La autenticacion multifactor (MFA) es el mecanismo de seguridad que exige verificar la identidad de un usuario mediante dos o mas factores independientes: algo que sabe (contrasena), algo que tiene (telefono, llave fisica) o algo que es (huella dactilar, Face ID). Los codigos SMS fueron el estandar MFA durante anos, pero ya no son suficientes: el protocolo SS7 tiene vulnerabilidades conocidas desde 2014 que permiten interceptar mensajes, y los ataques de SIM swapping son cada vez mas frecuentes. Segun Microsoft, el MFA resistente a phishing (FIDO2, llaves fisicas, Passkeys) bloquea el 99,9% de los ataques de compromiso de cuentas.
- Problema: Los SMS MFA son vulnerables a SIM swapping e interceptacion SS7
- Alternativa #1: Apps de autenticacion (Microsoft Authenticator, Google Authenticator)
- Alternativa #2: Llaves de seguridad fisicas FIDO2 (YubiKey, Titan Key)
- Alternativa #3: Passkeys (biometria + criptografia, sin contrasena)
- Prioridad inmediata: Migrar cuentas admin y financieras primero
- El MFA resistente a phishing bloquea el 99,9% de los ataques de compromiso de cuentas, frente al 76% que bloquean los SMS MFA (Microsoft Security Intelligence Report 2024).
- Los ataques de SIM swapping en Espana aumentaron un 87% en 2024. El coste medio de un incidente es de 15.000€ (INCIBE, 2024).
- Las empresas que han migrado a Passkeys reportan una reduccion del 75% en tickets de soporte relacionados con contrasenas (FIDO Alliance, 2024).
| Metodo MFA | Resistencia phishing | Resistencia SIM swap | Facilidad uso |
|---|---|---|---|
| SMS | Baja | Muy baja | Alta |
| App autenticadora TOTP | Media | Alta | Media |
| Push con number matching | Alta | Alta | Alta |
| Llave fisica FIDO2 | Muy alta | Muy alta | Media |
| Passkeys | Muy alta | Muy alta | Muy alta |
Durante años, la autenticación multifactor (MFA) ha sido uno de los pilares básicos de la seguridad de cuentas y dispositivos. Y sigue siendo imprescindible. Sin embargo, el panorama de amenazas ha evolucionado y algunos métodos tradicionales ya no ofrecen la protección que las empresas necesitan hoy.
El sistema de MFA más habitual —los códigos de cuatro o seis dígitos enviados por SMS— es cómodo y familiar. Sin duda, es mejor que depender únicamente de una contraseña. El problema es que el SMS es una tecnología antigua y los ciberdelincuentes han aprendido a sortearla con bastante facilidad. Para organizaciones que manejan información sensible, el MFA basado en SMS ya no es suficiente. Es el momento de dar el salto a mecanismos de autenticación más modernos y resistentes al phishing.
El SMS nunca se diseñó como un canal seguro de autenticación. Su dependencia de las redes de telefonía móvil lo expone a vulnerabilidades conocidas, especialmente en protocolos de telecomunicaciones como SS7 (Signaling System No. 7), utilizados para la comunicación entre operadores.
¿Necesitas actualizar tu sistema de autenticación?
Los atacantes saben que muchas empresas siguen utilizando SMS como segundo factor, lo que las convierte en objetivos atractivos. Existen técnicas que permiten interceptar mensajes sin necesidad de tocar físicamente el teléfono: escucha de comunicaciones, redirección de mensajes o incluso inyección de SMS dentro de la propia red del operador o durante la transmisión.
Además, los códigos SMS también son vulnerables al phishing. Si un usuario introduce su usuario, contraseña y el código recibido por SMS en una página falsa, el atacante puede capturar todo en tiempo real y acceder de inmediato a la cuenta legítima.
Entender los ataques de SIM swapping
Uno de los riesgos más graves asociados al MFA por SMS es el llamado SIM swapping o duplicado de SIM. En este tipo de ataque, el delincuente contacta con el operador de telefonía haciéndose pasar por la víctima y afirma haber perdido el móvil. A continuación, solicita que el número se transfiera a una nueva tarjeta SIM que él controla.
Si lo consigue, el teléfono del usuario deja de funcionar y el atacante empieza a recibir todas las llamadas y mensajes, incluidos los códigos de verificación de correo electrónico, banca online o sistemas corporativos. A partir de ahí, puede restablecer contraseñas y tomar el control de múltiples cuentas.
Este ataque no requiere grandes conocimientos técnicos; se basa principalmente en ingeniería social contra el personal de atención al cliente de las operadoras. Precisamente por eso es tan peligroso: es sencillo de ejecutar y tiene un impacto enorme.
Por qué el MFA resistente al phishing es el nuevo estándar
Para mitigar estos riesgos, es fundamental reducir al máximo el factor humano en la autenticación y adoptar MFA resistente al phishing. Este enfoque se apoya en protocolos criptográficos que vinculan el acceso a un dominio concreto y a un dispositivo específico.
Uno de los estándares más relevantes en este ámbito es FIDO2 (Fast Identity Online 2). Este estándar utiliza passkeys creadas mediante criptografía de clave pública, asociando un dispositivo concreto a un servicio o dominio. Incluso si el usuario hace clic en un enlace fraudulento, la aplicación de autenticación no liberará las credenciales porque el dominio no coincide.
Además, se trata de un sistema sin contraseñas, lo que elimina de raíz muchos ataques de phishing que buscan capturar credenciales y códigos de un solo uso (OTP). El atacante se ve obligado a comprometer el dispositivo físico, algo mucho más complejo que engañar a una persona.
Uso de llaves de seguridad físicas
Una de las soluciones más robustas frente al phishing son las llaves de seguridad hardware. Se trata de dispositivos físicos, similares a una memoria USB, que se conectan al ordenador o se acercan a un móvil compatible.
Para iniciar sesión, basta con insertar la llave o pulsar un botón, momento en el que se produce un intercambio criptográfico seguro con el servicio. No hay códigos que introducir ni información que pueda robarse a distancia. A menos que el atacante robe físicamente la llave, no podrá acceder a la cuenta.
Aplicaciones de autenticación móvil y notificaciones push
Si el uso de llaves físicas no es viable para tu empresa, las aplicaciones de autenticación como Microsoft Authenticator o Google Authenticator son una alternativa claramente superior al SMS. Estas apps generan los códigos directamente en el dispositivo, sin enviarlos por la red móvil, lo que elimina el riesgo de interceptación o SIM swapping.
Las notificaciones push simples también tienen sus riesgos. Un atacante puede bombardear al usuario con solicitudes de acceso hasta provocar la llamada «fatiga de MFA», haciendo que apruebe una por error. Para evitarlo, las aplicaciones modernas incorporan sistemas de verificación por coincidencia de números, obligando al usuario a introducir en la app un número que aparece en la pantalla del ordenador. Esto confirma que la persona que aprueba el acceso está realmente delante del equipo.
Passkeys: el futuro de la autenticación
Con las contraseñas filtrándose de forma habitual, cada vez más sistemas apuestan por las passkeys. Estas credenciales digitales se almacenan en el dispositivo y se protegen mediante biometría, como huella dactilar o reconocimiento facial.
Las passkeys son resistentes al phishing y pueden sincronizarse de forma segura dentro de un ecosistema, como iCloud o el gestor de contraseñas de Google. Ofrecen un nivel de seguridad similar al de una llave física, pero con la comodidad de un dispositivo que el usuario ya utiliza a diario.
Desde el punto de vista del mantenimiento informático, también reducen la carga del soporte IT: no hay contraseñas que gestionar, restablecer o almacenar, lo que simplifica la experiencia del usuario y refuerza la seguridad.
Equilibrar seguridad y experiencia de usuario
Abandonar el MFA basado en SMS requiere un cambio cultural. Los usuarios están acostumbrados a la comodidad del mensaje de texto, y la introducción de llaves físicas o aplicaciones puede generar cierta resistencia inicial.
Por eso es clave explicar el motivo del cambio, poniendo ejemplos reales de ataques de SIM swapping y destacando el valor de la información que se protege. Cuando las personas entienden el riesgo, suelen aceptar mejor las nuevas medidas.
Un despliegue progresivo puede facilitar la transición para la mayoría de usuarios, pero el MFA resistente al phishing debería ser obligatorio para cuentas con privilegios elevados. Administradores, directivos y perfiles críticos no deberían depender nunca de códigos SMS.
El coste de no actuar
Mantener métodos de MFA obsoletos es una bomba de relojería que genera una falsa sensación de seguridad. Aunque pueda cumplir ciertos requisitos de cumplimiento normativo, deja a la empresa expuesta a incidentes graves, costosos y dañinos para la reputación.
Actualizar los sistemas de autenticación ofrece uno de los mayores retornos de inversión en ciberseguridad. El coste de implantar llaves de seguridad o soluciones modernas de identidad es mínimo comparado con el impacto de una brecha de seguridad y la recuperación posterior.
¿Está tu empresa preparada para ir más allá de las contraseñas y los códigos por SMS? En Libertia IT ayudamos a organizaciones de Madrid a implantar soluciones modernas de identidad y autenticación, alineadas con un servicio profesional de mantenimiento informático. Contacta con nosotros y te ayudaremos a diseñar una estrategia de acceso segura y cómoda para tu equipo.
Protege tu empresa con autenticación moderna y resistente al phishing
Preguntas Frecuentes sobre MFA y Autenticacion Segura
¿Por que los SMS ya no son seguros para el MFA empresarial?
Dos razones: (1) El protocolo SS7 tiene vulnerabilidades que permiten interceptar mensajes remotamente. (2) SIM swapping: un atacante llama al operador haciendose pasar por el titular, solicita una SIM duplicada y durante minutos o horas recibe todos los SMS. Ambos vectores son explotados activamente en Espana.
¿Que es FIDO2 y como funciona en empresas?
FIDO2 es el estandar de autenticacion sin contrasena basado en criptografia de clave publica. La autenticacion esta vinculada al dominio especifico del servicio: si un atacante lleva al usuario a una web falsa, la firma no funciona porque el dominio no coincide. Es imposible hacer phishing del codigo porque no existe como texto.
¿Que llave de seguridad fisica recomiendan para pymes en Espana?
YubiKey 5 NFC (compatible con M365, Google, GitHub), Google Titan Key (opcion economica para Google Workspace) y Token2 (buena opcion para volumen). Para pymes en Madrid, Libertia IT recomienda empezar con las cuentas de administrador y escalar segun el presupuesto.
¿Que son los Passkeys y cuando los puedo usar en mi empresa?
Los Passkeys son credenciales criptograficas almacenadas en el dispositivo y protegidas por biometria. Ya estan disponibles en Microsoft 365 (desde 2024), Google Workspace y GitHub. Se pueden activar desde el Centro de Administracion de Microsoft Entra sin coste adicional.
¿Como migro a MFA mas seguro sin que los empleados se quejen?
El orden correcto: (1) Empieza con cuentas privilegiadas. (2) Usa Microsoft Authenticator con number matching. (3) Comunica con un caso real concreto: los casos reales funcionan mejor que las politicas abstractas. El impacto en productividad es de 3-5 segundos por inicio de sesion.
