La autenticación multifactor (MFA) es el mecanismo de control de acceso que exige a un usuario presentar dos o más pruebas independientes de identidad antes de concederle acceso a un sistema. En lugar de confiar solo en una contraseña (un secreto que se roba, se filtra o se adivina), la MFA combina factores de naturaleza distinta, de modo que comprometer uno no basta para suplantar a la persona. Es el control con mejor relación coste-beneficio de toda la seguridad de identidad y la primera recomendación en cualquier auditoría seria.
Lo esencial sobre la autenticación multifactor
- MFA exige dos o más factores de categorías distintas: algo que sabes, algo que tienes y algo que eres.
- 2FA, verificación en dos pasos y doble factor de autenticación son variantes o sinónimos del mismo concepto: MFA con exactamente dos factores.
- No todos los factores son iguales: el SMS OTP es el más débil (SIM swap), el push sufre fatiga de MFA y solo FIDO2/passkeys resisten el phishing.
- Los ataques dominantes en 2026 son el push bombing, el phishing en tiempo real (adversary-in-the-middle) y el robo de cookies de sesión.
- En la UE, NIS2 y el ENS empujan hacia MFA obligatoria; el estándar técnico de referencia es NIST SP 800-63B (niveles AAL2 y AAL3).
Qué es la autenticación multifactor
La autenticación multifactor se apoya en una idea simple: una prueba de identidad es más fiable cuanto más difícil resulta que un mismo atacante obtenga varias pruebas a la vez. Una contraseña robada en una filtración, reutilizada por el usuario en diez servicios, o capturada en una web falsa, deja la cuenta completamente expuesta. Si además del secreto se exige, por ejemplo, una clave física conectada al portátil, el atacante remoto que solo tiene la contraseña se queda fuera.
La condición clave es la independencia. Dos contraseñas no son MFA, porque pertenecen a la misma categoría y se comprometen del mismo modo. Para que haya multifactor real, las pruebas deben venir de categorías distintas. Esa es la razón por la que la MFA neutraliza los vectores más habituales de robo de cuentas: credential stuffing, password spraying y phishing de credenciales.
Los tres factores de autenticación
Toda la MFA se construye sobre tres categorías clásicas de factores. Un despliegue correcto combina al menos dos de categorías diferentes.
Algo que sabes
El factor de conocimiento: contraseña, PIN, respuesta a una pregunta de seguridad o patrón. Es el más extendido y también el más frágil, porque un secreto memorizado se puede compartir, adivinar, filtrar en una brecha o robar mediante ingeniería social. Por sí solo nunca debe considerarse suficiente para acceso sensible.
Algo que tienes
El factor de posesión: un dispositivo bajo control físico del usuario. Aquí caben el smartphone que recibe una notificación push, la app que genera códigos temporales, la tarjeta inteligente y, sobre todo, la clave de seguridad FIDO2 (por ejemplo una YubiKey). La posesión eleva mucho el listón porque obliga al atacante a tener el objeto, no solo un dato.
Algo que eres
El factor de inherencia: biometría como huella dactilar, reconocimiento facial o de voz. En la práctica la biometría se usa como desbloqueo local del dispositivo o de la clave (Touch ID, Windows Hello, Face ID), no como dato que viaja por la red. El sensor confirma que quien opera el factor de posesión es su dueño, y ese es su papel más sólido.
MFA, 2FA, verificación en dos pasos y doble factor: aclarando la terminología
Estos términos generan mucha confusión, y buena parte es de marketing. Conviene fijar el vocabulario:
- MFA (autenticación multifactor) es el concepto general: dos o más factores de categorías distintas.
- 2FA (autenticación de dos factores) y doble factor de autenticación son el caso concreto de MFA con exactamente dos factores. Todo 2FA es MFA, pero no todo MFA es 2FA.
- Verificación en dos pasos es el término más laxo. Suele describir dos pasos secuenciales que no siempre son de categorías distintas (contraseña más un código enviado al correo, por ejemplo, donde ese correo puede protegerse solo con otra contraseña). Es MFA débil o directamente no lo es, según cómo se implemente.
La distinción importa en auditoría: marcar una casilla de "verificación en dos pasos" con contraseña más código por email no equivale a MFA robusta y no cumple las expectativas de marcos como NIS2 o PCI DSS 4.0 para accesos críticos.
Tipos de factores y su nivel de seguridad
No todos los segundos factores ofrecen la misma protección. Esta es la jerarquía real de 2026, de más débil a más fuerte:
| Factor | Categoría | Fortaleza | Debilidad principal |
|---|---|---|---|
| SMS / OTP por SMS | Posesión | Baja | SIM swap, interceptación SS7, phishing en tiempo real |
| OTP por email | Posesión (débil) | Baja | Depende de la seguridad del buzón, reenvío, phishing |
| TOTP (app autenticadora) | Posesión | Media | Phishing (el usuario teclea el código en una web falsa), semilla mal custodiada |
| Push notification | Posesión | Media | Fatiga de MFA, push bombing, aprobación por descuido |
| Push con number matching | Posesión | Media-alta | Reduce el push bombing, pero no el phishing AiTM |
| Clave FIDO2 / WebAuthn / passkey | Posesión | Alta | Prácticamente inmune al phishing por el binding al origen |
| Biometría local + FIDO2 | Inherencia + posesión | Muy alta | Requiere hardware compatible y buen ciclo de recuperación |
El TOTP (Time-based One-Time Password, definido en el RFC 6238 sobre el HOTP del RFC 4226) genera códigos de seis dígitos que cambian cada 30 segundos a partir de una semilla compartida. Aplicaciones como Aegis, Microsoft Authenticator o FreeOTP lo implementan. Es un salto de seguridad claro frente al SMS, pero sigue siendo phishable: si el usuario introduce el código en una página falsa, el atacante lo reenvía al servicio legítimo en segundos.
Ataques contra la MFA: fatiga, push bombing y SIM swap
Que una cuenta tenga MFA no la hace invulnerable. Los atacantes han desarrollado técnicas específicas contra cada tipo de factor.
Fatiga de MFA y push bombing. Cuando el segundo factor es una notificación push que solo pide "Aprobar" o "Rechazar", el atacante que ya tiene la contraseña lanza decenas de solicitudes seguidas. Tarde o temprano el usuario, harto o confundido, pulsa "Aprobar". Así entró Lapsus$ en Uber en 2022. La mitigación es el number matching (la app muestra un número que hay que teclear en la pantalla de login) y limitar la frecuencia de solicitudes.
SIM swapping. El atacante convence a la operadora de portar el número de la víctima a una SIM que controla, y a partir de ahí recibe todos los SMS OTP. Es la razón fundamental por la que NIST clasifica el SMS como autenticador "restringido" en la SP 800-63B.
Phishing en tiempo real (adversary-in-the-middle). Kits como Evilginx2 o EvilProxy actúan de proxy inverso entre la víctima y el servicio real. Capturan la contraseña, el código TOTP o la aprobación push, y roban la cookie de sesión ya autenticada. Con esa cookie el atacante entra sin volver a pasar por la MFA. Este vector derrota a casi todos los factores clásicos y es el motivo por el que la industria empuja hacia MFA resistente a phishing. Para reconocer estas páginas, revisa nuestra guía sobre cómo evitar el phishing.
MFA resistente a phishing: FIDO2, WebAuthn y passkeys
La MFA resistente a phishing es la categoría de factores que no puede ser capturada ni reenviada por un intermediario. Hoy hay dos familias reales: la criptografía de clave pública basada en FIDO2/WebAuthn y las soluciones PKI con tarjeta inteligente (PIV, CAC), habituales en entornos gubernamentales y militares.
FIDO2 combina el estándar WebAuthn del W3C (la API del navegador) con CTAP2 de la FIDO Alliance (el diálogo con la clave). Su propiedad decisiva es el origin binding: la clave firma un reto ligado al dominio real, verificado por el navegador. Si el usuario está en un dominio de phishing, la firma no coincide y la autenticación falla, sin que el usuario tenga que darse cuenta del engaño. No hay secreto compartido que teclear, así que no hay nada que un proxy pueda robar.
Las passkeys son credenciales FIDO2 descubribles que, además, pueden sincronizarse entre dispositivos del mismo ecosistema (Apple, Google, Microsoft) mediante el llavero cifrado. Combinan resistencia al phishing con una experiencia sin contraseñas: el usuario aprueba con biometría local y ya está. Para la relación entre estas piezas y el resto del stack de identidad, consulta qué es IAM y la guía de Zero Trust, donde la identidad se convierte en el nuevo perímetro.
Despliegue de MFA en la empresa: NIS2, ENS y acceso condicional
En el plano corporativo la MFA ha pasado de recomendación a requisito. NIS2 (artículo 21.2) exige medidas de control de acceso y autenticación robusta a las entidades esenciales e importantes, y el Esquema Nacional de Seguridad lo recoge en su marco OP.ACC. PCI DSS 4.0 obliga a MFA para todo acceso al entorno de datos de tarjeta, y NIST SP 800-63B define los niveles AAL2 (dos factores) y AAL3 (que exige, en la práctica, un autenticador criptográfico resistente a phishing y verificación de la posesión del dispositivo).
Un despliegue empresarial no consiste solo en activar la casilla. Las piezas clave son:
- Acceso condicional. Plataformas como Entra ID Conditional Access o los policy engines equivalentes ajustan la exigencia de MFA según el riesgo: ubicación, cumplimiento del dispositivo, sensibilidad de la aplicación y comportamiento. Una sesión de bajo riesgo pasa con fricción mínima; una anómala exige reverificación o se bloquea.
- Cobertura completa. La MFA debe cubrir también los protocolos legacy (IMAP, POP3, SMTP básico) que muchas veces la eluden, y las cuentas de administrador, que son el objetivo prioritario.
- Recuperación segura. Los flujos de reset y los factores de respaldo son el punto más atacado. Un buen despliegue evita el email como único respaldo y prioriza más de una clave FIDO2 por usuario privilegiado.
- Protección de la sesión. Ante el robo de cookies, ayudan los tokens de vida corta y el binding a dispositivo. La misma lógica de validación de tokens se aplica a las APIs: ver qué es JWT y su seguridad y, para federación, qué es SAML.
La hoja de ruta pragmática es: MFA para todos como base, passkeys o claves FIDO2 para las cuentas privilegiadas y de mayor riesgo, y acceso condicional para modular la fricción sin castigar la productividad.
Preguntas frecuentes
¿Es lo mismo MFA que 2FA?
No exactamente. MFA es el concepto general de exigir dos o más factores de categorías distintas. 2FA (o doble factor) es el caso particular con exactamente dos factores. Todo 2FA es MFA, pero un despliegue con tres factores es MFA sin ser 2FA. En el uso cotidiano se emplean casi como sinónimos, pero técnicamente 2FA es un subconjunto de MFA.
¿Es seguro el MFA por SMS?
Es mejor que solo contraseña, pero es la forma más débil de MFA. El SMS es vulnerable a SIM swapping, a la interceptación por fallos del protocolo SS7 y al phishing en tiempo real. NIST lo clasifica como autenticador "restringido" en la SP 800-63B. Sirve como mínimo para servicios de bajo riesgo, pero para cuentas corporativas, de administrador o financieras conviene migrar a TOTP y, mejor aún, a FIDO2 o passkeys.
¿Qué es la MFA resistente a phishing?
Es la MFA que no puede ser interceptada ni reenviada por un intermediario. En la práctica significa FIDO2/WebAuthn (passkeys y claves de seguridad) o PKI con tarjeta inteligente. Su fuerza está en el binding al origen: la clave solo firma para el dominio legítimo, por lo que una web de phishing no obtiene nada aprovechable. Es la recomendación de CISA para cuentas de alto valor.
¿La MFA sustituye a la contraseña?
Con passkeys, sí puede llegar a hacerlo. Una passkey combina posesión (el dispositivo) e inherencia (la biometría local) sin necesidad de un secreto memorizado, de modo que la contraseña desaparece. En despliegues clásicos, en cambio, la MFA se suma a la contraseña como segundo factor. La tendencia de 2026 es "passwordless first" allí donde la aplicación lo soporta, con contraseña de respaldo solo en sistemas legacy.
¿Obliga NIS2 a implantar MFA?
NIS2 no cita "MFA" con esas letras, pero su artículo 21.2 exige medidas de control de acceso y autenticación robusta a las entidades esenciales e importantes, y en la práctica eso se traduce en MFA para accesos remotos y privilegiados. El ENS lo refuerza en el marco OP.ACC. En una auditoría, no tener MFA en accesos críticos es hoy un hallazgo difícil de justificar.
Recursos relacionados
- Qué es IAM: gestión de identidades y accesos
- Qué es Zero Trust: arquitectura, principios e implementación
- Qué es credential stuffing: ataque y defensa
- Cómo evitar el phishing
- Qué es SAML: federación de identidad y SSO
- Qué es JWT: seguridad de tokens
MFA con Secra
En Secra ayudamos a organizaciones B2B a desplegar y endurecer su autenticación. Dentro de nuestra ciberseguridad gestionada diseñamos el modelo de MFA adecuado a tu stack (Microsoft, Google, Okta, híbrido), priorizamos las cuentas privilegiadas con factores resistentes a phishing, configuramos el acceso condicional y validamos la resistencia real frente a fatiga de MFA y phishing AiTM mediante ejercicios controlados.
Si tu organización evalúa el despliegue de MFA, la migración a passkeys o el encaje con NIS2 y el ENS, contacta con Secra y agendamos una sesión inicial sin compromiso.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

