¿Qué es la Autenticación Multifactor?
La autenticación multifactor (MFA) es un método de acceso que requiere dos o más formas de verificación de identidad antes de conceder acceso a un sistema. El principio es combinar algo que sabe (contraseña), con algo que tiene (teléfono, token) o algo que es (huella dactilar, reconocimiento facial).
Si un atacante roba su contraseña mediante phishing o compra sus credenciales en el mercado negro (hay millones de contraseñas robadas en circulación), no puede acceder a sus sistemas porque no tiene el segundo factor — su teléfono físico o su aplicación de autenticación.
Microsoft reporta que el 99.9% de los ataques a cuentas comprometidas habrían fallado si la cuenta tuviera MFA activado. Es posiblemente el control de seguridad con mayor impacto por unidad de esfuerzo.
Tipos de Segundo Factor: ¿Cuál Usar?
Aplicación de autenticación (Recomendado)
Apps como Microsoft Authenticator, Google Authenticator o Authy generan códigos de un solo uso cada 30 segundos (TOTP). Son gratuitas, funcionan sin internet o señal celular y ofrecen un nivel de seguridad muy alto. Esta es la opción recomendada para entornos corporativos.
Llave de seguridad física (Máxima seguridad)
Dispositivos como YubiKey o llaves FIDO2 se conectan por USB o NFC y son resistentes al phishing: solo funcionan en el dominio legítimo para el que fueron registradas. La opción más segura para ejecutivos y usuarios de alto riesgo.
SMS (Evitar si es posible)
El código enviado por SMS es la forma más débil de MFA: es vulnerable a SIM-swapping (cuando un atacante convence a la operadora de transferir su número). Es mejor que no tener MFA, pero debe migrarse a aplicación de autenticación cuando sea posible.
¿Dónde Implementar MFA Primero?
Si debe priorizar por dónde comenzar, enfóquese en este orden de impacto: correo corporativo (Microsoft 365 / Google Workspace), VPN corporativa, sistemas financieros (ERP, banca en línea empresarial), acceso remoto (RDP, SSH), plataformas cloud (AWS, Azure, GCP), y cualquier sistema con datos de clientes o financieros.
Implementación de MFA en Microsoft 365
En Microsoft 365, activar MFA para todos los usuarios toma menos de 30 minutos desde el Centro de Administración. Vaya a Azure Active Directory → Seguridad → MFA → Directivas de acceso condicional. Configure una directiva que exija MFA para todos los usuarios al acceder a aplicaciones de Microsoft 365.
Microsoft recomienda además activar los Valores de seguridad predeterminados (Security Defaults), que incluyen MFA obligatorio para todos los usuarios y bloqueo de protocolos de autenticación heredados que no soportan MFA. Para organizaciones más avanzadas, el Acceso Condicional permite reglas más granulares.
La principal resistencia a MFA en las empresas es "es incómodo para los usuarios". La realidad: el tiempo extra por autenticación es de 3-5 segundos. El costo de una cuenta comprometida puede ser de millones.
Conclusión
MFA es el control de seguridad que toda organización debería tener implementado antes de invertir en soluciones más complejas. Es simple, económico (muchas versiones son gratuitas con Microsoft 365) y extraordinariamente efectivo. Si su empresa aún no tiene MFA en correo, VPN y sistemas críticos, este es el punto de partida.