El MFA es una medida ampliamente recomendada para proteger el acceso a cuentas digitales. Sin embargo, no todos los métodos ofrecen el mismo nivel de protección frente a amenazas como el phishing o el secuestro de sesión. Cuando la autenticación multifactor (MFA) es resistente al phishing hay que cambiar la estrategia.
En el contexto actual, en el que los ataques buscan cada vez más aprovechar accesos legítimos, resulta importante elegir mecanismos que reduzcan el riesgo de que un engaño derive en acceso real a una cuenta.
Qué es la autentificación multifactor (MFA)
La autentificación multifactor (MFA) añade un segundo paso de verificación al proceso de inicio de sesión. Su objetivo es que una contraseña, por sí sola, no sea suficiente para acceder a una cuenta.
Este segundo factor puede adoptar distintas formas, como códigos temporales, notificaciones en el dispositivo o llaves físicas.
No obstante, la eficacia de la MFA depende del método utilizado. Algunas opciones pueden ser más vulnerables si requieren que el usuario introduzca o comparta códigos en entornos no confiables.
Por qué se habla de “MFA resistente al phishing”
El phishing busca que el usuario realice una acción indebida, como introducir sus credenciales o un código de verificación en una página fraudulenta.
Algunos métodos de MFA pueden ser vulnerables a este tipo de ataques si dependen de que el usuario proporcione información que puede ser interceptada o reutilizada.
La MFA resistente al phishing hace referencia a métodos que reducen significativamente la posibilidad de que un engaño permita el acceso, al incorporar mecanismos técnicos que validan el origen y el contexto de la autenticación.
En este contexto, es importante entender algunas prácticas utilizadas en ataques actuales:
- Robo de tokens de sesión. Consiste en obtener los elementos que validan una sesión ya iniciada, lo que permite acceder sin necesidad de repetir el proceso de autenticación.
- Password spraying. Técnica que prueba contraseñas comunes en múltiples cuentas de forma controlada para evitar bloqueos y pasar desapercibida.
Estos enfoques muestran que los atacantes no siempre intentan acceder directamente mediante credenciales, sino que buscan aprovechar accesos ya existentes o debilidades en la autenticación.
Qué métodos se recomiendan priorizar
Para cuentas con mayor impacto (administración, correo principal, acceso a sistemas críticos), se recomienda utilizar métodos de autenticación más robustos, como:
- Llaves de seguridad basadas en FIDO2 / WebAuthn
- Passkeys, cuando estén disponibles en el servicio utilizado
Estos métodos no requieren introducir códigos manualmente y están diseñados para validar el origen del servicio, lo que reduce el riesgo de phishing.
Qué ocurre si un atacante obtiene una sesión válida
La MFA actúa principalmente en el momento del inicio de sesión. Sin embargo, si un atacante consigue acceder a una sesión ya validada, puede operar dentro del sistema sin repetir el proceso de autenticación.
Por este motivo, además del método de autenticación multifactor, es importante gestionar otros elementos que influyen en el impacto de un incidente:
- Sesiones activas: duración, renovación y control de dispositivos
- Permisos: qué acciones puede realizar cada cuenta
- Integraciones y aplicaciones conectadas: accesos concedidos mediante OAuth u otros mecanismos
Estos factores determinan el alcance de un posible acceso no autorizado.
Cómo elegir el segundo factor adecuado
Para definir una estrategia de autenticación eficaz, es recomendable:
- Identificar las cuentas y roles más críticos (administración, finanzas, correo principal, accesos privilegiados)
- Aplicar en ellas métodos resistentes al phishing (llaves de seguridad o passkeys)
- Revisar periódicamente permisos, sesiones e integraciones para reducir el impacto de un posible incidente
La idea clave
La autenticación multifactor es un estándar necesario, pero no siempre suficiente por sí solo. En entornos actuales, la seguridad depende de la combinación de: método de autenticación + gestión de sesiones + control de permisos e integraciones.
Elegir correctamente estos elementos permite reducir de forma significativa el riesgo asociado a accesos no autorizados.
Enfoque práctico
Comprender las diferencias entre métodos de autenticación es fundamental para tomar decisiones informadas. En el Centro Demostrador de Ciberseguridad de la Comunidad de Madrid se trabajan estos conceptos desde una perspectiva práctica, con ejemplos y recomendaciones adaptadas a distintos perfiles de usuario.
