MFA no es suficiente: por qué tus empleados pueden estar comprometidos sin que lo sepa nadie

Hay una sensación tranquila que se instaló en muchos despachos de dirección después de activar MFA en todas las cuentas: por fin estamos protegidos. Y para una buena parte de los ataques sencillos, sí. El problema es que los ataques sencillos ya casi no se ven en pymes con MFA. Lo que sí se ve, cada vez más, son ataques que se saltan el MFA sin tocarlo, porque entran después de que tu empleado se haya autenticado correctamente. Es la situación que más asusta cuando se la cuentas en frío a un director general: «podrían estar dentro de tu correo ahora mismo y MFA no te avisaría».

No es alarmismo. El propio Microsoft Digital Defense Report 2025 cifra en torno al 80% los ataques que no disparan ninguna alerta de MFA porque utilizan una sesión ya validada en lugar de iniciar una nueva. Es decir: la pulsera digital que tu sistema da a tu empleado después de autenticarse es la que el atacante busca. La contraseña, hoy, es casi irrelevante.

Qué es lo que ya no protege el MFA y cuándo dejó de bastar

El MFA protege el momento del login. Punto. Lo que pasa después es otra película. Cuando tu empleado introduce su contraseña y aprueba el segundo factor, Microsoft, Google o tu ERP en la nube le entregan un token, una especie de pulsera digital que dice «este señor ya se ha autenticado, le dejamos entrar y salir durante las próximas X horas sin volver a pedirle nada». Es lo que hace que no tengas que poner la contraseña cada vez que abres un correo.

Ese token es el premio gordo de los atacantes en 2026. Si lo consiguen, entran en tu correo, descargan archivos, envían correos en tu nombre y reenvían adjuntos sensibles a su buzón, todo sin disparar una sola alerta de MFA. Porque ellos no se autentican, usan la pulsera que se autenticó hace un rato. El sistema no tiene forma de saber que la pulsera ha cambiado de muñeca.

Hay tres formas principales de robar esa pulsera: una página de login falsa muy bien hecha que actúa como proxy entre tu empleado y el sistema real (lo que el sector llama AiTM, Adversary-in-the-Middle), una extensión de navegador maliciosa instalada sin permiso, y un malware en el equipo personal del empleado que captura las cookies del navegador. La sensación en el lado del usuario es que todo va bien. La sensación en el lado del atacante es que ha pasado de una zona protegida a una zona libre.

La pulsera digital: cómo se cuelan sin contraseña después de tu MFA

La analogía más clara que he encontrado para explicar esto a un director general es la del concierto. En el concierto, tú llegas, presentas la entrada (contraseña), un guardia comprueba tu DNI (MFA) y te ponen una pulsera en la muñeca para que entres y salgas durante la noche. La pulsera no te identifica: solo dice «ya hemos comprobado que esta persona puede estar dentro».

Si alguien te quita la pulsera y se la pone, entra sin que el guardia compruebe nada. El sistema no es estúpido: es que las pulseras estaban diseñadas para no tener que reverificar a cada paso. Lo mismo pasa con los tokens de sesión en tu correo en la nube.

El método más usado en pymes españolas durante 2025-2026 según los datos de ENISA Threat Landscape 2025 es el AiTM phishing. El atacante envía un correo aparentemente normal con un enlace que parece de tu banco, de Microsoft, de la AEAT o de un cliente. El enlace lleva a una página que es idéntica al login real, pero está actuando como espejo: cuando tu empleado mete su usuario y su MFA, todo se reenvía a Microsoft en vivo y Microsoft entrega la pulsera digital. Solo que la pulsera llega al atacante, no al empleado, que recibe una página de error genérica y piensa que se ha equivocado de enlace.

A partir de ese momento, hasta que la sesión expira o alguien fuerza el cierre, el atacante tiene acceso completo. Y aquí está lo importante: el MFA hizo exactamente lo que tenía que hacer. Es el modelo de sesión el que es la pieza vulnerable, no el factor.

Cuatro horas dentro de tu correo sin que MFA salte: el ejercicio hipotético

Imagina una asesoría tipo de 18 personas en zona empresarial de Madrid. Director general y socio mayoritario, departamento de fiscal, departamento de laboral, una persona en recursos humanos, dos administrativas. Todo el correo en Microsoft 365 con MFA obligatorio activado el año pasado. La sensación general es de tranquilidad: hicieron las cosas bien.

Un martes a las 15:30, el director general recibe un correo aparentemente de la AEAT con asunto «Notificación pendiente de firma electrónica». Pincha porque tiene tres notificaciones reales pendientes ese mes. La página le pide el correo y la contraseña, y a continuación el MFA del móvil. Todo le suena exactamente igual que cuando entra en la AEAT real. Aprueba el MFA. La página da un error genérico, él lo cierra y se olvida.

Lo que ha pasado entre bambalinas: el correo no era de la AEAT, el enlace no llevaba a la AEAT, era una página proxy. La contraseña y el MFA del director se reenviaron a Microsoft en vivo. Microsoft entregó la pulsera digital, que ahora la tiene el atacante. Durante las siguientes cuatro horas, el atacante lee el correo del director general, descarga adjuntos con datos de clientes y crea una regla automática que reenvía a una dirección externa cualquier correo que contenga «factura», «transferencia» o «IBAN». Ninguna alerta de MFA salta. Ningún sistema avisa.

Este escenario es hipotético, no es un cliente concreto, pero todos los elementos son técnicamente reales y están documentados en informes del propio Microsoft y de ENISA. El detalle interesante es lo que habría cortado el ataque y lo que no.

Lo que no habría cortado: tener MFA, tener antivirus, tener contraseñas largas. Todo eso ya estaba.

Lo que sí lo habría cortado: una sesión administrativa con duración máxima de 15 minutos, una regla de Microsoft 365 que obliga a reautenticarse cuando se crea una regla de reenvío externo de correo, y una capa de detección de comportamiento que habría notado que en cuatro horas hubo descargas inusuales desde una dirección IP de país no habitual. Las tres capas se llaman, en el lenguaje del sector, phishing-resistant MFA, sesión corta para acciones sensibles y monitoreo de comportamiento. Las tres existen ya, gratis o casi gratis, en el plan de Microsoft 365 Business Premium que muchas pymes ya están pagando. El problema es que nadie las ha activado.

Las tres capas que tu MSP debería tener montadas (y que probablemente no tiene)

La buena noticia, leída en frío, es que no hay que comprar nada nuevo. Para las pymes que ya tienen Microsoft 365 Business Premium, los tres elementos están incluidos en la licencia. Lo único que falta es la configuración y la decisión.

Capa 1: autenticación resistente a phishing para los perfiles sensibles. Hablamos de las cuentas del director general, del responsable de operaciones, del responsable financiero y de los administradores del sistema. Para estos perfiles, MFA por SMS o por aprobación en la app del móvil ya no es suficiente, porque ambos métodos se reenvían igual por una página proxy. Lo que sí resiste son las passkeys (también llamadas claves de acceso), las llaves físicas tipo Yubikey o el sistema Windows Hello del propio portátil. Las passkeys están activadas por defecto en Microsoft 365 para nuevas cuentas en 2026 y se pueden activar en cuentas existentes en una tarde de trabajo con tu MSP.

Capa 2: sesiones cortas para acciones sensibles. No es razonable que el token de un administrador dure 12 horas, porque significa que si alguien se la queda con él tiene un día entero para hacer lo que quiera. Una pyme bien configurada limita las sesiones administrativas a 15-30 minutos de inactividad, y obliga a reautenticarse para acciones sensibles: crear reglas de correo, dar permisos a aplicaciones externas, exportar buzones completos. Es un cambio mínimo en la experiencia del usuario y enorme en el riesgo.

Capa 3: detección de comportamiento. El sistema tiene que saber distinguir entre el director general entrando desde su despacho de Madrid a las 10 de la mañana y un atacante entrando desde una dirección IP en Vietnam a las 3 de la madrugada con la misma pulsera. Si la diferencia es muy grande, el sistema fuerza una reautenticación o bloquea la sesión. Microsoft 365 lo llama acceso condicional y está incluido en la licencia. Lo que no está incluido es que alguien lo haya configurado.

Las tres capas no son un gran proyecto. Para una pyme de 20-60 empleados son entre 1.500 y 3.500 € de configuración una vez y luego mantenimiento normal en la cuota mensual. Si tu ciberseguridad gestionada no te lo ha propuesto nunca, tienes una conversación pendiente.

Las tres cosas que vas a pedir a tu proveedor esta semana

No hace falta saber de ciberseguridad para que la conversación con tu MSP sea seria. Estas son las tres preguntas concretas que vas a llevar a la próxima reunión, en este orden:

1. «¿Tenemos passkeys o llaves físicas activadas para los perfiles sensibles, o seguimos con MFA por móvil?» Si la respuesta es la segunda, anótalo y pasa a la siguiente. No es urgencia de mañana, pero sí del trimestre.

1. «¿Cuánto duran las sesiones administrativas en mi sistema antes de tener que volver a autenticarse?» Quieres oír un número, no una respuesta vaga. Si te dicen «lo que viene por defecto en Microsoft», tradúcelo a 12 horas o más, que es mucho.

1. «Si alguien entra a mi correo desde fuera de España a las tres de la madrugada con sesión válida, ¿qué pasa?» Buscas una respuesta concreta: o bien se bloquea, o bien fuerza reautenticación, o bien dispara una alerta a tu MSP. Si la respuesta es «tendríamos que mirarlo», la respuesta real es nada.

Las tres preguntas tardan dos minutos. Las tres respuestas, si son buenas, te dan tranquilidad. Si no son buenas, te dan algo más útil: una agenda para el próximo trimestre.

Qué pasa si tu MSP no sabe de qué le hablas

Si tu proveedor IT te responde con frases vagas a las tres preguntas, no estás necesariamente en mal sitio, pero sí estás expuesto a un vector que ya no es marginal. Hay tres opciones razonables.

La primera, dar al MSP 30 días para presentar un plan por escrito con los tres cambios y un coste cerrado. Si vuelve con un documento serio, lo apruebas y se ejecuta. Si vuelve con vaguedades, ya tienes información.

La segunda, pedir una auditoría de seguridad específica de tu entorno de identidad. Para una pyme de 20-80 empleados son entre 1.500 y 3.500 € y termina con un informe ejecutivo donde se ve lo que está bien, lo que está flojo y lo que falta por hacer. Es información independiente: ni el MSP actual la firma, ni ningún proveedor de software interesado en venderte.

La tercera, si el problema parece estructural, hablarlo con un vCIO externo. Treinta minutos de conversación bastan para entender si la cobertura que tienes hoy es razonable o si el modelo de tu proveedor IT no encaja con el riesgo real de tu sector. No se trata de cambiar de proveedor por reflejo, se trata de decidir con criterio.

El AEPD interpreta cada vez más, bajo el artículo 32 del Reglamento General de Protección de Datos, que la ausencia de medidas adicionales razonables al MFA básico puede considerarse falta de diligencia. INCIBE recoge en su guía para empresas el endurecimiento de identidad como una de las prioridades de 2026 para pymes. No es una preocupación de informáticos. Es una decisión de dirección.

¿Cómo es posible que entren si tengo MFA en todas las cuentas?

El MFA protege el momento del login, pero después del login el sistema te entrega un token de sesión (lo llamamos «pulsera digital») que te identifica durante varias horas sin volver a pedir nada. Los atacantes han aprendido a robar ese token después de un MFA correcto, mediante páginas proxy en correos de phishing bien hechos. Una vez tienen el token, entran sin disparar ninguna alerta de MFA.

¿Sirve MFA por SMS para una pyme española en 2026?

Sirve más que no tenerlo, pero es el factor más débil de los disponibles. El SMS se puede reenviar igual que la contraseña a través de una página proxy de phishing. Para perfiles sensibles (dirección, finanzas, administradores) las recomendaciones del sector y de Microsoft son passkeys, llaves físicas tipo Yubikey o Windows Hello, que son resistentes al phishing por diseño.

¿Qué es una passkey y por qué dicen que es resistente a phishing?

Una passkey o «clave de acceso» es un método de autenticación criptográfica vinculado al dispositivo del usuario (móvil, portátil) que no se puede reenviar. Cuando entras en una página de phishing aparentemente igual a la real, la passkey detecta que la dirección web no coincide con la legítima y se niega a autenticar. Por eso resiste el ataque AiTM. Está incluida en Microsoft 365 Business Premium y se activa en una sesión con tu MSP.

¿Cuánto cuesta reforzar la seguridad de M365 más allá del MFA estándar?

Si ya tienes Microsoft 365 Business Premium activado, las tres capas adicionales (passkeys, sesiones cortas, acceso condicional) están incluidas en la licencia sin coste adicional. El gasto es solo de configuración y formación: entre 1.500 y 3.500 € para una pyme de 20-60 empleados, una sola vez. Si tienes el plan Business Standard, hay que subir a Business Premium, que sube unos 9-12 € por usuario y mes.

¿Mi MSP debería avisarme si entran a mi correo con sesión robada?

Sí, si tiene activado monitoreo de comportamiento en M365 (lo que llamamos acceso condicional con detección de riesgo). Si no lo tiene activado, cualquier acceso desde fuera de tu país habitual o con horarios anómalos pasa sin alerta. Es lo primero que comprobamos en una auditoría: si tu proveedor IT recibe alertas de tu tenant de Microsoft en tiempo real, o solo cuando alguien le llama.

¿Por dónde empiezas?

Tienes las tres preguntas para la próxima reunión con tu MSP: passkeys o llaves físicas para perfiles sensibles, duración de las sesiones administrativas y respuesta del sistema a accesos desde fuera del país habitual. Llévalas en la cabeza.

Si las respuestas no convencen, agenda 30 minutos con un vCIO de Libertia IT. En esa media hora revisamos cómo está tu identidad hoy, qué capas se pueden activar la semana que viene sin tocar tu licencia actual y qué se tendría que ajustar con tu proveedor si decides quedarte con él.

Agenda 30 minutos con un vCIO de Libertia IT →