Ir al contenido
Endpoint e Identidad

¿Qué es MFA (autenticación multifactor)?

MFA (Multi-Factor Authentication, o autenticación multifactor) es una verificación de identidad que exige dos o más pruebas para dar acceso a una cuenta, no solo la contraseña. Combina algo que usted sabe (la contraseña), algo que usted tiene (el teléfono, una aplicación, una llave física) y, a veces, algo que usted es (biometría). Así, una contraseña robada, por sí sola, no basta para que el atacante entre.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona el MFA

Después de escribir la contraseña, el sistema pide una segunda prueba antes de dar acceso. Ese paso extra es lo que frena la mayoría de los ataques basados en contraseñas.

1

Usted entra con la contraseña

El primer factor, algo que usted sabe. Por sí solo es el eslabón más débil: las contraseñas se filtran, se repiten y se adivinan.

2

El sistema pide la segunda prueba

Un código en la aplicación, una notificación para aprobar, una llave física o la biometría. El factor que el atacante no tiene, aun con su contraseña.

3

Usted confirma en su dispositivo

La aprobación ocurre en algo que está con usted, no con quien robó la contraseña del otro lado del mundo.

4

Se da el acceso

Solo cuando las dos pruebas coinciden. Si falta la segunda, la contraseña correcta no abre la puerta.

Fuente: CISA y NIST (orientación de autenticación).

Las formas de segunda verificación, de la más débil a la más fuerte

  • Código por SMS o correo Un código enviado por mensaje. Mejor que solo la contraseña, pero expuesto al cambio de chip (SIM swap) y a la interceptación. Es el escalón de entrada, no el ideal.
  • Aprobación por notificación (push) Un toque para aprobar el acceso. Práctico, pero exige atención: aprobar por reflejo una solicitud que usted no realizó es la brecha del 'cansancio de notificaciones'.
  • Aplicación autenticadora Un código que cambia cada 30 segundos, generado en su teléfono. No viaja por la red y no depende de un toque por reflejo, lo que lo vuelve más seguro que el SMS y que la notificación push.
  • Llave de seguridad o biometría (resistente a phishing) Una llave física (estándar FIDO) o biometría ligada al dispositivo. Es la forma más fuerte: ni un sitio falso logra capturar y reutilizar la prueba. Es el MFA resistente a phishing que recomienda la CISA.

Por qué la contraseña sola ya no protege

99,9%+
de las cuentas comprometidas no tenían MFA activado (Microsoft, 2025)
22%
de las brechas empiezan por una credencial robada, el vector de entrada nº 1 (Verizon DBIR 2025)
$ 4,44 M
es el costo promedio de una filtración de datos (IBM 2025)

La contraseña es el eslabón más débil: se filtra en las brechas, se repite entre sitios y se adivina. Por eso una credencial robada es la vía de entrada número uno (22%, Verizon DBIR 2025) y por eso más del 99,9% de las cuentas comprometidas no tenían MFA (Microsoft, 2025). El MFA rompe esa cadena: aun con su contraseña, al atacante le falta la segunda prueba. Es uno de los controles más baratos y efectivos contra el robo de cuentas. No vuelve invulnerable a la empresa (las formas más débiles se pueden sortear), pero quita la puerta fácil, la primera que prueban los ataques automatizados, mientras una brecha aún cuesta, en promedio, $ 4,44 millones (IBM 2025).

Cómo adoptar el MFA de la forma correcta

Activar el MFA ya elimina la mayor parte del riesgo de robo de cuentas. Algunos cuidados separan una protección real de una falsa sensación de seguridad:

  1. MFA en todo lo que importaCorreo, acceso remoto, sistemas financieros y administrativos. El atacante busca la única cuenta que quedó sin él.
  2. Priorice las cuentas de mayor poderAdministradores y directivos son el blanco preferido: una de esas cuentas abierta vale por muchas.
  3. Prefiera las formas más fuertesUna aplicación autenticadora o una llave física en vez de SMS, siempre que sea posible. La CISA recomienda el MFA resistente a phishing.
  4. Cuidado con el 'cansancio de notificaciones'Aprobar un push por reflejo abre la puerta. Oriente al equipo a nunca aprobar un acceso que no pidió.
  5. El MFA no reemplaza las otras capasSume al MFA la defensa de endpoint y la seguridad de correo. Es una capa esencial, no la única.

En la práctica

Si la contraseña de un empleado se filtrara hoy, ¿entraría el atacante? Con el MFA bien configurado, la contraseña sola no abre la puerta.

Cómo trata Zamak el MFA

Zamak Technologies coloca la segunda verificación de identidad en todas las cuentas críticas y la integra al resto de la defensa, de la protección de endpoint a la seguridad de correo, para que una contraseña filtrada no se vuelva una puerta abierta. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde todavía se depende solo de la contraseña. Forma parte de la Ciberseguridad del Método Zamak.

Preguntas frecuentes sobre MFA

¿Cuál es la diferencia entre MFA y 2FA?
2FA (autenticación de dos factores) es el MFA con exactamente dos factores. MFA es el término general: dos o más. En el día a día, cuando se pide contraseña más código, son las dos cosas.
¿MFA es lo mismo que verificación en dos pasos?
Sí, es el nombre popular de la misma idea: además de la contraseña, una segunda prueba. Los bancos y servicios suelen llamarla 'verificación en dos pasos'.
¿El MFA se puede sortear?
Las formas más débiles, sí: el código por SMS sufre con el cambio de chip, y el push se puede aprobar por error ('cansancio de notificaciones'). Por eso la CISA recomienda las formas resistentes a phishing, como la llave física y la biometría. Aun así, cualquier MFA es mucho mejor que solo la contraseña.
¿El MFA entorpece el día a día del equipo?
El impacto es pequeño: un toque en el teléfono en cada acceso, o menos, con opciones que recuerdan dispositivos de confianza. Es incomparablemente menor que el trastorno de una cuenta comprometida.
Si tengo MFA, ¿todavía necesito una contraseña fuerte?
Sí. El MFA es la red de seguridad cuando la contraseña falla, no una licencia para contraseñas débiles. Las dos capas juntas, más un gestor de contraseñas, es el estándar recomendado.
¿Una empresa pequeña necesita MFA?
Sí, y es una de las protecciones de mejor costo-beneficio. Los ataques a contraseñas son automatizados y no eligen por tamaño. Activar el MFA en el correo y el acceso remoto elimina la vía de entrada más común.