Blog de WatchGuard

Go to 

Cómo aplicar MFA en todas partes

Salesforce and MFA

¿Qué te hace ser tú? ¿Tu apariencia física, tus recuerdos, tus decisiones, tus relaciones? En el mundo físico, la identidad es profunda y tiene muchas capas. Pero en el entorno digital, todo eso desaparece. Para un ordenador, tú no eres tu historia: eres un inicio de sesión, una contraseña, una cookie o una sesión. Eres un código enviado a tu teléfono. Esa es toda la prueba de tu existencia en el mundo digital. Lo que significa que, si alguien más posee esos mismos fragmentos, el sistema lo tratará como si fuera tú. La identidad online no es quién eres, sino lo que el sistema acepta como prueba de que eres tú. Y precisamente en esa brecha es donde se mueven los atacantes.

Una vez que pueden hacerse pasar por ti, obtienen una posición de acceso que les permite moverse dentro de espacios digitales protegidos y, en última instancia, llegar a los datos que monetizan para alimentar toda una economía del crimen organizado.

La mayoría de las personas piensa en la identidad como un simple nombre de usuario y contraseña. Eso es como cerrar la puerta de tu casa con un pestillo: puede mantener el viento fuera, pero no detendrá a un ladrón. Aquí es donde entra en juego la autenticación multifactor (MFA). Al obligarte a demostrar tu identidad de más de una forma, la autenticación mutltifactor (MFA) hace mucho más difícil que un atacante logre acceder.

Lo básico: ¿qué son los factores?

Puede parecer obvio cuando hablamos de autenticación multifactor (MFA), pero los factores se malinterpretan con frecuencia. Muchas personas creen que están añadiendo capas adicionales de seguridad a su inicio de sesión, cuando en realidad puede que no sea así. Imagina que desbloqueas tu teléfono: introduces un PIN (algo que sabes), escaneas tu huella dactilar (algo que eres) y, en ocasiones, apruebas una notificación push (algo que tienes). Estos son factores de autenticación.

Cada factor tiene versiones más y menos seguras. Un PIN robusto que cambias con frecuencia es mejor que reutilizar los mismos cuatro dígitos de tu maleta. Un escaneo de huella respaldado por el hardware seguro de un iPhone moderno es más fiable que el antiguo patrón de desbloqueo en pantalla que cualquiera podía rastrear por las marcas. Y una clave física FIDO es mucho más segura que un código por SMS, que puede ser interceptado si alguien secuestra tu número de teléfono.

Dónde funciona el MFA y dónde no

En los dispositivos móviles, las opciones son limitadas: PIN, contraseña o biométrico. Apple y Google no permiten añadir más factores de autenticación antes del desbloqueo del teléfono. Por tanto, lo mejor que puedes hacer es usar contraseñas fuertes y aprovechar el hardware biométrico. El peor escenario es depender de un PIN de cuatro dígitos que cualquiera podría adivinar. Si el dispositivo es robado, la única red de seguridad real es la posibilidad de bloquearlo o borrarlo de forma remota.

En los ordenadores, se parte de lo que ofrece el sistema operativo, como Windows Hello, Touch ID o contraseñas. A partir de ahí, se puede añadir un segundo factor, como una notificación push o una clave física de seguridad. El mejor escenario es combinar una contraseña con una llave física o una app de autenticación. El peor, usar solo una contraseña débil sin una segunda comprobación. Restablecer credenciales es sencillo cuando se trata de contraseñas, pero más complicado con los tokens físicos, que deben revocarse y volver a emitirse cuidadosamente.

En redes Wi-Fi y de oficina, la autenticación suele basarse en certificados o contraseñas. Los certificados son más seguros porque vinculan el acceso a un dispositivo concreto, aunque resultan más difíciles de restablecer si algo falla. Las contraseñas son más fáciles de cambiar, pero también más vulnerables al phishing. El mejor escenario es combinar un certificado con nombre de usuario y contraseña. El peor, una contraseña de Wi-Fi compartida escrita en un posit. 

En VPN, las empresas cuentan aquí con mayor flexibilidad. Un cliente VPN puede exigir múltiples comprobaciones —como contraseña, notificación push al teléfono y verificación del estado del dispositivo— antes de permitir la conexión. La configuración ideal combina verificación de identidad y comprobación de la salud del dispositivo. El peor escenario es una VPN que solo exige una contraseña, algo que un atacante puede adivinar o robar con facilidad. 

En las apps SaaS es donde existe mayor flexibilidad. Al usar un proveedor de identidad como AuthPoint u Okta, puedes combinar varios factores, como contraseña + notificación push + clave FIDO. El mejor escenario es una app en la nube que exija contraseñas robustas, MFA basada en app y verificación de cumplimiento del dispositivo antes de conceder acceso. El peor, una app SaaS sin MFA, dejando la puerta abierta a ataques de credential stuffing o phishing.

Por qué aplicar MFA en todas partes es más difícil de lo que parece

Es tentador pensar que la autenticación de doble factor (MFA) es solo una función que se activa. Pero todas las plataformas tienen límites. Los teléfonos solo permiten un factor en la pantalla de bloqueo. Los ordenadores permiten agregar más, pero solo después de usar una de las opciones integradas. Los certificados son poderosos, pero difíciles de revocar. Las aplicaciones SaaS ofrecen flexibilidad, pero solo si se utiliza el proveedor de identidad adecuado. 

Esto significa que el departamento de TI debe analizar detenidamente cada contexto de inicio de sesión, qué factores están disponibles y cómo restablecerlos o revocarlos cuando algo se ve comprometido.

Eche un vistazo (Algo que sabes y algo que tienes) a los factores básicos y al contexto de inicio de sesión. 

Tabla 1: Compatibilidad con factores básicos

Contexto Algo que Sabes  Algo que Tienes
Pantalla de bloqueo móvil (iOS / Android) PIN / Contraseña ✅
Inicio de sesión local / RDP (Win / Mac / Linux) Contraseña del directorio ✅ Token HW/SW ✅
Wi-Fi / Red (802.1X) PSK / Contraseña del directorio ⚠️ Certificado (EAP-TTLS)  ✅
SSL VPN (RADIUS) Contraseña del directorio ✅ Token HW/SW ✅
Aplicaciones SaaS (SAML, OATH, WebAuthn) Contraseña / PIN ✅ Token HW/SW ✅

En este caso, incluso lo más básico no parece fácil de implementar en todos los métodos estándar con los que iniciamos sesión en nuestras aplicaciones y redes.

A continuación, veremos una segunda tabla que muestra cómo se admiten factores más avanzados —como algo que eres, la ubicación o la actividad— en esos mismos contextos. 

Tabla 2: Soporte más avanzado para factores 

Contexto / Plataforma Algo que eres (Are) Dónde estás (Where) Qué haces (Do)
Pantalla de bloqueo móvil (iOS / Android) Huella / Rostro ⚠️ Tiempo de inactividad ⚠️
Inicio de sesión local / RDP (Win / Mac / Linux) Huella / Rostro ⚠️ GeoIP ⚠️ Patrones de escritura / uso ⚠️
Wi-Fi / Red (802.1X) IP de red ⚠️ Patrones de tráfico ⚠️
VPN SSL (RADIUS) IP de red ⚠️ Patrones de tráfico ⚠️
Aplicaciones SaaS (SAML, OATH, WebAuthn) IP de red ⚠️ Patrones de escritura / uso ⚠️

Aquí se aprecia una disminución notable en el nivel de compatibilidad dentro de la red. Aspectos como la ubicación del usuario no siempre son compatibles con la fuente de identidad con la que podemos integrarnos.

Por último, cuando queremos verificar el estado de los dispositivos antes de conceder el acceso, es necesario contar con software adicional que realice esa comprobación.

Tabla 3: Software necesario para comprobar los dispositivos antes de acceder a las redes

Contexto / Plataforma Dispositivo / Aplicación de políticas
Pantalla de bloqueo móvil (iOS / Android) MDM: complejidad, caducidad, actualizaciones de SO y apps. Bloqueo o borrado en caso de pérdida. ✅
Inicio de sesión local / RDP (Win / Mac / Linux) Unión al dominio, RMM, actualizaciones de SO y apps, políticas de aplicaciones. Aislar el dispositivo si es necesario. ✅
Wi-Fi / Red (802.1X) Perfiles de tráfico NAC, parámetros AAA ⚠️
VPN SSL (RADIUS) Comprobaciones de perfil de dispositivo/navegador. Ajuste o desactivación del acceso. ✅
Aplicaciones SaaS (SAML, OATH, WebAuthn) Comprobaciones de perfil de dispositivo/navegador. Deshabilitar o desconectar sesiones. ✅

Reflexión final

Los atacantes siempre buscan el eslabón más débil. Si MFA es inconsistente, encontrarán la brecha: robando una cookie para saltarse el MFA en la nube o secuestrando un número de teléfono para interceptar códigos por SMS.

El objetivo no es la perfección, sino la cobertura. Cada inicio de sesión —ya sea en un móvil, un portátil, una red Wi-Fi, una VPN o una aplicación SaaS— debería incluir al menos dos comprobaciones sólidas. Y el equipo de TI debe estar preparado para revocar o restablecer rápidamente esos factores cuando sea necesario.

Con plataformas como WatchGuard AuthPoint, los equipos pueden unificar la autenticación en todos los dispositivos y aplicaciones, evitando tener que gestionar cada sistema por separado.

En resumen: MFA en todas partes significa comprender las versiones más fuertes y débiles de cada factor, aplicar la combinación más robusta posible en cada contexto y cerrar las rutas fáciles que los atacantes esperan explotar.

Archivado bajo: Identity Security y MFA, Autenticación de Acceso e Identidad, Autenticación multifactor, WatchGuard AuthPoint, Empresas Distribuidas, Medianas empresas, Pequeña empresas
Blog Inicio

Posts relacionados

summer- MSP- challenges- AI and Data
Artículo

Verano, IA y Amenazas Basadas en Identidad: Una Llamada Estratégica de Atención para los MSPs

Artículo

Verano, IA y Amenazas Basadas en Identidad: Una Llamada Estratégica de Atención para los MSPs

Como CSOs, sabemos que los cibercriminales no se toman vacaciones en verano. Al contrario, la disminución estacional de personal y vigilancia crea las condiciones ideales para ataques basados en identidad, especialmente para los MSP que gestionan múltiples entornos de clientes. Ahora más que nunca…

Leer Artículo
Blog Inicio