticación multifactor es un segundo cerrojo en sus cuentas: aunque alguien robe su contraseña, todavía no puede entrar sin una segunda prueba de identidad — un código, un toque en una aplicación o una llave de seguridad. Es el control de seguridad de mayor valor que la mayoría de las pequeñas empresas puede activar hoy.
Una contraseña es un cerrojo. MFA añade un segundo.
La autenticación multifactor (MFA) significa probar quién es usted con dos o más tipos distintos de evidencia antes de que lo dejen entrar a una cuenta. Una contraseña sola es un único factor — y las contraseñas se roban, se adivinan, se reutilizan y se obtienen por phishing todos los días. MFA añade una segunda verificación independiente, de modo que una contraseña robada por sí sola se vuelve inútil.
Ya lo ha usado. Cuando su banco le envía un código por mensaje, o su correo le pide aprobar un inicio de sesión en su teléfono, eso es MFA en acción. La "autenticación de dos factores" (2FA) es simplemente MFA con exactamente dos factores — los términos se usan de forma intercambiable. El objetivo es el mismo: un ladrón necesita algo más que la única cosa que es más probable que haya robado.
Por qué importa tanto: la inmensa mayoría de los robos de cuentas empresariales comienzan con una contraseña comprometida. Los propios datos de Microsoft han mostrado desde hace tiempo que activar MFA bloquea la gran mayoría de los ataques automatizados de robo de cuentas. Para la mayoría de las pequeñas empresas, es la victoria de seguridad más barata, rápida y grande disponible.
Algo que sabe, que tiene o que es.
Los "factores" de la autenticación multifactor provienen de tres categorías. La MFA real combina factores de categorías diferentes — dos contraseñas no cuentan.
Algo que sabe
Una contraseña o un PIN. Este es el factor que ya usa — y el que más fácilmente se roba, se reutiliza o se obtiene por phishing. Por sí solo ya no es suficiente.
Algo que tiene
Un dispositivo en su posesión: un teléfono con una aplicación de autenticación, o una pequeña llave de seguridad de hardware. El atacante tendría que sostenerla físicamente para entrar.
Algo que es
Una huella dactilar o un escaneo facial. Cada vez más integrado en teléfonos y laptops, esto es lo que impulsa las passkeys rápidas y resistentes al phishing.
En la práctica, el flujo es simple. Ingresa su contraseña como de costumbre (primer factor). El sistema entonces pide el segundo factor: envía un código por mensaje, solicita un toque en una aplicación de autenticación o le pide tocar una llave de seguridad. Solo cuando ambos coinciden lo dejan entrar. Todo esto añade unos pocos segundos — y convierte un allanamiento de un solo paso en un muro que la mayoría de los atacantes no puede escalar.
No todos los segundos factores son iguales.
Cualquier MFA supera a no tener MFA. Pero si va a elegir, así se comparan las opciones cotidianas — de la más débil a la más fuerte.
Códigos por SMS / correo (bueno)
Un código de un solo uso enviado por mensaje o correo. Fácil y universal, y un gran avance frente a una contraseña sola — pero la opción más débil. Los códigos pueden interceptarse mediante el intercambio de SIM o retransmitirse mediante una página de inicio de sesión falsa convincente. Sirve como respaldo.
Aplicaciones de autenticación (mejor)
Aplicaciones como Microsoft Authenticator, Google Authenticator o Authy generan un código rotativo en su dispositivo, o envían una notificación que usted aprueba. Nada viaja por la red telefónica, así que el intercambio de SIM no le sirve a un atacante. La opción predeterminada sensata para la mayoría de los equipos.
Passkeys y llaves de seguridad (la mejor)
Las passkeys (integradas en teléfonos y laptops modernos) y las llaves de hardware FIDO2 como YubiKey son resistentes al phishing: solo funcionan en el sitio real y no pueden engañarse para aprobar uno falso. Este es el estándar de oro, especialmente para administradores y cuentas de alto valor.
Una regla práctica: use aplicaciones de autenticación o passkeys en todo lo que pueda, mantenga el SMS solo como respaldo y exija MFA resistente al phishing para cualquiera con acceso de administrador. Para ver cómo los atacantes encadenan una sola credencial robada hasta el control total de la red —y por qué el MFA en las cuentas correctas rompe esa cadena— consiga nuestro Manual de Rutas de Ataque en Active Directory.
Activar el MFA — el orden práctico.
No tiene que hacerlo todo a la vez. Avance por esta lista y cerrará primero las brechas más grandes.
1. Proteja el correo primero
Su correo es la llave maestra — restablece todas las demás cuentas. Active MFA en Microsoft 365 o Google Workspace antes que nada, para cada usuario.
2. Cubra las joyas de la corona
Acceso remoto (VPN, RDP), banca, nómina y sus consolas de administración en la nube. Aquí es donde un allanamiento causa el mayor daño, así que merecen el factor más fuerte que tenga.
3. Hágalo obligatorio
Aplique el MFA mediante una política, no mediante solicitudes. Un MFA opcional no es MFA. La mayoría de las plataformas permiten a los administradores exigirlo a todos — actívelo, incluida la dirección.
4. Planifique para los dispositivos perdidos
Configure códigos de respaldo y un proceso de recuperación antes de que alguien los necesite, para que un teléfono perdido sea un inconveniente, no un bloqueo — y para que los atacantes no puedan abusar de una vía de restablecimiento descuidada.
5. Capacite contra la fatiga de MFA
Enseñe a su equipo una regla: nunca apruebe un mensaje que no haya iniciado usted. Los atacantes saturan de aprobaciones con la esperanza de que alguien toque "sí". En su lugar, reporte los mensajes inesperados.
6. Mejore las cuentas de alto riesgo
Mueva a los administradores y al personal de finanzas a passkeys o llaves de hardware. Son los objetivos que más importan, y el MFA resistente al phishing frena los ataques más astutos.
El MFA es una capa de una defensa de identidad más amplia — se combina con una sólida seguridad de contraseñas y un enfoque de confianza cero. Si desea ayuda para implementarlo en toda su empresa sin romper los flujos de trabajo, reserve una llamada de 30 minutos.
MFA, respondido.
¿MFA es lo mismo que la autenticación de dos factores (2FA)?
La 2FA es un tipo de MFA. La autenticación de dos factores usa exactamente dos factores — normalmente una contraseña más un código o la aprobación en una aplicación. MFA es el término más amplio para usar dos o más factores. En el uso cotidiano las palabras suelen intercambiarse, y ambas son mucho más fuertes que una contraseña sola.
¿Es seguro el MFA por mensaje de texto (SMS)?
Los códigos por SMS son mucho mejores que no tener MFA, pero son la opción común más débil. Los atacantes pueden interceptar códigos mediante el intercambio de SIM (SIM-swapping) o sitios de phishing que retransmiten el código en tiempo real. Donde pueda, use una aplicación de autenticación o una llave de seguridad de hardware o passkey, y reserve el SMS como respaldo.
¿Los atacantes pueden superar el MFA?
Sí, pero es mucho más difícil. Las evasiones comunes son la fatiga de MFA (saturar de mensajes de aprobación hasta que alguien toca Aprobar) y el phishing en tiempo real que retransmite los códigos. Los métodos resistentes al phishing, como las passkeys y las llaves de seguridad FIDO2, derrotan a ambos, y por eso son el estándar de oro.
¿Dónde debería una pequeña empresa activar el MFA primero?
Empiece por el correo y su proveedor de identidad (Microsoft 365 o Google Workspace), porque el correo es la llave maestra que restablece todas las demás cuentas. Luego cubra el acceso remoto (VPN, RDP), los sistemas financieros y de nómina, y cualquier cuenta de administrador. Aplíquelo a todos, no solo a la dirección.
Temas relacionados de Ciberseguridad 101
- ¿Qué es la seguridad de contraseñas? — el primer factor que el MFA respalda.
- ¿Qué es la confianza cero? — el modelo de "nunca confiar, siempre verificar" que el MFA habilita.
- ¿Qué es el phishing? — el ataque que el MFA se despliega con más frecuencia para frenar.
- ¿Qué es el compromiso de correo empresarial? — lo que permite una bandeja robada y sin MFA.
Vea exactamente cómo una contraseña robada se convierte en una filtración.
Nuestro Manual gratuito de Rutas de Ataque en Active Directory recorre la cadena paso a paso — y muestra dónde el MFA la rompe.
O reciba consejos de seguridad claros por correo: