La conveniencia de una capa de MFA independiente en entornos Microsoft
El cambio silencioso del que nadie habla. En los últimos años ha ocurrido algo que la mayoría de los MSP no había previsto. Sus clientes se pasaron a Microsoft 365, adoptaron Entra ID como proveedor de identidad y empezaron a utilizar Microsoft Authenticator como solución de MFA. En su momento tenía sentido. Era sencillo, estaba incluido en la licencia y funcionaba.
Pero, en algún punto del camino, se tomó por defecto una decisión estratégica. Microsoft pasó a ser, al mismo tiempo, proveedor de identidad, directorio, almacén de credenciales y proveedor de MFA. Y no porque alguien evaluara las distintas opciones y concluyera que era la mejor arquitectura, sino porque era la vía más fácil.
Para los MSP, esto plantea un problema que va más allá de la tecnología. Cuando toda la infraestructura de identidad de tus clientes depende de un único proveedor, no controlas la experiencia de autenticación. No defines las políticas. No gestionas el proceso de recuperación. Y, si ese proveedor cambia algo, sube precios o sufre una caída del servicio, tus clientes lo padecen y tú no tienes una alternativa que ofrecer.
La identidad es infraestructura. Trátala como tal
Ninguna empresa operaría sin una copia de seguridad de sus datos. Tampoco funcionaría sin un plan de recuperación para sus sistemas. Sin embargo, la mayoría de las organizaciones no tiene un plan de respaldo para su identidad. Toda su capa de autenticación depende de un único proveedor y, si algo falla, o si la hoja de ruta de ese proveedor deja de alinearse con sus necesidades, no existe una alternativa de contingencia.
La magnitud de esta concentración es considerable. Según Microsoft, Entra ID es una de las mayores plataformas de identidad del mundo y procesa miles de millones de solicitudes de autenticación cada día. Es una cantidad extraordinaria de confianza depositada en una sola plataforma. Para la inmensa mayoría de esas organizaciones, especialmente en el ámbito de las pymes, Microsoft no es solo una pieza más de su infraestructura de identidad. Es su infraestructura de identidad.
El MFA nativo de Microsoft es sólido. Funciona y está incluido en la licencia. Ese no es el problema. El problema es que configurar lo que ya viene incluido no es un servicio gestionado. Es mantenimiento. Y, cuando tus clientes pueden disponer de un MFA básico sin ti, el valor que aportas como MSP tiene que venir de otro sitio: mejores políticas, una cobertura más amplia, más métodos y un mayor control.
Un MSP que gestiona 30 clientes en Entra ID con el MFA nativo de Microsoft no dispone de una capa de autenticación independiente.
Si una política de Acceso Condicional se comporta de forma inesperada, el MSP tiene que resolverlo dentro de la consola de Microsoft y con las herramientas de Microsoft.
Si un cliente quiere una experiencia de MFA diferente para un conjunto concreto de usuarios, las opciones se limitan a lo que Microsoft ofrece.
Y si el MSP quiere aplicar políticas de autenticación uniformes en entornos Microsoft y no Microsoft (VPN, endpoints y aplicaciones de terceros), eso sencillamente no es posible con una infraestructura de identidad basada en un único proveedor.
El MFA externo existe precisamente por esta razón
Microsoft introdujo el MFA externo (anteriormente denominado Métodos de Autenticación Externos (EAM) en Entra ID para permitir que proveedores de MFA de terceros se integren directamente con la plataforma. El concepto es sencillo: Microsoft sigue siendo el proveedor de identidad y gestiona el primer factor. Cuando se requiere MFA, Entra ID redirige al usuario al proveedor externo para el segundo factor. Una vez verificado, se concede el acceso.
Para los MSP, esto cambia la conversación. Puedes ofrecer una experiencia de MFA gestionado que funcione dentro de los entornos Microsoft y que, además, se extienda a todo lo que queda fuera de ellos: VPN, inicio de sesión en Windows, macOS y aplicaciones de terceros. Tus propias políticas de autenticación, que tú controlas; una sola aplicación con la que interactúan los usuarios de tus clientes; y una única plataforma que gestionas para todas tus cuentas. La capa de identidad pasa a ser algo que ofreces y controlas como servicio, no algo que simplemente configuras dentro de la plataforma de otro.
La pregunta es muy clara: ¿el MFA que ofreces hoy es algo por lo que tus clientes estarían dispuestos a pagarte? ¿O es solo una casilla que podrían configurar ellos mismos? Si es lo segundo, una capa de autenticación independiente es lo que convierte la identidad de un coste operativo en un servicio con valor real.
La capa resistente al phishing que falta en la mayoría de las pymes
Una vez que cuentas con una capa de autenticación independiente, puedes ampliar tu propuesta más allá de lo que permite una infraestructura de identidad basada en un único proveedor.
Los métodos tradicionales de MFA (notificaciones push y códigos de un solo uso) detienen la gran mayoría de los ataques. Pero las técnicas avanzadas de phishing, basadas en ataques con proxy en tiempo real, pueden interceptar tanto la contraseña como la aprobación del MFA en el mismo momento en que se producen. Según el Data Breach Investigations Report 2025 de Verizon, las credenciales robadas fueron el principal vector de acceso inicial en el 22% de todas las brechas analizadas, y el 88% de los ataques básicos a aplicaciones web implicaron el uso de credenciales robadas. Estos ataques no son teóricos y se dirigen, en concreto, a las personas que más importan: directivos, equipos financieros y cualquier usuario con acceso a datos sensibles.
Los métodos de autenticación resistentes al phishing, como las passkeys, abordan este riesgo. Las passkeys utilizan biometría vinculada al sitio web legítimo, de modo que un sitio falso simplemente no puede desencadenar la autenticación. La experiencia de usuario resulta familiar (huella dactilar o reconocimiento facial, igual que al desbloquear un teléfono) y la protección es, por su propia naturaleza, mucho más sólida frente a ataques sofisticados.
La cuestión práctica para los MSP no es si deben ofrecer autenticación resistente al phishing, sino por dónde empezar. No todos los usuarios necesitan el mismo nivel de protección. ¿Directivos y equipos financieros? Sin duda. ¿Toda la plantilla desde el primer día? Probablemente no. La posibilidad de desplegar passkeys junto con el MFA tradicional, decidiendo dónde aplicar cada método en función del riesgo, es lo que hace que este enfoque sea realmente viable en entornos reales.
Lo que esto significa para tu negocio
Si eres un MSP que gestiona entornos Microsoft, la oportunidad es clara. La identidad no tiene por qué ser algo que configuras dentro de la plataforma de otro. Puede ser algo que posees, controlas y sobre lo que construyes negocio. Una capa de MFA externa te proporciona ese control. Métodos resistentes al phishing, como las passkeys, ofrecen a tus clientes una protección que va más allá de la que aporta un MFA básico. Y la combinación de ambos te da una propuesta de valor real para cualquier cliente que trabaje con Microsoft 365. Además, a medida que las aseguradoras de ciberseguros distinguen cada vez más entre el MFA básico y los métodos resistentes al phishing, disponer de una capa de autenticación independiente con compatibilidad con passkeys te sitúa, a ti y a tus clientes, por delante de esos requisitos, en lugar de ir a remolque para cumplirlos.
Los MSP que sepan verlo a tiempo serán los que conviertan la identidad de un coste operativo en una línea de ingresos. Esperar significa competir en precio por algo que tus clientes ya pueden obtener sin ti.
Cómo AuthPoint lleva el MFA externo a los entornos Microsoft
WatchGuard AuthPoint se integra con Microsoft Entra ID como proveedor de MFA externo, lo que permite a los partners ofrecer una experiencia de autenticación gestionada que cubre los entornos Microsoft y se extiende a todo lo demás: VPN, inicio de sesión en Windows y macOS, aplicaciones de terceros basadas en SAML y OIDC, y el portal SSO de AuthPoint.
AuthPoint admite notificaciones push, códigos de un solo uso basados en tiempo (TOTP), verificación mediante códigos QR, OTP con token hardware y autenticación con passkeys FIDO2. Las políticas de zero trust en WatchGuard Cloud determinan qué métodos están disponibles para cada recurso y grupo de usuarios, ofreciendo a los MSP un control granular sobre la experiencia de autenticación de sus clientes.
El modelo de despliegue está diseñado para los MSP. La gestión multicliente desde WatchGuard Cloud permite administrar todas las cuentas desde una única consola, con herencia de políticas y administración delegada. Del lado del usuario final, WatchGuard ha completado durante el último año una renovación integral de la experiencia de usuario en todos los puntos de contacto de AuthPoint: nuevo agente para Windows, nuevo agente para macOS y una aplicación móvil completamente rediseñada, con modo oscuro, gestión unificada de tokens y un flujo de activación simplificado. El resultado es una experiencia de autenticación coherente y moderna que reduce la fricción en la incorporación de usuarios y también las llamadas al soporte.
La compatibilidad con passkeys y el MFA externo para Entra ID están incluidos, sin coste adicional, en las licencias de AuthPoint MFA y AuthPoint Total Identity Security. Los partners que ya trabajan con AuthPoint pueden ofrecer estas capacidades a sus clientes simplemente activándolas, sin necesidad de realizar cambios en las licencias.
Para obtener más información sobre seguridad de identidad y sobre cómo proteger el acceso frente a amenazas basadas en credenciales, consulta estas publicaciones en nuestro blog: