MFA resistente al phishing: por qué las passkeys son el siguiente paso
La autenticación multifactor ha supuesto un antes y un después. La MFA sigue siendo una de las medidas más eficaces para proteger el acceso a los sistemas y datos corporativos. Eso no ha cambiado. Lo que sí ha cambiado es lo que los atacantes pueden hacer para sortearla.
En los dos últimos años, una técnica conocida como adversary-in-the-middle (AiTM) se ha convertido en una de las principales amenazas para los sistemas de autenticación. El mecanismo es más sencillo de lo que parece. Un empleado recibe un correo electrónico que aparenta ser una notificación legítima de Microsoft 365. Hace clic en el enlace y llega a una página que parece ser la de inicio de sesión real. Introduce su nombre de usuario y contraseña. Recibe la notificación de MFA en su teléfono y la aprueba. Todo parece normal. Pero entre su navegador y Microsoft había un proxy controlado por el atacante, capturando la cookie de sesión en tiempo real. Con esa cookie, el atacante accede a la cuenta como si fuera el usuario legítimo, sin necesidad de volver a autenticarse.
No se trata de ataques teóricos ni marginales. El Canadian Centre for Cyber Security documentó más de 100 campañas AiTM dirigidas a cuentas de Microsoft Entra ID entre 2023 y principios de 2025. Según los datos publicados por Cisco Talos, la mitad de sus respuestas a incidentes en 2024 implicaron técnicas de evasión de MFA. Y lo que antes requería grandes conocimientos técnicos ahora está al alcance de cualquiera: plataformas como EvilProxy y Tycoon 2FA ofrecen estos ataques como servicio (Phishing-as-a-Service), con campañas detectadas por Proofpoint que afectaron a miles de organizaciones solo en abril de 2025.
Esto no significa que la MFA haya dejado de funcionar. Significa que no todos los métodos de MFA ofrecen el mismo nivel de protección.
Qué hace diferente a la MFA resistente al phishing
Los métodos de MFA más extendidos (notificaciones push, códigos OTP o SMS) cumplen su función: añaden una capa de verificación que detiene la gran mayoría de los ataques basados en credenciales robadas. Pero comparten una limitación: dependen de que el usuario introduzca o apruebe algo en un sitio que puede no ser legítimo. Si el atacante replica ese paso mediante un proxy AiTM, la verificación se completa igualmente.
La MFA resistente al phishing elimina esa dependencia. En lugar de transmitir un código o una aprobación que pueda ser interceptada, utiliza criptografía de clave pública vinculada al dominio real del servicio. La autenticación se produce directamente entre el dispositivo del usuario y el servicio legítimo. Si hay un proxy de por medio, la verificación criptográfica falla y el acceso se deniega.
Las passkeys son la implementación más accesible de este modelo. Basadas en el estándar FIDO2/WebAuthn, funcionan con biometría del dispositivo (Face ID, Touch ID o Windows Hello) o mediante un PIN, y la clave privada nunca abandona el dispositivo del usuario. No hay contraseña que robar, ni código que interceptar, y la autenticación queda vinculada criptográficamente al dominio real.
Cómo se complementan las passkeys y la MFA tradicional
Conviene dejarlo claro: las passkeys no sustituyen a la MFA tradicional ni la hacen innecesaria. Ambas tienen un papel dentro de una estrategia de seguridad bien diseñada.
La MFA basada en notificaciones push, códigos OTP o apps sigue siendo eficaz en la gran mayoría de los escenarios, y es muy superior a depender únicamente de contraseñas. Para muchas organizaciones, desplegar MFA en todos sus servicios ya supone un avance significativo, y esa debería ser la prioridad si todavía no lo han hecho.
Las passkeys añaden una capa adicional para los escenarios de mayor riesgo: cuentas con privilegios de administrador, acceso remoto a sistemas críticos y aplicaciones en la nube que manejan datos sensibles. El objetivo no es sustituirlo todo de golpe, sino reforzar la protección allí donde más importa y ampliar su uso a partir de ahí.
En la práctica, un MSP puede combinar ambos enfoques de forma natural: MFA basada en push como método estándar para el acceso general de los usuarios, y passkeys para cuentas de administrador, accesos a Microsoft 365 con privilegios elevados o aplicaciones que gestionan datos financieros o de clientes. De este modo, se refuerza la protección allí donde una brecha tendría mayor impacto, sin añadir fricción innecesaria al resto de usuarios.
Además, hay una ventaja que a menudo pasa desapercibida: la experiencia de usuario con passkeys es, en realidad, mejor que con la MFA tradicional. No hay códigos que copiar, ni notificaciones que esperar, ni aplicaciones que abrir. El usuario se autentica con su rostro o su huella y accede directamente. Para los partners que gestionan clientes cuya resistencia a la MFA proviene precisamente de la fricción que genera, este es un argumento de peso para cerrar la conversación.
Por qué reguladores y aseguradoras están impulsando la MFA resistente al phishing
Pero hay otra razón para actuar, y esta afecta directamente a la cuenta de resultados.
Desde el punto de vista regulatorio, la dirección está clara. Marcos como NIST, CISA, NIS2 y DORA apuntan a una misma conclusión: los controles de acceso basados en métodos tradicionales ya no son suficientes, y un número creciente de normativas exige o recomienda de forma explícita la MFA resistente al phishing como parte de las arquitecturas zero trust.
Sin embargo, la presión más inmediata está llegando desde el ciberseguro.
Si gestionas la seguridad de tus clientes como MSP o partner de canal, probablemente ya lo estés viendo. En las conversaciones para renovar pólizas de ciberseguro, la MFA está entrando en reuniones en las que antes ni siquiera se mencionaba.
Las aseguradoras han aprendido de los siniestros que han tenido que cubrir. Saben que las credenciales comprometidas están detrás de la mayoría de los incidentes por los que pagan, y han ajustado sus requisitos en consecuencia. Aproximadamente el 80% exige ya la MFA como condición innegociable para emitir o renovar pólizas. Pero el cambio más relevante es que cada vez distinguen más entre una MFA básica y una MFA resistente al phishing a la hora de calcular primas y definir las condiciones de cobertura. Las organizaciones que no pueden demostrar controles de acceso sólidos se enfrentan a primas más elevadas, exclusiones de cobertura o incluso a la negativa a asegurarles.
No se trata de un supuesto teórico. Hay casos documentados: la ciudad de Hamilton, en Canadá, vio rechazada una reclamación de 18 millones de dólares por ransomware porque la MFA no estaba plenamente implantada en los sistemas afectados.
Esto cambia la conversación con el cliente. Ya no se trata de decirle “deberías protegerte mejor”, sino “necesitas esto para renovar tu póliza y cumplir con los requisitos que ya están llegando”. Y si no eres tú quien se lo ofrece, lo hará otro.
Cómo incorpora AuthPoint las passkeys a tu oferta de seguridad
WatchGuard AuthPoint admite passkeys FIDO2 para recursos OIDC (OpenID Connect), lo que permite a los usuarios autenticarse en aplicaciones como FireCloud, Microsoft Entra ID y cualquier aplicación integrada con OIDC mediante la biometría de su dispositivo, sin contraseñas ni códigos.
El diseño sigue los principios que hemos descrito: autenticación criptográfica vinculada al dominio real, con la clave privada siempre alojada en el dispositivo del usuario. Resistente al phishing por diseño.
Para los administradores, la disponibilidad de passkeys se controla por cada recurso OIDC a través de las políticas de Zero Trust en WatchGuard Cloud. Esto permite un despliegue gradual: habilitar passkeys para aplicaciones concretas, limitarlas a recursos de alta seguridad o combinarlas con otros métodos de autenticación en función de cada escenario.
Hay un aspecto importante que conviene destacar: las passkeys están incluidas tanto en las licencias de AuthPoint MFA como en las de AuthPoint Total Identity Security sin coste adicional. No se trata de un módulo extra ni de una funcionalidad prémium. Los partners que ya trabajan con AuthPoint pueden ofrecer esta capacidad a sus clientes simplemente activándola, sin necesidad de cambiar licencias ni renegociar contratos.
Para saber más sobre por qué la MFA sigue siendo esencial y cómo proteger el acceso frente al robo de credenciales, consulta estos posts de nuestro blog: