No todos los MFA son iguales: por qué necesitas un MFA resistente al phishing y a la fatiga

Implementar MFA debería ser algo incuestionable en 2025. Pero esto es lo que muchas organizaciones no se dan cuenta: marcar la casilla de MFA no hace que tu organización sea automáticamente segura. Sin embargo, el MFA no es infalible y el tipo de factor de autenticación que elijas importa tanto como tener MFA en primer lugar.

Algunos factores ofrecen una protección genuina contra los ataques modernos. Otros te dan una falsa sensación de seguridad mientras dejan las puertas abiertas de par en par para los atacantes. Analizaremos los métodos de MFA más comunes y dónde se sitúan realmente en el espectro de seguridad.

La jerarquía de seguridad de MFA: de lo más débil a lo más fuerte

No todos los segundos factores se crean iguales. Así es como se comparan los métodos de autenticación más comunes:

Códigos basados en SMS: el eslabón más débil

La autenticación por SMS (donde los usuarios reciben un código de un solo uso a través de un mensaje de texto) se usa comúnmente. Sin embargo, este factor se sitúa en la parte inferior de la escala de seguridad. Si bien obviamente es mejor que solo las contraseñas, los códigos SMS son vulnerables a varios ataques bien documentados.

El intercambio de SIM es la mayor amenaza. Los atacantes pueden convencer a los operadores de telefonía móvil para que transfieran el número de teléfono de una víctima a una tarjeta SIM que controlan. Una vez que tienen el número, reciben todos los códigos SMS destinados a la víctima. Este no es un riesgo teórico, está sucediendo con regularidad. Según la Base de Datos Nacional de Fraude, el fraude por intercambio de SIM aumentó más del 1000% en 2024.

El ataque no requiere habilidades técnicas sofisticadas. Las tácticas de ingeniería social funcionan sorprendentemente bien contra los equipos de atención al cliente de los operadores. Los atacantes recopilan información personal de filtraciones de datos o redes sociales, luego se hacen pasar por la víctima para solicitar una transferencia de SIM.

Los códigos SMS también son vulnerables a la interceptación a través de exploits del protocolo SS7, sitios de phishing que capturan códigos en tiempo real y malware que lee mensajes de texto en dispositivos comprometidos.

Notificaciones push: convenientes pero explotables

Las aplicaciones de autenticación que envían notificaciones push (como las indicaciones de «Aprobar/Denegar» de Microsoft Authenticator) ofrecen una mejor experiencia de usuario que escribir códigos. Desafortunadamente, se han convertido en un objetivo principal para los ataques de bombardeo de solicitudes de MFA.

El ataque es simple pero efectivo. Los atacantes que han robado la contraseña de un usuario activan múltiples solicitudes de autenticación en rápida sucesión, a veces docenas o incluso cientos. El teléfono de la víctima vibra constantemente con solicitudes de aprobación. Eventualmente, muchos usuarios:

• Aprueban una solicitud accidentalmente mientras intentan descartar las notificaciones
• Aprueban intencionalmente solo para detener el bombardeo
• Se ponen en contacto con la mesa de ayuda, donde los atacantes que se hacen pasar por el usuario pueden manipular al personal de soporte

Las brechas de alto perfil en Uber, Cisco y Rockstar Games involucraron el bombardeo de solicitudes de MFA. Estos no fueron incidentes a pequeña escala, los atacantes obtuvieron un amplio acceso a las redes corporativas al explotar esta única debilidad.

El problema proviene de cómo funcionan las notificaciones push. No verifican lo que el usuario está aprobando realmente. No hay contexto sobre la solicitud de autenticación, ni coincidencia de números, ni forma de confirmar que la solicitud es legítima.

Contraseñas de un solo uso basadas en el tiempo (TOTP): una opción sólida

Las aplicaciones de autenticación que generan códigos numéricos rotatorios (como Google Authenticator o Microsoft Authenticator en modo TOTP) ofrecen una seguridad significativamente mejor que los SMS o las notificaciones push simples.

Los códigos TOTP se generan localmente en el dispositivo del usuario utilizando un secreto compartido. No se transmiten a través de redes celulares, por lo que no se pueden interceptar mediante el intercambio de SIM. Los códigos caducan rápidamente (normalmente en 30 segundos), lo que limita la ventana para que los atacantes utilicen códigos robados.

Sin embargo, TOTP no es inmune al phishing. Los atacantes pueden crear páginas de inicio de sesión falsas convincentes que capturen tanto contraseñas como códigos TOTP, y luego usarlos inmediatamente en el sitio real. Dado que los códigos siguen siendo válidos durante 30 segundos, este ataque funciona si se ejecuta rápidamente.

A pesar de esta limitación, TOTP representa una mejora de seguridad significativa con respecto a los SMS y las notificaciones push básicas. Es ampliamente compatible, relativamente fácil de usar y bloquea muchos vectores de ataque comunes.

Llaves de seguridad de hardware: protección resistente al phishing

Las llaves de seguridad de hardware que utilizan los estándares FIDO2/WebAuthn representan el estándar de oro para MFA. Estos dispositivos físicos (como YubiKeys o Google Titan keys) proporcionan una autenticación resistente al phishing que detiene incluso los ataques sofisticados.

Esta es la razón por la que son tan efectivos: las llaves de hardware utilizan la verificación criptográfica vinculada a dominios específicos. Cuando te autenticas en la página de inicio de sesión de tu empresa, la llave verifica que está hablando con el dominio legítimo antes de responder. Si un atacante crea una página de phishing perfecta en una URL ligeramente diferente, la llave simplemente no funcionará: no hay código que robar, ni solicitud que aprobar, nada que interceptar.

Este enlace de dominio hace que las llaves de hardware sean resistentes a los ataques de intermediario, al phishing y al bombardeo de solicitudes. Incluso si los atacantes tienen tu contraseña, no pueden acceder a tu cuenta sin la posesión física de tu llave de hardware. Los inconvenientes son el coste y la logística. Las organizaciones deben comprar llaves para todos los usuarios, distribuirlas y tener procedimientos de respaldo para las llaves perdidas u olvidadas.

Por qué importan los factores resistentes al phishing

La industria de la seguridad se está alejando del término «autenticación multifactor» y se está acercando a «MFA resistente al phishing» al hablar de implementaciones verdaderamente seguras. Hay una buena razón para este cambio.

La mayoría de las brechas de MFA no implican romper el factor de autenticación en sí, sino engañar a los usuarios o explotar cómo se implementan los factores. Los factores resistentes al phishing están diseñados específicamente para resistir estos ataques de ingeniería social y robo de credenciales.

Protege tu acceso a Active Directory con MFA para el inicio de sesión de Windows, VPN y RDP.

CISA (Agencia de Seguridad Cibernética y de Infraestructura) ahora recomienda MFA resistente al phishing para todas las agencias federales. La Oficina de Administración y Presupuesto lo exige para los sistemas federales. Estos mandatos reflejan una comprensión clara: los métodos tradicionales de MFA no son suficientes contra las amenazas actuales.

Fortalece tu implementación de MFA

Specops Secure Access ayuda a las organizaciones a implementar una autenticación sólida y resistente al phishing con la aplicación de autenticación Specops:ID (que requiere la verificación de las notificaciones push con biometría), soporte para llaves de seguridad de hardware YubiKey que utilizan Yubico OTP y políticas de acceso granulares. No permitas que los factores de MFA débiles se conviertan en tu punto ciego de seguridad. Reserva una demostración en vivo de Specops Secure Access.

Tener MFA es un gran comienzo, pero la solidez de tus factores de autenticación determina lo bien que estás realmente protegido. Las organizaciones que confían en códigos SMS o notificaciones push básicas siguen siendo vulnerables a los ataques que evitan estos factores más débiles.