¿Qué es la tecnología de autenticación de factores múltiples (MFA)?

MFA, o autenticación de factores múltiples, es un método de seguridad que requiere que un usuario verifique su identidad utilizando dos o más tipos separados de métodos de autenticación para probar su identidad para acceder a una cuenta, servicio o aplicación. Por lo general, combina el factor de conocimiento (algo que se sabe, como una contraseña) con el factor de posesión (algo que se tiene, como un dispositivo) o el factor de inherencia (algo que se es, como una huella digital o el rostro).

Confirmar la identidad es más importante que nunca: Según el informe Entrust 2025 Identity Fraud Report, los ataques a la identidad están aumentando, impulsados por las innovaciones en IA. Los nombres de usuario y las contraseñas por sí solos ya no protegen las cuentas, por lo que muchas empresas recurren a la MFA.

¿No conoce la MFA? ¿Tiene curiosidad por saber cómo puede proteger su empresa? Siga leyendo para conocer todo lo que necesita sobre la MFA y por qué es una parte esencial de una estrategia sólida de gestión de identidad y acceso.

• La MFA aumenta la seguridad al requerir al menos un factor de autenticación adicional más allá de un nombre de usuario y una contraseña.
• Las organizaciones pueden requerir MFA para que su personal obtenga acceso remoto o in situ seguro a sistemas y datos.
• Los factores de la MFA suelen estar relacionados con el conocimiento (algo que se sabe), la posesión (algo que se tiene) o la inherencia (algo que se es).
• Integrar la MFA en los procesos de verificación de identidad es fundamental a medida que los ataques basados en la identidad se hacen más comunes y sofisticados.
• La MFA puede desempeñar un papel esencial en el cumplimiento de importantes normativas del sector.
• Los avances tecnológicos como la IA, las innovaciones biométricas y blockchain están haciendo que la MFA sea más fuerte y segura, incluso a medida que evolucionan las amenazas.
• Entrust ayuda a las instituciones financieras a asegurar la experiencia del consumidor con una visión unificada de la identidad, comenzando con la incorporación biométrica y KYC/AML, permitiendo el acceso seguro y la autenticación de transacciones de alto riesgo, y garantizando el cumplimiento continuo a través de la puntuación de riesgo adaptable y la aplicación de políticas CIAM.

¿Qué es la MFA?Según el Instituto Nacional de Normas y Tecnología (NIST), es un método de autenticación que requiere más de un «factor de autenticación» distinto para utilizar un sitio web, una aplicación o un sistema.

Un factor de autenticación es una credencial de seguridad que verifica la identidad de un usuario cuando intenta acceder a un recurso concreto. Por ejemplo, cuando alguien inicia sesión en una cuenta de correo electrónico, suele introducir un nombre de usuario y una contraseña. Estas credenciales constituyen una forma de identificación, ya que demuestran que la solicitud proviene de un usuario legítimo y no de un actor malintencionado.

La autenticación de factores múltiples pretende hacer más seguro este proceso exigiendo al menos un método adicional de autenticación. ¿Por qué? Porque si actores malintencionados comprometen las credenciales de inicio de sesión, pueden obtener acceso no autorizado a recursos clave e información sensible.

Supongamos que los ciberdelincuentes obtienen acceso a una cuenta que pertenece a un usuario privilegiado de su organización (por ejemplo, alguien con permiso para acceder a sistemas informáticos críticos y realizar actividades que los usuarios normales no están autorizados a hacer). Pueden extraer grandes cantidades de información personal identificable, como números de seguridad social, información financiera y otros datos sensibles. Una filtración de datos podría dar lugar al robo de datos de los empleados o clientes y tener importantes repercusiones para la empresa con un costo promedio de 4,4 millones de dólares.

Ahí es donde entran en juego las soluciones de MFA. Con el sistema adecuado, las organizaciones pueden proteger las identidades de trabajadores, consumidores y ciudadanos mediante capas de autenticación sólidas.

¿Cuál es la diferencia entre la MFA y la autenticación de dos factores (2FA)?

Dado que la 2FA requiere exactamente dos identificadores, es un subconjunto de la autenticación de factores múltiples, que requiere dos factores como mínimo.

En teoría, la MFA suele ser más segura que la 2FA porque puede abarcar tantos autenticadores como se desee para cualquier caso de uso específico. Cada factor adicional dificulta el acceso no autorizado, interponiendo otra capa de protección entre los hackers y la información sensible.

Dicho esto, la 2FA sigue siendo mucho mejor que confiar en la autenticación de factor único, ya que las protecciones de contraseña tradicionales son demasiado vulnerables a las ciberamenazas modernas.

Ejemplos de MFA

¿Cómo utilizan las organizaciones la autenticación de factores múltiples? Algunos de los casos de uso más comunes son los siguientes:

• Acceso remoto para los empleados: Solo en Estados Unidos, casi el 23 % de las personas trabajan desde casa. A medida que aumenta el trabajo híbrido en todo el mundo, las empresas deben ofrecer a los usuarios un acceso remoto seguro a los recursos críticos. Las soluciones de MFA permiten identificar y proteger las identidades de los trabajadores mientras se adaptan a la comodidad que brindan las políticas de trabajo desde cualquier lugar. Los empleados de la Administración que trabajan desde casa pueden necesitar acceder a aplicaciones internas, como el correo electrónico, los sistemas de recursos humanos/nóminas o aplicaciones con datos privados. La MFA garantiza que solo las personas autorizadas puedan acceder a ellos fuera de la red segura.
• Acceso al sistema in situ: Del mismo modo, los sistemas locales, como los de los hospitales, son almacenes vitales de información protegida. Con la solución de MFA adecuada, los empleados pueden utilizar tarjetas de proximidad junto con credenciales para acceder a las bases de datos de pacientes de forma rápida y segura.
• Acceso remoto de los ciudadanos: Por ejemplo, cuando los particulares utilizan servicios públicos en línea, la MFA ayuda a garantizar que solo el titular legítimo de la cuenta pueda acceder a los datos personales o modificarlos.
• Acceso de los clientes: Cuando los clientes utilizan las instituciones financieras, por ejemplo, para acceder a sus cuentas bancarias y realizar transacciones, la MFA se asegura de que solo el titular de la cuenta pueda acceder a los fondos y la información pertinentes.

El proceso depende del método y la tecnología de MFA específicos que se utilicen. Sin embargo, independientemente de los detalles, el flujo de trabajo suele ser el siguiente:

• Inicio de sesión de usuario: El usuario verifica su identidad utilizando la primera forma de autenticación, que es algo que conocemos (a menudo nombre de usuario y contraseña). Puede formar parte de la solución de inicio de sesión único de una empresa, que permite el acceso a múltiples plataformas y aplicaciones.
• Solicitud de autenticación: Si el inicio de sesión principal se realiza correctamente, el sistema solicita un factor adicional.
• Verificación de la MFA: El usuario proporciona el segundo factor de autenticación, como una contraseña de un solo uso (OTP) generada por una aplicación de autenticación, una notificación push, autenticación biométrica o un token de hardware.
  • Tercer factor opcional: Una solución de MFA puede invocar más solicitudes de autenticación si está configurada para ello.
• Autenticación correcta: Si se verifican todos los factores, el usuario obtiene acceso al sistema.

Este proceso suele tardar unos instantes en completarse y apenas afecta a la experiencia del usuario. En última instancia, depende de la cantidad de métodos/factores de autenticación que se requieran, los cuales se agrupan en tres categorías: conocimiento, posesión e inherencia.

Factor de conocimiento

Un factor de conocimiento se refiere a algo que solo el usuario conoce, como una contraseña o un PIN. Los sistemas de autenticación de factores múltiples han ido añadiendo más factores de conocimiento con el tiempo, siendo el ejemplo más común la respuesta a una pregunta secreta (por ejemplo, el apellido de soltera de la madre, la mascota del instituto, etc.).

Sin embargo, este es el factor más débil de cualquier MFA, ya que puede ser fácilmente adivinado, obtenido mediante phishing o manipulado mediante ingeniería social. Por ejemplo, a los hackers no les cuesta mucho esfuerzo obtener respuestas a preguntas secretas de perfiles de redes sociales, ya que a menudo se basan en información personal. Del mismo modo, también son susceptibles de sufrir ataques de phishing.

Factor de posesión

El factor de posesión incluye algo que solo tiene el usuario. Hoy en día, existen varios tipos avanzados de verificación basada en la posesión dentro de la tecnología MFA, tales como:

• OTP: Contraseñas de un solo uso enviadas por correo electrónico o SMS.
• Notificación push: Alertas enviadas al dispositivo móvil del usuario solicitando la confirmación de la solicitud de acceso; la idea es que solo el propietario disponga del dispositivo. 
• Token de hardware: Claves FIDO2 y otros dispositivos físicos que los usuarios conectan a una computadora de escritorio. Contienen información cifrada que autentifica la identidad del usuario.
• Claves de seguridad virtuales: Funcionan como tokens de hardware, pero no requieren una clave física, sino que utilizan credenciales criptográficas en un dispositivo.
• Dispositivos inteligentes: Dispositivos como teléfonos móviles, dispositivos portátiles y tabletas que están a mano son convenientes para recibir códigos de autenticación de forma segura.
• Tarjeta de cuadrícula: Aunque hoy en día es menos habitual, algunas organizaciones siguen utilizando este método. Tarjetas en papel impresas a partir de archivos PDF que contienen una cuadrícula de filas y columnas formadas por números y caracteres. Los usuarios deben facilitar la información correcta en las casillas correspondientes de la tarjeta única que poseen.

Factor de inherencia

Un factor de inherencia incluye información inherente al usuario concreto. En comparación con los factores de posesión y conocimiento, es más fácil considerar inherencia algo que uno es. Por lo que también se denomina autenticación biométrica, ya que aprovecha métodos de MFA tales como los siguientes:

• Huellas dactilares
• Escaneado de retina
• Reconocimiento de voz
• Reconocimiento facial
• Biometría multimodal (combinación de dos o más tipos)

Dado que la autenticación biométrica es innatamente difícil de eludir, los factores basados en la inherencia se encuentran entre las opciones más seguras disponibles para la autenticación de factores múltiples.

La autenticación adaptativa, también conocida como MFA adaptativa o autenticación basada en riesgos, es un tipo de verificación en evolución que se integra al proceso para brindar seguridad adicional. Analiza la información contextual para determinar el nivel de riesgo de cualquier perfil de usuario que solicite acceso a un recurso, aumentando o disminuyendo los requisitos de seguridad en consecuencia.

Más sencillamente, la MFA adaptativa requiere factores adicionales cuando hay una mayor probabilidad de que la solicitud sea ilegítima. Cuanto mayor sea el riesgo, más fuertes serán sus desafíos.

Por ejemplo, la autenticación adaptativa evalúa lo siguiente:

• Número de intentos de inicio de sesión fallidos
• Dirección IP de origen o ubicación geográfica
• Reputación del dispositivo
• Día y hora del intento
• Sistema operativo
• Función del usuario

El software puede comparar estos y otros factores en tiempo real con el comportamiento anterior de un usuario para identificar anomalías que puedan indicar credenciales comprometidas. Si la solicitud de acceso es sospechosa, solicita a los usuarios que confirmen su identidad mediante una OTP o una notificación push. Del mismo modo, si todo es normal, es posible que no emita ningún tipo de desafío, ofreciendo una experiencia de usuario fluida.

Los hackers atacan las identidades a un ritmo imparable. En 2024, se pusieron en peligro más de 3200 millones de credenciales, lo que supone un aumento del 33 % interanual. Los impactos pueden ser devastadores: fraude, usurpación de identidad, infracciones de la normativa, pérdidas monetarias y daños a la reputación.

A pesar del aumento de los riesgos, muchas empresas están insuficientemente preparadas frente a las amenazas basadas en la identidad. Según un estudio de 2024, el 84 % de las empresas afirmaron que los incidentes relacionados con la seguridad de la identidad afectaban directamente a las operaciones, frente al 68 % del año anterior. Más del 40 % de ellos afirmaron que la aplicación de la MFA podría haber mitigado los daños. Sin embargo, solo algo más de la mitad lo había hecho.

La MFA puede reducir los ataques con capas de defensa que hacen mucho más difícil el acceso no autorizado. Incluso cuando las contraseñas se ven comprometidas por phishing o brechas de seguridad, la MFA actúa como una barrera sólida frente a todos los actores de amenaza, salvo los más sofisticados.

Además, muchos marcos de cumplimiento exigen ahora la MFA, por lo que resulta esencial para cumplir los requisitos normativos en sectores como la sanidad, las finanzas y la contratación pública. Por ejemplo, la Política de seguridad de los Servicios de Información de Justicia Penal (CJIS) exigía la implantación de la autenticación de factores múltiples (MFA) antes del 1 de octubre de 2024.

Y lo que es más importante, la tecnología MFA como elemento de la seguridad de datos ayuda a las empresas a garantizar la confianza de los clientes y la reputación de la marca, activos que pueden verse seriamente dañados por un solo incidente de seguridad.

MFA y Zero Trust

La MFA constituye una respuesta adecuada a las amenazas cibernéticas, tanto pasadas como presentes; pero, de manera crítica, también representa la base de un futuro cibernético resiliente, junto con la seguridad Zero Trust.

Zero Trust es un marco de seguridad moderno construido sobre el concepto de «No confiar nunca, verificar siempre». Trata a cada usuario, dispositivo y aplicación como una fuente potencial de peligro para el sistema. La MFA permite poner en práctica este concepto no solo una vez, sino continuamente.

Al requerir múltiples formas de verificación, la MFA garantiza que incluso si una credencial se ve comprometida, el acceso no autorizado permanece bloqueado. Con un sólido sistema de MFA basado en Zero Trust como parte de una plataforma de gestión de identidades y accesos (IAM), las empresas pueden confiar en su capacidad para evitar accesos no autorizados y ataques basados en la identidad.

¿Por qué implementar la autenticación de factores múltiples? Para empezar, aporta numerosas ventajas: 

• Seguridad de datos mejorada: La MFA protege contra la fatiga de contraseña, los ataques de phishing y otras amenazas basadas en credenciales, lo que reduce el riesgo de apropiación de cuentas.
• Cumplimiento mejorado: También ayuda a las organizaciones a cumplir diversos requisitos reglamentarios y normas del sector. Cuando se utiliza la MFA, las organizaciones pueden demostrar su compromiso con la protección de los datos frente al aumento de las amenazas.
• Mayor confianza: Cuando los clientes saben que una organización utiliza medidas de seguridad sólidas, como la MFA, aumenta su confianza en la seguridad de los datos personales y financieros.
• Reducción de costos: La MFA ayuda a las organizaciones a evitar los cuantiosos gastos asociados a la respuesta ante incidentes, los honorarios de abogados, las multas reglamentarias y los daños a la reputación.

Sin embargo, cabe señalar que la MFA tiene sus retos. Incluyen los siguientes:

• Inconveniencias: Otros factores pueden dar lugar a una experiencia de usuario deficiente, que frustra a empleados y clientes.
• Posibles vulnerabilidades: La MFA es un gran mecanismo de seguridad, pero no es inmune a los ataques. Ciertos vectores de amenaza, como el bombardeo de solicitudes o el intercambio de SIM, dejan en evidencia que las organizaciones deben adaptarse a nuevos métodos de MFA mediante una plataforma de gestión de identidad y acceso (IAM) con todas sus funcionalidades. Los métodos tradicionales de autenticación también pueden dar lugar a una mala experiencia de usuario, algo a lo que ayuda la autenticación biométrica.

Como ocurre con cualquier marco de seguridad, para implantar y mantener con éxito la MFA se requieren buenas prácticas que garanticen su funcionamiento eficaz. Las plataformas de gestión de identidades y accesos mantienen los procesos y flujos de trabajo alineados con las prácticas actualizadas.

• Siga el principio de menor privilegio. Este concepto se refiere a dar a los usuarios acceso solo a los sistemas y datos que necesitan para hacer su trabajo. En caso de que un conjunto de credenciales se vea comprometido, se limitará el acceso de los atacantes.
• Cree una política de contraseñas segura. Las contraseñas deben tener una longitud determinada e incluir varios caracteres y números para que sean lo suficientemente complejas. También se debe exigir a los usuarios que actualicen sus contraseñas con regularidad.
• Elija los factores adecuados a las necesidades de su empresa. Las organizaciones de los sectores con mayores requisitos de seguridad, como la administración pública, deberían plantearse implantar los factores más avanzados, como la biometría multimodal y la autenticación adaptativa. Las empresas que requieren trabajo en persona pueden seleccionar factores basados en el comportamiento o en la ubicación.
• Imponga la MFA en todas las cuentas. Esto incluye a los usuarios temporales, como becarios y contratistas, así como a los empleados de larga duración y superiores.
• Pruebe y actualice su MFA regularmente. La supervisión y el mantenimiento periódicos garantizan que los procesos de MFA funcionen siempre correctamente. También es importante actualizar periódicamente la MFA para proteger los sistemas y los datos contra las tecnologías en desarrollo y las amenazas a la seguridad.

Los avances y nuevas tendencias en la tecnología MFA están preparados para moldear su naturaleza e impacto en los próximos años. Incluyen los siguientes:

• Inteligencia artificial: Esta tecnología puede mejorar la autenticación adaptativa, utilizándola para analizar patrones de comportamiento de los usuarios, pistas contextuales y otros factores. Además de una mayor precisión, la autenticación adaptativa basada en IA puede ajustarse dinámicamente a diversas amenazas y escenarios de riesgo.
• Innovaciones biométricas: La autenticación MFA se está ampliando para incluir el escaneado de las venas de la palma de la mano y el iris, la dinámica de pulsación de teclas e incluso el ADN. Sin embargo, las organizaciones deben ser conscientes de las preocupaciones que suscitan la privacidad y la ética.
• Autenticación sin contraseña: Herramientas como las claves de seguridad por hardware, las contraseñas de un solo uso y las claves vinculadas a dispositivos están haciendo más prácticas las experiencias sin contraseña.
• Identidad descentralizada y tecnología blockchain: Esta combinación permite a los usuarios verificar su identidad mediante claves criptográficas almacenadas en la cadena de bloques, en lugar de a través de una autoridad centralizada. Esto eliminaría un gran número de métodos para acceder a los sistemas con credenciales, como los ataques de phishing.

Entrust ofrece una de las más amplias gamas de soluciones IAM galardonadas para proporcionar autenticación de usuarios, autorización y control de acceso a los recursos adecuados en cualquier momento y lugar. Dentro de una única plataforma unificada, las organizaciones pueden aprovechar las potentes herramientas de MFA y los autenticadores, incluida la autenticación biométrica para proteger los datos confidenciales y ofrecer al mismo tiempo una experiencia de usuario segura y sin inconvenientes.

No permita que los métodos de autenticación obsoletos dejen vulnerable a su organización. Obtenga más información sobre cómo la plataforma IAM inteligente de Entrust puede ofrecer seguridad de nivel empresarial sin comprometer la comodidad en nuestro libro electrónico, Securing Your Largest Attack Vendor: Identity.