¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor comprueba múltiples aspectos de la identidad de una persona antes de darle acceso a una aplicación o base de datos, en lugar de comprobar solo uno de ellos. Es mucho más segura que la autenticación de factor único.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir la autenticación multifactor (MFA)
  • Más información sobre por qué la MFA es más segura que usar una sola contraseña
  • Explorar los distintos factores de autentificación de identidad

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es la MFA (autenticación multifactor)?

La autenticación multifactor, o MFA, es una forma de verificar la identidad del usuario que es más segura que la clásica combinación de nombre de usuario y contraseña. La MFA suele incorporar una contraseña, pero también incorpora uno o dos factores de autenticación adicionales. La autenticación de dos factores (2FA) es un tipo de MFA.

La AMF es una parte importante de identity and access management (IAM), y con frecuencia se implementa dentro de las soluciones de inicio de sesión único (SSO).

¿Qué son los factores de autenticación?

Antes de conceder a un usuario el acceso a una aplicación informática o a una red, los sistemas de verificación de la identidad evalúan al usuario en función de sus características específicas, para asegurarse de que sea quien dice ser. Estas características también se conocen como "factores de autenticación".

Los tres factores de autenticación más utilizados son:

  1. Conocimiento: algo que sabe el usuario
  2. Posesión: algo que tiene el usuario
  3. Cualidades inherentes: algo que el usuario es

MFA hace referencia a cualquier uso de dos o más factores de autenticación. Si solo se utilizan dos factores de autenticación, la AMF también se conoce como autenticación de tres factores o verificación en dos pasos. La autenticación de tres factores es otra forma de AMF.

¿Cuáles son algunos ejemplos del mundo real de los tres factores de autenticación?

  • Conocimiento (algo que sabe el usuario): Este factor es un conocimiento que solo debe tener un usuario, como una combinación de nombre de usuario y contraseña. Otros tipos de factores de conocimiento son las preguntas de seguridad, los números de identificación y el número de la Seguridad Social. Incluso un "apretón de manos secreto" puede ser algo que sabe un usuario.
  • Posesión (algo que tiene el usuario): este factor se refiere a la posesión de un dispositivo, llave o token físico. El ejemplo más básico de este factor de autenticación es el uso de una llave para entrar en casa. En un contexto informático, el objeto físico puede ser un llavero, un dispositivo USB o incluso un teléfono inteligente. Muchos sistemas modernos de AMF envían un código temporal por mensaje de texto al teléfono del usuario y le piden que lo introduzca para acceder a su cuenta. Esto demuestra que el usuario posee un teléfono que nadie más posee, lo que ayuda a establecer su identidad (a menos que un atacante haya secuestrado la tarjeta SIM del usuario).
  • Cualidades inherentes (algo que el usuario es): hace referencia a una propiedad física del propio cuerpo. La versión más básica de este factor de autenticación es la capacidad de reconocer a alguien por la vista o por el sonido de su voz. Las personas utilizan esta capacidad constantemente en sus interacciones diarias. Cotejar la apariencia de una persona con la foto de su documento de identidad es otro ejemplo de verificación de cualidades inherentes. En un contexto informático, un ejemplo de este factor de autenticación es Face ID, una función que ofrecen muchos teléfonos inteligentes modernos. Otros métodos pueden incluir el escaneado de huellas dactilares y de retina, y análisis de sangre.

¿Por qué la AMF es más segura que la autenticación de factor único?

La autenticación de factor único es el uso de uno solo de los factores anteriores para identificar a una persona. Pedir una combinación de nombre de usuario y contraseña es el ejemplo más común de autenticación de factor único.

El problema que tiene la autenticación de factor único es que un atacante solo tiene que atacar al usuario de una manera para hacerse pasar por él. Si alguien roba la contraseña del usuario, su cuenta está en peligro. En cambio, si el usuario implementa la AMF, un atacante necesita algo más que una contraseña para acceder a la cuenta; por ejemplo, es probable que también tenga que robar un objeto físico del usuario, lo cual es mucho más difícil.

Este problema también se aplica a otras formas de autenticación de factor único. Imaginemos que los bancos solo exigieran el uso de una tarjeta de débito para retirar dinero (el factor de posesión), en lugar de exigir una tarjeta más un PIN. Lo único que tendría que hacer un ladrón para robar dinero de la cuenta de alguien es robar su tarjeta de débito.

Es importante tener en cuenta que lo que hace que la AMF sea segura es el uso de factores diferentes, no el uso múltiple del mismo factor.

Supongamos que una aplicación pide al usuario que introduzca solo una contraseña, mientras que otra aplicación pide al usuario que introduzca tanto una contraseña como la respuesta a una pregunta de seguridad. ¿Qué aplicación es más segura?

Técnicamente, la respuesta es ninguna: ambas aplicaciones se basan en solo un factor de autenticación, el factor de conocimiento. Una aplicación que requiere una contraseña, y un token físico o un escaneado de huellas dactilares, es más segura que una aplicación que solo pida una contraseña y algunas preguntas de seguridad.

¿Qué formas de MFA son las más eficaces?

Esta es una pregunta muy contextual. En general, cualquier forma de autenticación multifactor será mucho más segura que la autenticación de un factor único.

Dicho esto, se ha demostrado que ciertas formas de MFA son vulnerables a métodos de ataque sofisticados. En un ejemplo del mundo real, los atacantes enviaron a los empleados mensajes SMS de phishing que apuntaban a páginas de inicio de sesión falsas para el servicio de inicio de sesión único de la organización. Si un usuario introducía su nombre de usuario y contraseña en esta página falsa, los siguientes pasos se llevaban a cabo:

  1. Los atacantes utilizaron el nombre de usuario y la contraseña que robaron en la página de inicio de sesión real de la organización.
  2. La página de inicio de sesión real intentó verificar la —posesión— de otro factor de autenticación al enviar un código temporal al teléfono del usuario real.
  3. Los atacantes redirigían al usuario a otra página falsa, que le pedía que ingresaran el código temporal.
  4. Si el usuario lo hacía, los atacantes utilizaban ese código en la página de inicio de sesión real y conseguían acceso a la cuenta.

En cambio, otra forma de verificar la posesión —un token de seguridad USB— no sería susceptible de este ataque en particular. Si todos los usuarios reciben tokens de seguridad únicos para conectar a sus ordenadores y deben activar físicamente esos tokens para autenticarse, los atacantes que tienen posesión del nombre de usuario y la contraseña de alguien no podrían acceder a las cuentas a menos que robaran el ordenador de esa persona. Lo mismo podría decirse de la verificación de la identidad mediante cualidades inherentes; por ejemplo, la huella dactilar o el escáner facial de un usuario.

¿Significa esto que los tokens de seguridad y los escáneres de huellas digitales son más seguros que las contraseñas de un solo uso? En un contexto de phishing, sí. Sin embargo, las organizaciones deben evaluar sus riesgos y necesidades de seguridad específicos antes de seleccionar un método de MFA. Y, de nuevo, cualquier forma de MFA es más segura que la autenticación de factor único y representaría un importante avance en el recorrido de seguridad de una organización.

¿Hay otros factores de autenticación?

Además de los tres principales enumerados anteriormente, algunos miembros del sector de la seguridad han propuesto o implementado factores de autenticación adicionales. Aunque rara vez se implementan, estos factores de autenticación incluyen lo siguiente:

Ubicación: Dónde se encuentra un usuario en el momento de iniciar sesión. Por ejemplo, si una empresa tiene su sede en EE.UU. y todos sus empleados trabajan en ese país, podría determinar la ubicación GPS del empleado y rechazar un inicio de sesión desde otro país.

Hora: Cuando un usuario inicia sesión, normalmente en contexto con sus otros inicios de sesión y con su ubicación. Si parece que un usuario inicia sesión desde un país, y luego, pocos minutos después, intenta iniciar sesión desde otro país, es probable que esas solicitudes no sean legítimas. Un sistema también puede rechazar los intentos de inicio de sesión fuera del horario laboral habitual, aunque esto es más una política de seguridad que un factor de autenticación de la identidad.

Si ambos se consideran factores de identidad adicionales, lo cual es discutible, entonces la autenticación de cuatro factores y la de cinco factores son técnicamente posibles. Ambas estás incluidas en la autenticación multifactor.

En la implementación de medidas de seguridad tan estrictas debe tenerse en cuenta lo que puede suponer para el usuario, ya que unas medidas de seguridad demasiado estrictas incentivan a los usuarios a eludir la política oficial.

¿Cómo pueden implementar los usuarios la AMF en sus cuentas?

Hoy en día, muchos servicios web para consumidores ofrecen MFA. La mayoría de las aplicaciones que tienen MFA ofrecen una forma de 2FA (autenticación de dos factores) que requiere que el usuario utilice su teléfono inteligente al iniciar sesión. Explora la configuración de seguridad de cada aplicación para ver si es posible activar la 2FA. Además, Cloudflare permite que todos los usuarios de Cloudflare puedan implementar 2FA en sus cuentas.

¿Cómo pueden las empresas implementar la AMF?

Se recomiendo usar una solución SSO para implementar la MFA. SSO proporciona un único lugar para implementar la MFA en todas las aplicaciones, mientras que no todas las aplicaciones individuales serán compatibles con la MFA.

Cloudflare Zero Trust se integra con proveedores de SSO compatibles con 2FA. Cloudflare ayuda a proteger los sitios web de las empresas y las aplicaciones de la nube al controlar qué pueden hacer los usuarios y reforzar las políticas de seguridad para empleados, trabajen de forma remota o dentro de entornos de oficina controlados.