La autenticación multifactor (MFA) es un enfoque que requiere que el usuario verifique su identidad con dos o más métodos de autenticación distintos antes de concederle acceso a los recursos solicitados. Este proceso en capas evita depender de un solo factor, como una contraseña, que se puede filtrar, robar o adivinar con facilidad.

La amenaza continua de robo de credenciales hace que MFA sea esencial. El informe Data Breach Investigations Report (DBIR) 2025 de Verizon concluyó que el abuso de credenciales sigue siendo el principal vector de acceso inicial en filtraciones de datos, lo que representa el 22 % de los casos. Implementar una estrategia de MFA sólida ayuda a reducir el riesgo de acceso no autorizado causado por las credenciales comprometidas.

La MFA verifica la identidad a través de tres categorías, cada una de las cuales valida la identidad mediante un mecanismo diferente.

Combinar factores de las distintas categorías aumenta la protección:

Algo que sepa (conocimiento)

• Contraseñas
• PIN
• Patrones memorizados

Algo que tenga (posesión)

• Aplicaciones de autenticación TOTP
• Notificaciones push
• Claves FIDO2/WebAuthn
• Tarjetas inteligentes

Algo que sea suyo (inherencia)

• Huella dactilar
• Identificación facial
• Escaneo del iris

La fortaleza de la MFA proviene de combinar factores de categorías diferentes (dos contraseñas no constituyen autenticación multifactor).

Cada tipo de factor depende de diferentes mecanismos y protecciones para verificar la identidad de manera segura. Implementar la MFA correctamente requiere comprender los detalles técnicos y las consideraciones de seguridad de los factores de conocimiento, posesión e inherencia.

Factores de conocimiento

• La validación de contraseñas y PIN funciona comparando la información ingresada por el usuario con un hash almacenado, en lugar de con texto plano. El sistema genera el hash con algoritmos adaptativos de uso intensivo de la memoria o CPU (Argon2, bcrypt o PBKDF2) con sales únicas y factores de trabajo optimizados según las pautas de OWASP y NIST SP 800-63B §5.1.1.2.
• Las preguntas de seguridad se basan en información privada que solo conoce el usuario. Este mecanismo es débil porque los atacantes suelen obtener respuestas de fuentes de datos públicas, a través de ingeniería social o a partir de filtraciones de datos.

Factores de posesión

• Las contraseñas de un solo uso basadas en el tiempo (TOTP) generan códigos a partir de un secreto compartido y la hora actual. Los servidores validan los códigos dentro de un período breve (normalmente, 30 segundos, con una tolerancia de intervalo de ±1), lo que garantiza que cada código expire rápidamente y solo pueda usarse una vez.
• Las notificaciones push envían una solicitud de autenticación a un dispositivo registrado. La acción de aprobación del usuario en su dispositivo sirve como prueba criptográfica de posesión. Esto suele complementarse con información contextual (por ejemplo, ubicación, tipo de dispositivo, marca de tiempo) para ayudar al usuario a identificar y distinguir entre solicitudes legítimas y fraudulentas.
• Las claves FIDO2/WebAuthn utilizan criptografía asimétrica, donde una clave privada se almacena en un dispositivo físico. Durante la autenticación, el dispositivo firma un desafío con la clave privada, y la firma está vinculada criptográficamente al dominio de origen, lo que invalida la credencial en cualquier otro sitio.
• Las tarjetas inteligentes almacenan credenciales criptográficas en hardware resistente a manipulaciones. La tarjeta realiza operaciones criptográficas internamente cuando un usuario introduce un PIN, lo que garantiza que el material de la clave privada nunca salga del chip seguro.
• Los códigos de respaldo son contraseñas de un solo uso generadas previamente y creadas durante la inscripción a la MFA. Cada código solo puede validarse una vez, lo que permite recuperar la cuenta sin el segundo factor principal.

Factores de inherencia

• La autenticación biométrica compara una captura en tiempo real con una plantilla almacenada que se transformó criptográficamente a partir de los datos biométricos originales. El sistema nunca almacena imágenes o escaneos propiamente dichos, sino las representaciones matemáticas que sirvan para verificar una coincidencia sin reconstruir la biometría original.
• La detección de vida distingue la biometría humana genuina de los intentos de suplantación (por ejemplo, fotos, máscaras, grabaciones) mediante técnicas como la detección de profundidad, la detección de micromovimientos o la respuesta a desafíos (por ejemplo, “parpadear dos veces”). La eficacia de estas medidas varía entre dispositivos de consumo y sistemas de alta seguridad.
• La seguridad de plantilla determina si el factor biométrico permanece seguro cuando el dispositivo está en riesgo. Los procesadores de enclave seguro y los almacenes de claves respaldados por hardware aíslan el procesamiento biométrico del sistema operativo central, lo que impide la extracción de plantillas incluso con acceso a nivel de dispositivo.

Categorías y mecanismos básicos de la MFA

Categoría del factor	Mecanismo de verificación	Tipos comunes de autenticadores
Conocimiento(algo que sepa)	Un secreto memorizado por el usuario	Contraseñas, PIN, frases de contraseña
Posesión (algo que tenga)	Un dispositivo físico o token de hardware	Aplicaciones TOTP, notificaciones push, claves FIDO2/WebAuthn, tarjetas inteligentes
Inherencia (algo que sea suyo)	Un rasgo biológico verificable	Huella dactilar, reconocimiento facial, escaneo de iris

La autenticación de dos factores (2FA) requiere exactamente dos factores. Normalmente, son una contraseña y un método adicional de verificación. La 2FA es el patrón de implementación más común y es lo que la mayoría de la gente quiere decir cuando dice “MFA”.

La autenticación multifactor (MFA) es una categoría más amplia que abarca cualquier método de autenticación que requiera dos o más factores de autenticación. Aunque la distinción pueda parecer semántica, es importante para la política de seguridad. Por ejemplo, los sistemas que requieren tres factores (contraseña, TOTP y biometría) para acciones de alto riesgo tienen modelos de amenaza diferentes a los de la 2FA estándar.

En la práctica, la 2FA es una implementación específica de la MFA.

Exigir los mismos factores de autenticación para cada inicio de sesión genera fricción sin un beneficio de seguridad que valga la pena.

La autenticación escalonada desafía a los usuarios autenticados con factores adicionales solamente cuando intentan acceder a recursos de mayor confidencialidad. Por ejemplo, un usuario inicia sesión normalmente y navega por una aplicación, y de pronto aparece un desafío de MFA cuando intenta acceder a recursos protegidos o realizar acciones de alto riesgo.

Aplicación en el mundo real: Un portal para empleados puede usar la autenticación solo con contraseña para leer documentos. Sin embargo, al querer modificar la información de nóminas, descargar información personal de los empleados o cambiar la configuración del sistema, se pide un segundo factor, como un código TOTP o una verificación biométrica.

Este flujo simplifica la experiencia de usuario en tareas rutinarias y aumenta la seguridad cuando es necesario. La implementación requiere identificar qué recursos y acciones merecen una verificación adicional, lo que constituye una decisión sobre la arquitectura de seguridad que equilibre el riesgo con la fricción del usuario.

La MFA adaptativa (también conocida como autenticación basada en riesgos) ajusta dinámicamente los requisitos de autenticación según señales contextuales. En lugar de aplicar reglas idénticas a cada intento de inicio de sesión, el sistema calcula una puntuación de riesgo basada en lo siguiente:

• Señales de localización, como reputación de la dirección IP, ubicación geográfica y detección de viajes imposibles
• Contexto del dispositivo, por ejemplo, dispositivo conocido vs. desconocido, huella dactilar del dispositivo y postura de seguridad
• Patrón conductual, como hora del día, patrones habituales de acceso y verificaciones de velocidad
• Inteligencia de amenazas, como credenciales comprometidas conocidas y campañas de ataque activas

Las situaciones de bajo riesgo (por ejemplo, un dispositivo reconocido, una ubicación familiar o un comportamiento normal) a veces permiten la autenticación de un solo factor. Las situaciones de alto riesgo (por ejemplo, un dispositivo nuevo, ubicaciones inusuales o acceso fuera de horario) requieren automáticamente un factor de verificación adicional o bloquean el acceso por completo.

Una MFA adaptativa eficaz requiere un motor de riesgos que procese señales de seguridad y datos históricos en tiempo real. Las soluciones de plataforma de identidad, en lugar de las personalizadas, suelen ofrecer esto, ya que la tasa de falsos positivos determina si la MFA adaptativa mejora o empeora la experiencia de usuario.

Los códigos TOTP y la verificación por SMS mejoran la seguridad frente a la autenticación solo con contraseña, pero los atacantes sofisticados se han adaptado a estos métodos. Los proxies de phishing en tiempo real pueden capturar tanto contraseñas como códigos de un solo uso cuando el usuario los ingresa y, luego, reproducir inmediatamente esas credenciales en el servicio legítimo antes de que caduquen.

Este tipo de ataques tiene éxito porque los factores de TOTP y SMS dependen de secretos compartidos que existen tanto en el cliente como en el servidor. Si un atacante se posiciona en el medio, puede interceptar y reutilizar estos secretos para eludir la autenticación.

En los ataques de fatiga de MFA, los atacantes envían múltiples solicitudes de notificaciones push y esperan que el usuario finalmente apruebe una con el único objetivo de detener las alertas.

FIDO2 implementa criptografía de clave pública para eliminar vulnerabilidades de secreto compartido.

FIDO2 consta de lo siguiente:

• WebAuthn, que es la API estándar de W3C que los navegadores y sistemas operativos emplean para interactuar con los autenticadores
• Protocolo de cliente a autenticador (CTAP), que es el protocolo que usan los dispositivos externos (llaves de seguridad, autenticadores NFC/Bluetooth/USB) para comunicarse con el cliente

Cómo funciona la autenticación FIDO2:

Registro (inscripción)

• El autenticador genera un par de claves: una pública y una privada
• La clave privada nunca sale del dispositivo y la clave pública se registra en el servicio

Autenticación (inicio de sesión)

• El servicio envía un desafío criptográfico
• El autenticador firma el desafío utilizando la clave privada
• La firma está vinculada al origen (dominio) del sitio y no se puede reutilizar en sitios de phishing

Incluso si un usuario se autentica en un sitio malicioso, la respuesta firmada solo es válida para el dominio legítimo. No hay ningún secreto que los atacantes puedan robar, lo cual hace que las claves FIDO2 sean resistentes al phishing.

Las claves de acceso son credenciales FIDO2 almacenadas en el entorno seguro del dispositivo (por ejemplo, el llavero del sistema operativo) y pueden sincronizarse entre dispositivos de confianza. El usuario activa la autenticación con un solo gesto, como desbloquear el dispositivo mediante verificación biométrica o un PIN.

Con las claves de acceso:

• No hay contraseñas que robar
• No existen códigos de un solo uso para realizar ataques de phishing
• No se exponen secretos compartidos en una filtración

Las claves de acceso ofrecen seguridad al nivel de la MFA en una sola y sencilla acción.

Las API, las cuentas de servicio y la comunicación de máquina a máquina no pueden completar desafíos interactivos de MFA, como los códigos TOTP o las notificaciones push. En cambio, los principios de la MFA se aplican mediante la acreditación criptográfica, lo que permite brindar prueba de identidad y posesión.

• Pares de claves asimétricas: Los servicios emplean claves privadas para firmar solicitudes o afirmaciones del cliente portador de JWT de OAuth 2.0 (según se especifica en RFC 7523). El servidor de autorización registra las claves públicas. La clave privada nunca sale del servicio ni del HSM y sirve como equivalente del factor de posesión.
• TLS mutua (mTLS): Tanto el cliente como el servidor presentan un certificado para establecer una confianza bidireccional. El certificado del cliente prueba la identidad y la posesión del servicio, mientras que el certificado del servidor verifica la autenticidad.
• Confirmación de identidad/plataforma de la carga de trabajo: Las plataformas en la nube confirman criptográficamente la identidad e integridad de las cargas de trabajo en ejecución. La plataforma emite credenciales de corta duración de forma dinámica, lo que elimina la necesidad de secretos de larga duración. Este enfoque permite la autenticación de servicios Zero Trust sin la gestión manual de claves.

Estos patrones llevan el modelo de verificación en capas de la MFA a los sistemas automatizados y usan la criptografía en lugar de hacer que el usuario ingrese los datos. Los factores de posesión para identidades no humanas pueden incluir pares de claves asimétricas, afirmaciones de JWT firmadas o claves de firma respaldadas por HSM, lo que brinda un nivel de verificación sólido y resistente al phishing para máquinas y servicios.

La MFA no es opcional para muchas organizaciones, ya que los marcos regulatorios exigen cada vez más la autenticación multifactor para acceder a datos confidenciales:

• PCI DSS v4.x requiere MFA para la mayoría de los accesos a entornos de datos de titulares de tarjetas (CDE), incluidos el acceso remoto y los usuarios privilegiados, aunque se aplican cláusulas y excepciones específicas. Los equipos de TI y seguridad deberían revisar las pautas de PCI SSC para determinar el alcance exacto de los requisitos.
• El RGPD exige “medidas técnicas y organizativas adecuadas”, que los reguladores interpretan cada vez más como incluir MFA para acceder a datos personales.
• Las auditorías SOC 2 evalúan los controles de autenticación y, para lograr la certificación, se suele exigir la MFA para el acceso administrativo y las operaciones privilegiadas.
• NIST SP 800-63B ofrece orientación técnica sobre autenticación de identidad digital que las agencias federales deben seguir y que las organizaciones privadas adoptan cada vez más como práctica recomendada.

1. Flujos de recuperación inseguros: Los mecanismos de recuperación de cuenta que omiten la MFA (como los enlaces de restablecimiento por correo electrónico de un solo factor) crean vulnerabilidades. Los equipos deben diseñar un proceso de recuperación con un nivel de seguridad que sea equivalente o superior al del primer inicio de sesión.
2. SMS como único factor adicional: Depender exclusivamente de los SMS deja a las organizaciones vulnerables a ataques de intercambio de SIM. Las aplicaciones de autenticación TOTP o las claves de hardware ayudan a fortalecer la protección.
3. Falta de protección de los tokens de sesión: La MFA al iniciar sesión es ineficaz si los atacantes roban y reutilizan los tokens de sesión. Los tokens necesitan una expiración adecuada, almacenamiento seguro y supervisión.
4. Aplicación universal de la MFA sin contexto de riesgo: Exigir el mismo factor de autenticación para todas las acciones crea fricciones que impulsan a los usuarios a buscar alternativas. La autenticación escalonada protege lo que más importa y prioriza la facilidad de uso.
5. Omisión de métodos resistentes al phishing: Los códigos TOTP y los SMS son mejoras respecto a las contraseñas por sí solas, pero siguen siendo vulnerables al phishing en tiempo real. Las organizaciones que manejan datos confidenciales deberían priorizar las llaves de seguridad y las claves de acceso WebAuthn/FIDO2.

¿Cuál es el principal beneficio de seguridad que ofrece la MFA frente a la autenticación solo con contraseña?

La MFA protege contra el robo de credenciales. Incluso si los atacantes roban una contraseña, no pueden acceder a la cuenta sin el segundo factor, ya sea un código generado por un dispositivo, una verificación biométrica o una llave de seguridad física.

¿Por qué los expertos en seguridad desaconsejan la MFA basada en SMS?

Los atacantes se aprovechan de los códigos por SMS mediante ataques de intercambio de SIM, en los que convencen a los operadores móviles para que transfieran números de teléfono a un dispositivo que controlan. Aunque la MFA por SMS es más eficaz que la autenticación solo con contraseña, los autenticadores TOTP y las llaves de seguridad de hardware ofrecen una protección más sólida que no depende de las prácticas de seguridad de los operadores móviles.

¿Pueden los atacantes eludir la MFA o superarla?

Los ataques sofisticados de phishing que utilizan proxies en tiempo real pueden superar la autenticación multifactor (MFA) tradicional mediante códigos TOTP o SMS. La MFA con llaves de seguridad o claves de acceso FIDO2/WebAuthn usa pruebas criptográficas de posesión vinculadas a dominios específicos.

¿Qué pasa si el usuario pierde el acceso a su segundo factor?

Para restaurar el acceso, los equipos de TI pueden proporcionar métodos de recuperación seguros, como códigos de respaldo generados durante la inscripción, o la reinscripción con verificación de identidad. El equipo de seguridad debería proteger los flujos de recuperación con un nivel equivalente o superior al del proceso original de MFA y evitar flujos de un solo factor, como los reinicios solo por correo electrónico, que podrían eludir la MFA.

¿Hay leyes o regulaciones que exijan la MFA?

Muchos marcos regulatorios exigen o recomiendan mucho la MFA. PCI DSS v4.x exige la MFA para la mayor parte del acceso a entornos de datos de titulares de tarjetas (CDE), incluidos los usuarios remotos y privilegiados, aunque se aplican cláusulas y excepciones específicas. Según la HIPAA, la MFA es una protección cuya aplicación se puede evaluar. Las organizaciones que decidan no implementarla deberán registrar su justificación y aplicar controles alternativos que ofrezcan una protección comparable para la información electrónica de salud protegida (ePHI).

Aunque puede desarrollar las capacidades de la MFA por su cuenta, las plataformas modernas de identidad ofrecen implementaciones listas para usar con motores de riesgo adaptativos, autenticadores resistentes al phishing y controles de cumplimiento integrados. Explore nuestra serie de Introducción a IAM para conocer más temas relacionados con la gestión de identidades y accesos.

Más información

Estos materiales tienen únicamente fines informativos generales. Usted es responsable de obtener orientación de seguridad, de privacidad, de cumplimiento o empresarial de sus propios asesores profesionales, y no debe confiar solamente en la información suministrada aquí.