¿Qué es MFA (autenticación multifactor)?
MFA (Multi-Factor Authentication, o autenticación multifactor) es una verificación de identidad que exige dos o más pruebas para dar acceso a una cuenta, no solo la contraseña. Combina algo que usted sabe (la contraseña), algo que usted tiene (el teléfono, una aplicación, una llave física) y, a veces, algo que usted es (biometría). Así, una contraseña robada, por sí sola, no basta para que el atacante entre.
Cómo funciona el MFA
Después de escribir la contraseña, el sistema pide una segunda prueba antes de dar acceso. Ese paso extra es lo que frena la mayoría de los ataques basados en contraseñas.
Usted entra con la contraseña
El primer factor, algo que usted sabe. Por sí solo es el eslabón más débil: las contraseñas se filtran, se repiten y se adivinan.
El sistema pide la segunda prueba
Un código en la aplicación, una notificación para aprobar, una llave física o la biometría. El factor que el atacante no tiene, aun con su contraseña.
Usted confirma en su dispositivo
La aprobación ocurre en algo que está con usted, no con quien robó la contraseña del otro lado del mundo.
Se da el acceso
Solo cuando las dos pruebas coinciden. Si falta la segunda, la contraseña correcta no abre la puerta.
Fuente: CISA y NIST (orientación de autenticación).
Las formas de segunda verificación, de la más débil a la más fuerte
- Código por SMS o correo Un código enviado por mensaje. Mejor que solo la contraseña, pero expuesto al cambio de chip (SIM swap) y a la interceptación. Es el escalón de entrada, no el ideal.
- Aprobación por notificación (push) Un toque para aprobar el acceso. Práctico, pero exige atención: aprobar por reflejo una solicitud que usted no realizó es la brecha del 'cansancio de notificaciones'.
- Aplicación autenticadora Un código que cambia cada 30 segundos, generado en su teléfono. No viaja por la red y no depende de un toque por reflejo, lo que lo vuelve más seguro que el SMS y que la notificación push.
- Llave de seguridad o biometría (resistente a phishing) Una llave física (estándar FIDO) o biometría ligada al dispositivo. Es la forma más fuerte: ni un sitio falso logra capturar y reutilizar la prueba. Es el MFA resistente a phishing que recomienda la CISA.
Por qué la contraseña sola ya no protege
La contraseña es el eslabón más débil: se filtra en las brechas, se repite entre sitios y se adivina. Por eso una credencial robada es la vía de entrada número uno (22%, Verizon DBIR 2025) y por eso más del 99,9% de las cuentas comprometidas no tenían MFA (Microsoft, 2025). El MFA rompe esa cadena: aun con su contraseña, al atacante le falta la segunda prueba. Es uno de los controles más baratos y efectivos contra el robo de cuentas. No vuelve invulnerable a la empresa (las formas más débiles se pueden sortear), pero quita la puerta fácil, la primera que prueban los ataques automatizados, mientras una brecha aún cuesta, en promedio, $ 4,44 millones (IBM 2025).
Cómo adoptar el MFA de la forma correcta
Activar el MFA ya elimina la mayor parte del riesgo de robo de cuentas. Algunos cuidados separan una protección real de una falsa sensación de seguridad:
- MFA en todo lo que importaCorreo, acceso remoto, sistemas financieros y administrativos. El atacante busca la única cuenta que quedó sin él.
- Priorice las cuentas de mayor poderAdministradores y directivos son el blanco preferido: una de esas cuentas abierta vale por muchas.
- Prefiera las formas más fuertesUna aplicación autenticadora o una llave física en vez de SMS, siempre que sea posible. La CISA recomienda el MFA resistente a phishing.
- Cuidado con el 'cansancio de notificaciones'Aprobar un push por reflejo abre la puerta. Oriente al equipo a nunca aprobar un acceso que no pidió.
- El MFA no reemplaza las otras capasSume al MFA la defensa de endpoint y la seguridad de correo. Es una capa esencial, no la única.
En la práctica
Si la contraseña de un empleado se filtrara hoy, ¿entraría el atacante? Con el MFA bien configurado, la contraseña sola no abre la puerta.
Cómo trata Zamak el MFA
Zamak Technologies coloca la segunda verificación de identidad en todas las cuentas críticas y la integra al resto de la defensa, de la protección de endpoint a la seguridad de correo, para que una contraseña filtrada no se vuelva una puerta abierta. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde todavía se depende solo de la contraseña. Forma parte de la Ciberseguridad del Método Zamak.