Por qué la autenticación multifactor (MFA) ya no es opcional
Las contraseñas siguen siendo necesarias, pero ya no son suficientes. El uso de frases de contraseña largas, únicas y difíciles de adivinar sigue siendo la mejor práctica. El problema es lo que ocurre cuando una de esas contraseñas cae en manos equivocadas: el sistema no detecta una intrusión, sino que simplemente interpreta el inicio de sesión como legítimo. A partir de ese momento, el atacante se mueve por el entorno como cualquier otro usuario.
No se trata de un escenario teórico. La campaña dirigida contra clientes de Snowflake en 2024 lo dejó claro: los atacantes utilizaron credenciales robadas mediante malware de tipo infostealer para acceder a cuentas que no tenían la MFA activada. Sin explotar ninguna vulnerabilidad. Sin recurrir a técnicas sofisticadas. Solo un nombre de usuario, una contraseña y una puerta abierta. El resultado: más de 165 organizaciones comprometidas, incluidas compañías como Ticketmaster, Santander y AT&T, según una investigación publicada por Mandiant.
Y no fue un caso aislado. A comienzos de 2026, Dark Reading informó sobre una campaña similar en la que un único actor comprometió alrededor de 50 empresas accediendo a plataformas de colaboración como ShareFile y Nextcloud. El mismo patrón: credenciales robadas mediante infostealers y cuentas sin MFA habilitada. El denominador común no es la sofisticación del ataque, sino la ausencia de un control básico de seguridad.
Un problema de adopción, no de tecnología
La autenticación multifactor no es una novedad. La tecnología existe, es accesible y su eficacia está demostrada. Según datos de Microsoft, el uso de MFA reduce en un 99,2% el riesgo de compromiso de cuentas. Entonces, ¿por qué no se ha adoptado de forma generalizada?
La encuesta global sobre MFA del Cyber Readiness Institute (2024), realizada entre cerca de 2.300 pymes, revela que casi dos tercios no utilizan MFA. La tasa global de adopción se sitúa en apenas el 35%. Las barreras más citadas son el coste, la falta de recursos y, sobre todo, la percepción de que no se trata de una prioridad.
No es un problema que afecte solo a las pymes. Las grandes organizaciones comprometidas en los incidentes de Snowflake no eran empresas sin recursos de seguridad. Eran organizaciones con equipos, presupuestos y programas de ciberseguridad maduros que, sencillamente, no habían activado la MFA en todos sus servicios.
Qué aporta la MFA en la práctica
La MFA añade un segundo factor de verificación que impide que una contraseña robada sea suficiente para acceder a una cuenta. Ese es su principal beneficio. En la práctica, sin embargo, su impacto va más allá.
Cuando se aplica de forma coherente, la MFA limita la capacidad de un atacante para desplazarse lateralmente dentro de la red. Cada intento de acceder a un nuevo servicio o recurso requiere una verificación adicional, lo que reduce de forma significativa el impacto de una brecha de seguridad.
Las soluciones de MFA actuales no se limitan a solicitar un código. Muchas evalúan también el contexto de la solicitud de acceso —como el dispositivo utilizado, la ubicación del usuario o la red desde la que se conecta— para ajustar el nivel de verificación en función del riesgo real. Esto permite proteger el acceso remoto sin depender exclusivamente de las VPN o del perímetro de red.
Desde el punto de vista del negocio, la MFA también contribuye al cumplimiento de normativas como la Directiva NIS2, DORA o PCI DSS, que exigen controles verificables sobre quién puede acceder a sistemas y datos sensibles. Además, transmite a clientes, partners y auditores que la organización se toma en serio la protección de la identidad.
MFA y Zero Trust: proteger cada punto de acceso
En un modelo de zero trust, no se confía en ningún usuario por defecto. Da igual que esté dentro de la red corporativa o conectado a través de una VPN -cada solicitud de acceso se evalúa en función de quién la realiza y en qué condiciones.
La MFA es uno de los pilares de este enfoque porque traslada la verificación desde la red a la identidad. Y es precisamente aquí donde muchas organizaciones fallan: aplican controles estrictos sobre los sistemas críticos, pero descuidan las herramientas de uso cotidiano. Plataformas de colaboración, repositorios de código, herramientas de gestión de proyectos... son servicios que manejan información sensible y que, en muchos casos, siguen protegidos únicamente por un nombre de usuario y una contraseña.
Los incidentes relacionados con Snowflake y la campaña documentada por Dark Reading lo ilustran con claridad: basta con que un solo servicio no tenga MFA para debilitar toda la estrategia de seguridad. Un atacante no intentará acceder por el punto mejor protegido; buscará aquello que se ha dejado expuesto.
Cómo ayuda AuthPoint a cerrar esta brecha
Implantar MFA no debería ser un proyecto complejo ni limitarse únicamente a los sistemas más críticos. Para que sea realmente eficaz, debe desplegarse de forma amplia, ser fácil de gestionar y adaptarse al nivel de riesgo de cada intento de acceso.
WatchGuard AuthPoint ofrece autenticación multifactor en la nube con gestión centralizada a través de WatchGuard Cloud. Su tecnología mobile device DNA vincula la autenticación al teléfono del usuario, añadiendo una capa adicional de protección frente a intentos de suplantación, incluso si el segundo factor es interceptado. Además, permite aplicar políticas en función de la ubicación y el contexto del acceso, en línea con los principios de Zero Trust.
Para profundizar en la protección de las identidades de su organización, recomendamos los siguientes artículos del blog: