En breve: El MFA (autenticación multifactor) obliga a combinar al menos dos factores distintos —algo que sabes, algo que tienes o algo que eres— antes de dar acceso a una cuenta. En una pyme reduce de forma drástica el riesgo de que una contraseña filtrada acabe en una brecha real, y hoy es barato de activar porque viene incluido en Microsoft 365 y Google Workspace.

¿Qué es exactamente la autenticación multifactor (MFA)?

Cuando entras en una cuenta solo con usuario y contraseña, estás usando un único factor: algo que sabes. El problema es que ese dato puede robarse con un phishing bien hecho, puede reutilizarse porque el empleado usa la misma contraseña en cinco sitios, o puede aparecer directamente en una filtración de terceros que ni siquiera tiene que ver con tu empresa.

La autenticación multifactor añade un segundo candado de una categoría distinta. Los tres tipos de factor reconocidos son:

Para que hablemos de MFA de verdad, los dos factores deben pertenecer a categorías distintas. Pedir la contraseña y luego una pregunta de seguridad no es MFA: las dos cosas son "algo que sabes", y un atacante que ya tiene una puede intentar adivinar la otra.

¿Por qué debería preocuparle el MFA a una pyme pequeña?

Porque la inmensa mayoría de los accesos no autorizados no empiezan con un ataque sofisticado, sino con una contraseña que ya circula por internet o que un empleado ha entregado sin darse cuenta en un correo de phishing. Si esa cuenta no tiene un segundo factor, el atacante entra directamente: en el correo corporativo, en el CRM, en la banca online o en el panel de administración de la web.

El MFA no es la única medida que necesita una empresa, pero es de las que ofrecen más protección por el esfuerzo que exige implantarlas. Si todavía no tienes un plan más amplio, te recomiendo revisar el plan de ciberseguridad para pymes con 20 medidas esenciales, donde el MFA aparece como una de las prioridades iniciales junto con otras medidas de bajo coste y alto impacto.

¿Qué tipos de MFA existen, de más débil a más fuerte?

No todos los segundos factores ofrecen el mismo nivel de protección. Conviene conocer la escala antes de decidir cuál activar:

Tipo de MFACómo funcionaNivel de protección
Código por SMSRecibes un código de un solo uso por mensaje de textoDébil: vulnerable al duplicado fraudulento de la tarjeta SIM y a la interceptación
Aplicación TOTPUna app como Microsoft Authenticator o Google Authenticator genera códigos que cambian cada 30 segundos, sin depender de la red móvilMedio: ya no depende de la SIM, pero el código se puede seguir robando con un sitio falso en tiempo real
Notificación push con number matchingLa app envía una alerta y el usuario debe introducir un número concreto que aparece en pantalla, no solo pulsar "aprobar"Medio-alto: reduce mucho la aprobación accidental frente al push simple
Llave física FIDO2 / passkeysUn dispositivo criptográfico (llave USB/NFC o el propio móvil como passkey) firma la petición de acceso, atada al dominio real del servicioFuerte: resistente al phishing por diseño

La recomendación práctica es sencilla: si tu proveedor solo ofrece SMS, actívalo igualmente porque siempre es mejor que nada. Pero en cuanto puedas, migra a una aplicación TOTP o, mejor todavía, a notificaciones push con number matching o a llaves FIDO2 para las cuentas más sensibles.

¿Dónde debe activar MFA primero una pyme con recursos limitados?

No hace falta activar MFA en todo a la vez. El orden que suelo recomendar, de mayor a menor urgencia, es este:

  1. Correo electrónico corporativo. Es la puerta de entrada a casi todo lo demás: si alguien accede a tu correo, puede resetear contraseñas de otros servicios. Combínalo con las protecciones de seguridad del correo electrónico (SPF, DKIM y DMARC) contra el phishing, que actúan a nivel de servidor y son complementarias al MFA.
  2. VPN y accesos remotos. Cualquier puerta de entrada a la red interna desde fuera de la oficina debe llevar segundo factor, especialmente tras la normalización del teletrabajo.
  3. Cuentas de administrador. Dominio, hosting, panel de la web, redes sociales corporativas, herramientas de contabilidad y de gestión: son las cuentas que, si caen, permiten hacer más daño.
  4. Banca online y pasarelas de pago. La mayoría de bancos ya obligan a un segundo factor por normativa, pero conviene revisar que esté activo en todas las cuentas y tarjetas que usa la empresa, no solo en la principal.

Con estos cuatro frentes cubiertos ya has reducido buena parte del riesgo real, aunque lo ideal a medio plazo es extender el MFA a cualquier aplicación que guarde datos de clientes o información financiera.

¿Es el MFA totalmente resistente al phishing?

No siempre, y conviene saberlo para no confiarse. Un SMS o un código TOTP se pueden robar en tiempo real con un sitio falso que actúa de intermediario: el empleado introduce su contraseña y su código en una página que parece legítima, y el atacante los reenvía al servicio real antes de que caduquen. Las notificaciones push simples tienen un problema parecido, porque basta con pulsar "aprobar" sin pensar.

El number matching mitiga bastante ese riesgo porque obliga a comparar un número concreto, lo que rompe el automatismo de aprobar sin mirar. Pero el único método realmente resistente al phishing por diseño son las llaves FIDO2 y las passkeys: la firma criptográfica que generan está atada al dominio exacto del servicio, así que aunque el empleado caiga en una web falsa, la llave simplemente no responde porque el dominio no coincide.

Para las cuentas de administrador y el correo del equipo directivo, esa diferencia justifica el paso a llaves físicas o passkeys en cuanto sea viable.

¿Qué es la fatiga de MFA (MFA fatigue) y cómo se evita?

Es una técnica cada vez más habitual: el atacante ya tiene la contraseña de la víctima, pero le falta el segundo factor. En lugar de intentar romperlo, satura al usuario con decenas de notificaciones push seguidas, muchas veces a horas intempestivas, hasta que la persona aprueba una por cansancio, confusión o para que dejen de sonarle las notificaciones.

Se mitiga con una combinación de medidas:

La parte humana importa tanto como la técnica: un empleado que sabe que puede recibir notificaciones falsas y sabe qué hacer con ellas es la mejor defensa frente a la fatiga de MFA.

¿Cuánto cuesta implantar MFA en una empresa?

Menos de lo que se suele pensar. Si tu empresa ya paga Microsoft 365 o Google Workspace, la verificación en dos pasos viene incluida en los planes habituales, sin coste adicional, y las políticas de acceso condicional más avanzadas suelen estar disponibles en los planes empresariales superiores. Las aplicaciones autenticadoras (Microsoft Authenticator, Google Authenticator y similares) son gratuitas y funcionan en cualquier móvil.

El único desembolso real aparece si decides comprar llaves físicas FIDO2 para el personal con acceso a cuentas críticas: es una inversión puntual, por persona, que se compensa fácilmente frente al coste de gestionar una brecha, un secuestro de cuentas o una suplantación de identidad corporativa. Para el resto del equipo, con activar el MFA que ya trae incluido tu suite de correo y una aplicación autenticadora es suficiente para empezar.

¿Cómo se implanta el MFA paso a paso en una pyme?

Un despliegue ordenado evita bloqueos y quejas del equipo, que son la principal razón por la que muchas empresas lo posponen:

  1. Haz inventario de las cuentas críticas: correo, VPN, administración, banca, herramientas de gestión.
  2. Activa primero el MFA en las cuentas de administrador y en el correo, donde el impacto de un fallo es mayor.
  3. Elige el método: evita el SMS como primera opción si puedes, y prioriza aplicación TOTP o notificación con number matching; reserva las llaves FIDO2 para los perfiles más sensibles.
  4. Genera y guarda los códigos de recuperación de cada cuenta en un lugar seguro, para no quedarte fuera si se pierde o rompe el dispositivo.
  5. Forma al equipo en cómo funciona el segundo factor y en qué hacer si reciben una notificación que no han solicitado.
  6. Extiende el MFA de forma progresiva al resto de aplicaciones que usan datos de clientes o información financiera, y revisa periódicamente que nadie lo haya desactivado.

Si quieres que revisemos juntos qué cuentas de tu empresa siguen sin segundo factor y diseñemos el orden de implantación más adecuado a tu operativa, en mi servicio de ciberseguridad parto siempre de un diagnóstico real antes de tocar nada, para no interrumpir el trabajo diario del equipo.