La autenticación multifactor ya dejó de ser una recomendación “deseable” para convertirse en una medida básica de protección. Sin embargo, no todas las implementaciones ofrecen el mismo nivel de seguridad. Muchas organizaciones activaron MFA hace tiempo, pero siguen dependiendo de métodos que hoy pueden ser vulnerables frente a campañas de phishing cada vez más sofisticadas.
En la práctica, esto significa que una empresa puede creer que está protegida, cuando en realidad sigue expuesta a un problema muy concreto: el robo de credenciales y el acceso indebido a cuentas críticas.
El problema no es solo tener MFA, sino qué tipo de MFA se usa
Durante años, el uso de códigos por SMS, aplicaciones de autenticación o confirmaciones push representó un avance importante frente al uso exclusivo de contraseña. Y sigue siendo mejor contar con una segunda capa que no tener ninguna.
Pero la realidad actual obliga a mirar un paso más allá. Hoy existen ataques capaces de engañar al usuario para que entregue no solo su contraseña, sino también el segundo factor, especialmente cuando ese factor depende de un código que puede copiar, reenviar o aprobar bajo engaño.
Por eso empezó a ganar protagonismo el llamado MFA resistente al phishing: mecanismos diseñados para que el atacante no pueda reutilizar fácilmente lo que el usuario ingresa o aprueba en una página falsa.
¿Qué es MFA resistente al phishing?
Es una forma de autenticación multifactor que reduce de manera significativa el riesgo de que un usuario sea engañado en un ataque de phishing. En general, se apoya en tecnologías vinculadas al dominio legítimo del servicio y al dispositivo del usuario, lo que dificulta que una página falsa capture y reutilice las credenciales.
Un ejemplo frecuente es el uso de llaves de seguridad o autenticación basada en estándares modernos como FIDO. La diferencia clave no está en que “pida un segundo paso”, sino en que ese segundo paso está mejor atado al contexto real del acceso.
En otras palabras: no se trata solo de agregar fricción, sino de agregar protección real.
Por qué este punto importa especialmente en empresas
El phishing sigue siendo una de las puertas de entrada más comunes para incidentes de seguridad. Y cuando una cuenta comprometida pertenece a un usuario con permisos elevados, acceso a correo corporativo, herramientas cloud o sistemas administrativos, el impacto puede crecer rápido.
Entre las consecuencias más frecuentes aparecen:
- acceso indebido al correo empresarial
- suplantación interna
- robo de información sensible
- movimientos laterales dentro del entorno
- fraude financiero o desvío de pagos
- uso de cuentas reales para atacar a clientes o proveedores
Por eso, cuando se evalúa el riesgo, no alcanza con preguntar si la empresa “tiene MFA”. También hay que revisar qué cuentas están protegidas, con qué método y si ese método resiste ataques modernos.
Dónde conviene empezar
No hace falta transformar todo el entorno en un solo paso. Lo más efectivo suele ser avanzar por prioridades.
1. Proteger primero las cuentas más sensibles
La primera capa debería enfocarse en:
- administradores
- cuentas con acceso a Microsoft 365 o Google Workspace
- VPN
- paneles de administración
- accesos remotos
- plataformas financieras o de facturación
Ahí es donde una mejora concreta genera mayor reducción de riesgo.
2. Revisar los métodos actualmente habilitados
Muchas veces conviven distintos factores de autenticación dentro de la misma empresa. Algunos usuarios usan app autenticadora, otros SMS, otros push, y otros directamente siguen dependiendo de combinaciones débiles.
Hacer este relevamiento es importante porque permite distinguir entre lo que ya está razonablemente bien y lo que necesita fortalecerse.
3. Reducir excepciones innecesarias
Cada bypass, excepción o cuenta “temporal” que queda fuera de la política termina abriendo una puerta. En seguridad, los huecos pequeños suelen volverse grandes cuando coinciden con un error humano o una campaña activa.
4. Acompañar el cambio con comunicación interna
La seguridad mejora mucho cuando el usuario entiende por qué se implementa una medida. Si el cambio se percibe como una molestia técnica, la adopción suele ser peor. Si se explica como una forma concreta de proteger accesos críticos y reducir fraude, la implementación suele ser más ordenada.
Errores comunes que vale la pena evitar
Uno de los errores más habituales es pensar que el MFA ya resuelve todo por sí solo. La autenticación fuerte ayuda mucho, pero no reemplaza otras medidas necesarias como el control de accesos, la revisión de privilegios, el monitoreo y la capacitación.
También es común caer en alguno de estos puntos:
- proteger solo algunas cuentas y dejar otras expuestas
- mantener factores débiles por costumbre
- no revisar cuentas heredadas o de servicio
- activar MFA, pero sin una estrategia de recuperación segura
- no priorizar cuentas con permisos elevados
El resultado es una falsa sensación de seguridad: la empresa hizo una mejora, pero todavía conserva un riesgo importante donde más le duele.
Una decisión que conviene anticipar, no postergar
Esperar al incidente para revisar autenticación suele salir más caro que ordenar el tema a tiempo. Y esto no aplica solo a grandes organizaciones. Hoy cualquier empresa que use correo corporativo, herramientas en la nube, accesos remotos o sistemas de gestión necesita tomarse en serio la protección de identidad.
La buena noticia es que no hace falta encarar el cambio de forma caótica. Con una revisión correcta del entorno, se puede definir qué cuentas priorizar, qué métodos conviene fortalecer y cómo implementar mejoras sin afectar la operación más de lo necesario.
Cierre
Hablar de MFA ya no alcanza. La conversación real hoy pasa por qué tan resistente es esa autenticación frente a ataques de phishing y si protege de verdad los accesos que más importan.
Si tu organización quiere revisar si las medidas actuales son suficientes, o necesita definir una estrategia práctica para fortalecer identidades y accesos críticos, el equipo de EGSAr puede ayudar a evaluar el escenario y bajar ese análisis a un plan concreto.
