¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor se utiliza como primera línea de defensa cibernética. Busca detener el acceso no autorizado en los puntos de entrada al requerir dos o más conjuntos de identificadores únicos para validar las identidades digitales de los usuarios. Los factores de autenticación utilizados por estos sistemas son diferentes y no son accesibles desde una única fuente, por lo que si uno se ve comprometido, es poco probable que otros también lo estén.

¿Qué es la MFA?

La autenticación multifactor (MFA) es un marco de autenticación avanzado en capas que es un componente central de la gestión de identidades y acceso (IAM). Aumenta el umbral para que un usuario acceda a una cuenta (por ejemplo, aplicaciones, sistemas, servidores o VPN) al requerir al menos dos formas independientes de verificación. Con el enfoque de defensa por niveles de autenticación multifactor, incluso si un factor está comprometido, existe al menos una barrera de acceso adicional.

Aunque la autenticación multifactor (MFA) es una práctica de seguridad con décadas de historia (popularizada a mediados de los 90), sigue siendo una de las medidas más eficaces para proteger el acceso de los usuarios. Su vigencia se explica porque eleva mucho la protección con mínimo impacto en usuarios y equipos de TI ya saturados. Además, las soluciones modernas de MFA incorporan inteligencia artificial (IA), biometría y tecnologías emergentes para detectar riesgos y reducir fricción.

Importancia de la autenticación multifactor en la seguridad digital

Los ciberataques llegan por múltiples vectores, pero los usuarios finales siguen siendo objetivo habitual y, a menudo, el eslabón más débil de la defensa. La MFA refuerza los puntos de acceso: incluso si se roban credenciales, añade capas adicionales que bloquean el acceso no autorizado.

La MFA eleva el clásico binomio usuario/contraseña a un nivel superior, disminuyendo drásticamente el riesgo de intrusiones. Al exigir factores adicionales a la contraseña, ayuda a prevenir brechas derivadas de filtraciones de contraseñas o ataques de relleno de credenciales.

La autenticación multifactor desde un contexto histórico

Formas de autenticación multifactor preceden a los servicios en línea. La primera herramienta comercial ampliamente reconocida la lanzó RSA en 1986: un token físico (llavero) que mostraba un código temporal como segundo factor tras el usuario y la contraseña. Fue adoptado sobre todo por grandes empresas y organismos gubernamentales.

La MFA se popularizó masivamente en 2011, cuando Google desplegó la verificación en dos pasos para todos sus usuarios en respuesta a ataques persistentes. Ese hito marcó el despegue del uso generalizado de la autenticación multifactor a nivel global.

Las limitaciones de las credenciales basadas solo en usuario y contraseña, junto con la necesidad de autenticación multifactor (MFA), llevaron a Barack Obama a pronunciarse sobre el tema. En febrero de 2016 se publicó un editorial del presidente en el que anunció una campaña nacional para acelerar el avance y la adopción de la MFA como estándar de seguridad. Señaló que quería “animar a más estadounidenses a ir más allá de las contraseñas y añadir una capa adicional de seguridad, como una huella dactilar o códigos enviados al teléfono móvil”.

La autenticación multifactor ha seguido avanzando. Las soluciones modernas combinan varios elementos —conocimiento (algo que sabes), posesión (algo que tienes) e inherencia (algo que eres)— y añaden señales contextuales como la ubicación, el dispositivo o el riesgo para verificar la identidad antes de conceder acceso. Además, la inteligencia artificial y el aprendizaje automático mejoran la detección de anomalías, adaptan los desafíos y reducen la fricción para el usuario.

¿Cómo funciona la autenticación multifactor?

La autenticación multifactor funciona al solicitar información de verificación adicional, además de las credenciales de nombre de usuario y contraseña cuando un usuario intenta acceder a un recurso. Una vez autenticado, el usuario se conecta al recurso. La autenticación multifactor puede aplicarse tanto en dispositivos como aplicaciones.

Factores de autenticación

En MFA se combinan categorías como conocimiento (algo que sabes), posesión (algo que tienes) e inherencia (algo que eres). A continuación, los métodos que mencionas, expresados con precisión:

• Autenticación mediante token por correo electrónico: La autenticación mediante token por correo electrónico envía a los usuarios una contraseña de un solo uso (OTP). Este enfoque se ofrece a menudo como alternativa a la autorización de token por SMS para usuarios que no tienen un teléfono móvil disponible para recibir un mensaje de texto.
• Autenticación mediante token por SMS: La autenticación mediante token por SMS funciona de la misma manera que la autenticación mediante token por correo electrónico, pero utiliza mensajes de texto.
• Autenticación mediante token de hardware: Aunque son más costosos que utilizar la autenticación mediante token por correo electrónico o SMS, los tokens de hardware se consideran el método de autenticación más seguro. Estos tokens pueden ser llaveros electrónicos con pantallas que generan una contraseña de un solo uso o un pequeño dispositivo que se inserta en un sistema para validar la identidad del usuario y otorgar acceso.
• Autenticación mediante token de software: Se pueden instalar aplicaciones de autenticación en dispositivos inteligentes para que sirvan como factor de autenticación. Estas aplicaciones permiten que el dispositivo inteligente se utilice como token que se puede vincular a servicios de autenticación para la autenticación multifactor.
• Autenticación con contraseña temporal de un solo uso: Las contraseñas temporales de un solo uso (TOTP) se generan dinámicamente cuando un usuario quiere iniciar sesión. Se solicita a los usuarios que ingresen la TOTP, que se envió a sus dispositivos de confianza, como teléfonos inteligentes u computadoras, mediante SMS o correo electrónico. La TOTP solo es válida por un tiempo limitado.
• Verificación biométrica:
• La identidad se puede verificar con dispositivos inteligentes u ordenadores que tengan capacidades de autenticación biométrica. La biometría se utiliza cada vez más como parte de la autenticación multifactor, ya que proporciona a los usuarios un paso de inicio de sesión sencillo e imposible de falsificar.
• Preguntas de seguridad Se pueden utilizar preguntas estáticas o dinámicas para la autenticación multifactor. Un tipo de autenticación basada en conocimientos (KBA) es que durante la configuración de la cuenta los usuarios respondan a preguntas que luego se presentarán aleatoriamente para la verificación de identidad durante el proceso de inicio de sesión. Un enfoque más avanzado son las preguntas dinámicas, que se generan en tiempo real utilizando información disponible públicamente. Algunos ejemplos de preguntas dinámicas son: ¿En qué ciudad naciste?, ¿Has vivido en alguna de estas direcciones?, ¿Alguno de estos alguna vez fue tu número de teléfono?.
• Autenticación de inicio de sesión social: El inicio de sesión social o verificación de identidad social aprovecha las plataformas de redes sociales para la autenticación. Si un usuario ya ha iniciado sesión en una plataforma de redes sociales, puede servir como factor de autenticación. Este enfoque se considera más arriesgado que otros, pero puede ser eficaz cuando se utiliza en combinación con otros factores de autenticación.
• Autenticación con contraseña temporal de un solo uso: Las contraseñas temporales de un solo uso (TOTP) se generan cuando un usuario intenta iniciar sesión y caducan después de un tiempo establecido. Los usuarios reciben TOTP en sus teléfonos inteligentes u ordenadores a través de SMS o correo electrónico.

Proceso de configuración paso a paso

El proceso de configuración específico para la autenticación multifactor variará según la solución. Sin embargo, los siguientes son pasos básicos.

1. Educar e involucrar a los usuarios para garantizar la adopción
2. Establecer políticas de autenticación multifactor
3. Desarrollar un plan que incluya diversos factores para satisfacer diferentes necesidades
4. Considerar los requisitos de cumplimiento
5. Crear un plan para gestionar la pérdida de dispositivos
6. Definir las fases de la implementación
7. Planificar la revisión y optimización continuas

Tipos de métodos de autenticación multifactor

La autenticación multifactor combina varios tipos de autenticación. Para verificar la identidad, los principales métodos de MFA se basan en información que puede ser de cuatro tipos: basada en conocimiento, en posesión, en inherencia y adaptativa.

Basada en conocimiento (algo que sabes)

La verificación de identidad basada en el conocimiento requiere que el usuario responda una pregunta de seguridad. Para la autenticación multifactor, algunos ejemplos de conocimiento son las respuestas a preguntas de seguridad (p. ej., dónde naciste, cuál es tu color favorito, cuál era el nombre de tu instituto, cuál es el segundo apellido de tu madre), contraseñas de un solo uso (OTP), contraseñas y números de identificación personal (PIN).

Basada en la posesión (algo que tienes)

Este factor requiere que para iniciar sesión el usuario tenga en su posesión un objeto, que sería difícil de obtener para un ciberdelincuente. Los objetos incluidos en la categoría de posesión de la autenticación multifactor son insignias, llaveros electrónicos, teléfonos inteligentes, tokens físicos, tarjetas inteligentes, tokens de software y memorias USB.

Basada en la inherencia (algo que eres)

Para la autenticación multifactor, cualquier rasgo biológico de un usuario (es decir, datos biométricos) puede usarse para verificar la identidad. Los factores inherentes incluyen reconocimiento facial, escaneo de huellas dactilares, autenticación de voz, escaneo de retina o iris, autenticación de voz, geometría de la mano, escáneres de firma digital y geometría del lóbulo de la oreja.

Autenticación multifactor adaptativa

También se conoce como autenticación basada en riesgos. Agrega una capa de autenticación que considera el contexto y el comportamiento. Este enfoque de autenticación es dinámico en lugar de utilizar una lista estática de reglas para los inicios de sesión. Al utilizar la IA, puede adaptarse al comportamiento y las características de los usuarios y luego aplicar el tipo de verificación de identidad más apropiado para cada sesión de usuario.

Entre los factores que tiene en cuenta la autenticación multifactor adaptativa se encuentran los siguientes.

• Dispositivo
  ¿El usuario intenta iniciar sesión utilizando un dispositivo no autorizado?
• Dirección IP
  ¿Es esta la misma dirección IP que el usuario suele utilizar al iniciar sesión en un recurso?
• Ubicación
  ¿El usuario ha intentado iniciar sesión en una cuenta desde dos ubicaciones diferentes en poco tiempo? ¿La ubicación de inicio de sesión es inusual para el usuario? ¿El usuario está intentando iniciar sesión desde una red pública en lugar de una red corporativa?
• Confidencialidad
  ¿El usuario intenta acceder a información confidencial?
• Hora de inicio de sesión
  ¿La hora de inicio de sesión se corresponde con las horas de inicio de sesión normales del usuario?

La IA también se utiliza para recopilar y procesar datos contextuales para calcular una puntuación de riesgo asociada con el intento de inicio de sesión mediante análisis en tiempo real. Según la puntuación de riesgo, se puede determinar el método óptimo de autenticación del usuario. Por ejemplo:

• El riesgo bajo solo requeriría una contraseña
• El riesgo medio requeriría autenticación multifactor
• El alto riesgo requeriría procesos de autenticación adicionales

Por ejemplo, la autenticación multifactor adaptativa podría determinar que un intento de inicio de sesión desde una cafetería a altas horas de la noche probablemente sea sospechoso, ya que se trata de un comportamiento inusual para el usuario real. Con la autenticación multifactor adaptativa, el intento de inicio de sesión desencadenaría una solicitud para ingresar una contraseña de un solo uso que se envía por mensaje de texto al teléfono del usuario.

Beneficios y desafíos de la autenticación multifactor

Los principales beneficios de la autenticación multifactor giran en torno a la seguridad mejorada que proporciona y la mitigación de las ciberamenazas. La autenticación multifactor ofrece estos dos factores porque puede:

• Adaptarse a diferentes casos de uso a medida que evolucionan las amenazas
• Aumentar la seguridad a nivel de hardware, software e identificación personal con un sistema de defensa en capas
• Aplicar políticas de seguridad que restrinjan el acceso según la hora del día o la ubicación
• Obtener el apoyo de los usuarios, ya que es fácil de configurar y usar
• Permitir que los administradores de seguridad y TI concentren sus esfuerzos en el comportamiento que se ha marcado como sospechoso en lugar de exigir a los administradores que supervisen toda la actividad
• Habilitar la aplicación de controles de autenticación durante el acceso sin conexión para usuarios que no tienen conexión a Internet
• Reducir las infracciones de seguridad mucho más que las contraseñas por sí solas

Aunque la adopción de la autenticación multifactor se ha generalizado, no está exenta de desafíos. Los usuarios y profesionales de la seguridad mencionan unos cuantos, pero la mayoría pueden superarse sin mayor esfuerzo.

El hecho de que la autenticación multifactorial no se adopte de forma generalizada suele estar relacionado con la forma en que se implementa. Cuando la autenticación multifactorial se fomenta, pero no se exige, la mayoría de los usuarios optan por la vía más fácil y la omiten. Para garantizar un uso generalizado de la autenticación multifactorial, es necesario que sea obligatoria.

En ocasiones, las implementaciones de la autenticación multifactor se asocian con desafíos técnicos. En la mayoría de los casos, son el resultado de que una organización seleccione una solución que es demasiado compleja o carece de las integraciones necesarias. Tomarse el tiempo para evaluar los recursos y los requisitos por adelantado ayudará a las organizaciones a implementar una solución de autenticación multifactor que les resulte fácil de implementar y mantener.

Las quejas de los usuarios sobre la fricción causada por la autenticación multifactor generalmente se deben a un modelo único para todos. El uso de la autenticación multifactor adaptativa elimina fricciones innecesarias, lo que limita la autenticación mejorada a escenarios de usuario específicos.

Preguntas frecuentes sobre la autenticación multifactor

¿Qué es la autenticación multifactor?

La autenticación multifactor (MFA) es una verificación de identidad en capas que refuerza los controles de acceso exigiendo al usuario más de un factor (además de usuario/contraseña). Así, incluso si las credenciales se ven comprometidas, las capas adicionales bloquean el acceso no autorizado.

¿Cuáles son los tres tipos principales de métodos de autenticación multifactor?

Los tres tipos principales de métodos de autenticación multifactor están basados ​​en conocimiento (algo que sabes, como un nombre de usuario y una contraseña), en posesión (algo que tienes, como un token físico o un mensaje con código recibido por correo electrónico o mensaje de texto) y en inherencia (algo propio de ti, como una huella digital).

¿Cuál es la diferencia entre MFA y 2FA?

2FA es un caso específico de MFA que añade un único factor adicional a la contraseña. MFA implica dos o más factores (por ejemplo, contraseña + app autenticadora + biometrico), elevando el nivel de seguridad y reduciendo más el riesgo.

¿Cómo de segura es la autenticación multifactor?

La MFA es muy efectiva si se diseña e implementa correctamente: combina factores robustos (preferiblemente app autenticadora o llave de seguridad frente a SMS), aplica políticas adaptativas por riesgo, registra evidencias para auditoría y minimiza fricción con opciones como notificaciones push o passkeys.