Volver al blog
Autenticación Multifactor (MFA): Por qué el SMS ya no es suficiente y qué usar en su lugar
Mejores Prácticas

Autenticación Multifactor (MFA): Por qué el SMS ya no es suficiente y qué usar en su lugar

Las contraseñas solas ya no protegen tus cuentas. Conocé los tipos de MFA disponibles, los riesgos del SMS y qué opciones seguras podés implementar hoy.

Equipo Cibershield11 Abr, 202612 min de lectura

La cerradura que se abre con una sola llave

Imaginá que tu casa tiene una sola cerradura con una llave que medio vecindario ha visto. Vos la dejás debajo del tapete "por si se te olvida", y encima usás la misma llave para la oficina, el carro y la bodega. Un día, alguien la copia y entra a tu casa mientras dormís. ¿Culpa del ladrón? Claro. ¿Pero no habría sido mejor tener un segundo candado, una alarma, o al menos no dejar la llave debajo del tapete? Eso es exactamente lo que pasa con tus contraseñas en internet.

Las contraseñas fueron diseñadas en una época en que la seguridad digital era un concepto casi teórico. Hoy, con miles de millones de credenciales filtradas circulando en la dark web, depender solo de una contraseña es como cerrar tu negocio con un candadito de diario.

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor es un método de seguridad que requiere que presentés dos o más pruebas de identidad antes de acceder a una cuenta o sistema. Estas pruebas se dividen en tres categorías:

Algo que sabés:: tu contraseña, un PIN, una pregunta de seguridad.
Algo que tenés:: tu teléfono, una llave física de seguridad, una tarjeta inteligente.
Algo que sos:: tu huella digital, tu rostro, tu voz.

La idea es simple pero poderosa: aunque un atacante robe tu contraseña (algo que sabés), todavía necesitaría tu teléfono (algo que tenés) o tu huella (algo que sos) para entrar.

¿Por qué las contraseñas solas ya no funcionan?

Los números son escalofriantes:

Más de 24 mil millones: de combinaciones de usuario/contraseña circulan en bases de datos filtradas.
El 81% de las brechas de seguridad involucran contraseñas débiles, reutilizadas o robadas.
Un atacante puede probar miles de millones de contraseñas por segundo con hardware moderno.
El 65% de las personas reutiliza la misma contraseña en múltiples sitios.

No importa qué tan larga o complicada sea tu contraseña: si la usás en un sitio que sufre una filtración, esa contraseña queda expuesta para todos tus otros servicios.

Los tipos de MFA: del más débil al más fuerte

1. SMS (mensajes de texto) — El más común, pero ya no el más seguro

Cuando activás MFA por SMS, el servicio te envía un código de 6 dígitos por mensaje de texto cada vez que iniciás sesión. Es mejor que nada, pero tiene vulnerabilidades serias.

Ventajas:

Fácil de configurar
No requiere instalar nada
Casi todos los servicios lo ofrecen

Desventajas:

Vulnerable a SIM swapping (más sobre esto adelante)
Los SMS pueden ser interceptados
Depende de cobertura celular
Los códigos pueden ser robados mediante ingeniería social

2. Aplicaciones de autenticación (TOTP) — El punto óptimo

Aplicaciones como Google Authenticator, Microsoft Authenticator o Authy generan códigos temporales (TOTP: Time-based One-Time Password) que cambian cada 30 segundos. Funcionan sin conexión a internet.

Ventajas:

No dependen de la red celular
No pueden ser interceptados en tránsito
Gratuitas y fáciles de usar
Funcionan offline

Desventajas:

Si perdés el teléfono, podés perder acceso (a menos que tengás respaldos)
Siguen siendo vulnerables a ataques de phishing sofisticados en tiempo real

3. Notificaciones push — Cómodas y seguras

Servicios como Microsoft Authenticator o Duo Security envían una notificación a tu teléfono que simplemente aprobás o rechazás. Algunos incluso te muestran un número que debés coincidir con lo que aparece en pantalla.

Ventajas:

Muy fácil de usar (solo tocás "Aprobar")
Más resistentes al phishing que los códigos
Muestran información del intento de acceso (ubicación, dispositivo)

Desventajas:

Requieren conexión a internet
Vulnerables a fatiga de MFA: el atacante envía tantas notificaciones que el usuario aprueba una por accidente o desesperación

4. Llaves de seguridad físicas (FIDO2/WebAuthn) — El estándar de oro

Dispositivos como YubiKey o Google Titan son pequeñas llaves USB o NFC que conectás a tu computadora o acercás a tu teléfono para autenticarte.

Ventajas:

Inmunes al phishing.: La llave verifica criptográficamente que estás en el sitio correcto.
No pueden ser clonadas remotamente
No requieren batería
Extremadamente duraderas

Desventajas:

Cuestan entre $25-$70 USD
Hay que llevarlas encima
No todos los servicios las soportan (aunque cada vez más sí)

5. Biometría — Tu cuerpo como contraseña

Huellas digitales, reconocimiento facial y escáneres de iris añaden una capa basada en quién sos físicamente.

Ventajas:

Conveniente: siempre la llevás con vos
Difícil de replicar
Rápida de usar

Desventajas:

No podés cambiar tu huella si se compromete
Puede fallar con dedos mojados, lentes, cambios físicos
Preocupaciones de privacidad sobre el almacenamiento de datos biométricos

SIM Swapping: la estafa que hace inútil al SMS

¿Qué es?

El SIM swapping (intercambio de SIM) es una técnica donde el atacante convence a tu operador telefónico de transferir tu número a una tarjeta SIM que él controla. Una vez que tiene tu número, recibe todos tus SMS, incluyendo los códigos de verificación.

¿Cómo funciona paso a paso?

1.Recopilación de información. El atacante investiga tus datos personales en redes sociales, filtraciones de datos o mediante ingeniería social.
2.Contacto con el operador. Llama a tu operador telefónico haciéndose pasar por vos. Usa tus datos personales para pasar las preguntas de seguridad.
3.Transferencia del número. El operador transfiere tu número a la nueva SIM del atacante.
4.Tu teléfono pierde señal. De repente no podés hacer llamadas ni recibir mensajes.
5.El atacante recibe tus códigos. Ahora todos los SMS de verificación llegan a él.
6.Acceso a tus cuentas. Con tu contraseña (obtenida de alguna filtración) y los códigos SMS, entra a tu correo, banco, redes sociales.

Casos reales en la región

En Centroamérica, el SIM swapping es más común de lo que se piensa. Operadores telefónicos locales a veces tienen procesos de verificación débiles, y la ingeniería social es particularmente efectiva cuando el atacante tiene acceso a datos personales que son fácilmente encontrables en registros públicos.

En 2024, varios empresarios costarricenses reportaron pérdidas significativas por SIM swapping combinado con acceso a banca en línea. El patrón era siempre el mismo: contraseña filtrada + verificación por SMS = cuenta vacía.

Guía práctica: Implementar MFA en tu PYME

Paso 1: Priorizá las cuentas críticas

No todo necesita MFA el primer día. Empezá por lo más importante:

Correo electrónico corporativo: (si te roban el correo, pueden resetear todo lo demás)
Banca en línea y sistemas financieros
Panel de administración del sitio web
Servicios en la nube: (Google Workspace, Microsoft 365, AWS)
Redes sociales de la empresa
Sistemas de facturación electrónica

Paso 2: Elegí el método adecuado

Para la mayoría de PYMEs en Centroamérica, la recomendación es:

| Uso | Método recomendado | Costo |

|---|---|---|

| Correo y redes sociales | App de autenticación (TOTP) | Gratis |

| Banca en línea | App del banco + biometría | Gratis |

| Administración de servidores | Llave física FIDO2 | $25-70 |

| Acceso general de empleados | App de autenticación | Gratis |

| Cuentas del CEO/gerencia | Llave física + app | $25-70 |

Paso 3: Herramientas gratuitas y accesibles

Para individuos y equipos pequeños:

Google Authenticator: (Android/iOS): Simple, gratuito, ahora sincroniza entre dispositivos.
Microsoft Authenticator: (Android/iOS): Excelente si usás Microsoft 365. Soporta notificaciones push.
Authy: (Android/iOS/Desktop): Permite respaldos cifrados en la nube y funciona en múltiples dispositivos.
Bitwarden Authenticator: (multiplataforma): Integrado con el gestor de contraseñas Bitwarden.

Para empresas que necesitan gestión centralizada:

Duo Security: (tiene tier gratuito para hasta 10 usuarios): Ideal para PYMEs que necesitan administrar MFA de todo el equipo desde un panel central.
Google Workspace / Microsoft 365: Ambos incluyen opciones de MFA sin costo adicional en sus planes empresariales.

Llaves físicas accesibles:

YubiKey 5 NFC: (~$50 USD): La más popular, funciona con USB y NFC.
Google Titan Security Key: (~$30 USD): Opción más económica de Google.
Thetis FIDO2: (~$25 USD): La opción más económica que cumple con el estándar.

Paso 4: Configurá códigos de respaldo

Cada servicio que active MFA te ofrece códigos de respaldo (recovery codes). Estos son códigos de un solo uso que te permiten acceder si perdés tu dispositivo de autenticación.

Reglas para los códigos de respaldo:

Imprimílos y guardálos en un lugar seguro (no en tu computadora)
No los guardés en el mismo lugar que tu teléfono
Considerá guardar una copia en una caja fuerte o con un socio de confianza
Revisálos periódicamente para asegurarte de que siguen vigentes

Paso 5: Capacitá a tu equipo

De nada sirve implementar MFA si tu equipo no sabe usarlo o lo desactiva por frustración:

Explicá por qué se está implementando, no solo el cómo
Hacé una sesión práctica de configuración grupal
Creá un proceso claro para cuando alguien pierda su dispositivo
Designá a una persona responsable de soporte de MFA

Errores comunes al implementar MFA

1. Activar MFA solo por SMS

Ya vimos que el SMS es el eslabón más débil. Si es tu única opción temporalmente, está bien, pero migrá a una app de autenticación lo antes posible.

2. No tener un plan de recuperación

Si el gerente general pierde su teléfono un viernes por la noche y no hay códigos de respaldo ni proceso de recuperación, el lunes va a ser un desastre.

3. Excluir a la alta gerencia

Irónicamente, las cuentas de CEO, CFO y gerentes son las más atacadas (por su nivel de acceso) y las que más frecuentemente piden ser excluidas de MFA "porque es incómodo". Precisamente esas cuentas necesitan la protección más fuerte.

4. No cubrir todas las puertas de entrada

De nada sirve tener MFA en el correo si el VPN, el sistema contable o el acceso remoto no lo tienen. Los atacantes buscan la puerta que dejaste abierta.

5. Ignorar la fatiga de MFA

Si tu equipo recibe demasiadas solicitudes de autenticación, eventualmente van a aprobar sin pensar. Configurá políticas inteligentes: por ejemplo, no pedir MFA si el usuario está en la red de la oficina y en un dispositivo conocido.

El futuro: Passkeys y autenticación sin contraseña

La industria se está moviendo hacia un futuro sin contraseñas. Las passkeys, basadas en el estándar FIDO2/WebAuthn, permiten autenticarte usando la biometría de tu dispositivo sin necesidad de recordar ninguna contraseña.

¿Cómo funcionan?

1.Al registrarte en un servicio, tu dispositivo crea un par de llaves criptográficas.
2.La llave privada se queda en tu dispositivo, protegida por tu huella o Face ID.
3.La llave pública va al servidor del servicio.
4.Para iniciar sesión, tu dispositivo demuestra que tiene la llave privada sin revelarla.

Ventajas de las passkeys:

No hay nada que recordar ni que pueda ser filtrado
Inmunes al phishing
Funcionan entre dispositivos (se sincronizan vía iCloud, Google, etc.)
Ya las soportan Google, Apple, Microsoft, Amazon y muchos más

Esto no significa que debás esperar a las passkeys para actuar. Activá MFA hoy con lo que tengás disponible.

Un paso a la vez, pero dalo hoy

No necesitás llaves de seguridad de $50 ni sistemas empresariales de autenticación para empezar. Simplemente abrí Google Authenticator o Authy, escaneá los códigos QR de tus cuentas más importantes, y guardá los códigos de respaldo en un lugar seguro. Eso ya te pone adelante del 90% de los ataques.

En CiberShield ayudamos a PYMEs centroamericanas a implementar MFA de forma escalonada y sin fricciones. Desde la selección del método adecuado para cada tipo de cuenta, hasta la capacitación del equipo y la configuración de políticas de acceso. Porque proteger tu negocio no debería ser complicado, solo necesita el primer paso.

¿Querés saber qué tan protegidas están las cuentas de tu empresa? Contactanos para una evaluación de seguridad de accesos y te ayudamos a implementar MFA de forma que tu equipo realmente lo use.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Mejores Prácticas

Backups: Tu última línea de defensa contra el ransomware

Un buen backup puede ser la diferencia entre pagar un rescate millonario o recuperarse en horas. Aprendé la regla 3-2-1, los errores más comunes y cómo implementar una estrategia real para tu empresa.

Mejores Prácticas

Seguridad Wi-Fi empresarial: Cómo proteger las redes inalámbricas de tu empresa

Tu red Wi-Fi puede ser la puerta de entrada para atacantes. Conocé los ataques más comunes, las mejores prácticas de protección y cómo fortalecer tu red.