¿Qué es la Autenticación Multifactor?

¿Qué es la Autenticación Multifactor?

La autenticación multifactor —abreviada habitualmente como MFA— es un método de seguridad que exige a una persona demostrar su identidad de más de una manera antes de poder iniciar sesión, acceder a datos o completar una transacción. En lugar de depender de una sola contraseña, la MFA pide dos o más pruebas independientes procedentes de distintas categorías. Si uno de los factores se ve comprometido, los demás siguen protegiendo la cuenta.

El concepto no es nuevo. Los cajeros automáticos llevan décadas usando una versión: necesitas una tarjeta física (algo que tienes) y un PIN (algo que sabes). Lo que ha cambiado es el abanico de tecnologías disponibles y la cantidad de contextos en los que hoy se espera MFA, especialmente en el procesamiento de pagos.

Los Tres Factores de Autenticación

Algo Que Sabes

Es el factor de conocimiento clásico: una contraseña, un PIN, una passphrase o la respuesta a una pregunta de seguridad. Es la forma más familiar de autenticación, pero también la más débil cuando se usa sola. Las contraseñas pueden adivinarse por fuerza bruta, capturarse en campañas de phishing o exponerse en brechas de datos. A pesar de décadas de consejos sobre contraseñas fuertes, los estudios muestran de forma constante que la gente las reutiliza en varios sitios.

Algo Que Tienes

El factor de posesión demuestra que controlas un dispositivo físico concreto. Ejemplos habituales son un smartphone que recibe un código de un solo uso por SMS o desde una app de autenticación, una llave de seguridad por hardware tipo YubiKey, una tarjeta inteligente o una tarjeta SIM. La fuerza de este factor reside en que el atacante necesita acceso físico al dispositivo: no puede robarlo en remoto como podría hacer con una contraseña.

Algo Que Eres

Los factores biométricos utilizan tus características biológicas únicas: huella dactilar, reconocimiento facial, patrones del iris, huellas de voz o incluso ritmos de tecleo (biometría conductual). Son los más difíciles de falsificar, aunque tienen sus propias consideraciones: los datos biométricos no pueden restablecerse como una contraseña, así que su protección es crítica.

Cómo Funciona la MFA en la Práctica

Un flujo MFA típico es así: introduces tu usuario y contraseña (factor de conocimiento), luego el sistema envía una push a tu teléfono o te pide que abras una app de autenticación (factor de posesión). Solo cuando ambas comprobaciones se superan se concede el acceso. Algunas implementaciones añaden un tercer paso: por ejemplo, un escaneo de huella en el propio teléfono antes de aprobar la push.

El principio clave es que los factores deben ser independientes. Usar dos contraseñas no cuenta como MFA porque ambas son factores de conocimiento. Igualmente, una huella más un escaneo facial usa dos factores biométricos de la misma categoría, lo que ofrece menos protección que combinar factores de categorías distintas.

MFA y Seguridad de los Pagos

En el mundo de los pagos, la MFA ha pasado de ser una buena práctica a ser un requisito legal en muchas jurisdicciones. La Directiva de Servicios de Pago revisada de la UE (PSD2) introdujo la Autenticación Reforzada del Cliente (SCA), que exige que los pagos electrónicos por encima de ciertos umbrales se autentiquen usando al menos dos factores independientes. El Reino Unido adoptó normas equivalentes. Por eso ahora se redirige rutinariamente a los compradores online a su app bancaria para aprobar una compra.

Para las transacciones sin presencia de tarjeta —incluidos los pagos telefónicos y el e-commerce— 3D Secure 2 (3DS2) es el mecanismo principal para aplicar SCA. El banco del cliente decide si se necesita autenticación adicional en función de señales de riesgo. Si es así, se le puede pedir al cliente que apruebe la transacción en su app de banca móvil usando una combinación de su dispositivo (posesión) y una huella o PIN (biometría o conocimiento).

MFA en PCI DSS

PCI DSS tiene sus propios requisitos de MFA, centrados en proteger el entorno de datos del titular de la tarjeta (CDE). Bajo PCI DSS v4.0, se requiere autenticación multifactor para todo acceso al CDE, no solo para el acceso remoto como en versiones anteriores. Esto significa que:

• Quien inicie sesión en sistemas que almacenen, procesen o transmitan datos de tarjeta debe usar MFA
• Las conexiones de acceso remoto —como las sesiones VPN de administradores o proveedores externos— deben requerir MFA antes de cualquier acceso a los sistemas de pago
• Cada factor de autenticación debe validarse de forma independiente, así que un sistema no puede combinar el prompt de usuario/contraseña y el código de un solo uso en un único paso
• Los mecanismos de MFA deben ser resistentes a ataques de replay, es decir, un token de autenticación capturado no puede reutilizarse

Estos requisitos se aplican a cualquier persona con acceso al CDE: empleados, contratistas y proveedores externos por igual.

Métodos Comunes de MFA Comparados

• Códigos de un solo uso por SMS Muy usados, pero cada vez más desaconsejados en contextos de alta seguridad. El SMS puede interceptarse mediante ataques de SIM swapping, en los que un delincuente convence a una operadora para transferir el número de la víctima a una nueva SIM.
• Apps de autenticación (TOTP) Apps como Google Authenticator o Microsoft Authenticator generan códigos basados en tiempo que se renuevan cada 30 segundos. Más seguras que el SMS porque los códigos nunca salen del dispositivo.
• Notificaciones push El usuario recibe una push y la toca para aprobar. Cómodo, pero vulnerable a ataques de «MFA fatigue», en los que el atacante lanza notificaciones repetidamente hasta que el usuario acepta por frustración.
• Llaves de seguridad por hardware (FIDO2/WebAuthn) Llaves físicas que se conectan por USB o NFC. Consideradas el patrón oro porque son resistentes al phishing: la llave verifica criptográficamente el sitio web con el que se comunica.
• Autenticación biométrica Huellas, reconocimiento facial o voz. Se usa a menudo como segundo factor junto con un dispositivo (por ejemplo, aprobar una transacción de la app bancaria con la huella en tu teléfono).

MFA para Pagos Telefónicos

Los pagos por teléfono plantean un reto interesante a la MFA. Una llamada de voz tradicional no encaja bien con flujos multifactor porque el cliente interactúa solo a través del audio. Sin embargo, han surgido enfoques híbridos. Un cliente puede iniciar un pago por teléfono y luego recibir un reto 3DS2 en su smartphone que completa usando su app bancaria y un escaneo biométrico. Esto combina el canal de voz con un paso de autenticación digital.

Para los negocios que procesan pagos por teléfono, la MFA tiene menos que ver con autenticar directamente a quien llama y más con proteger los sistemas que gestionan los datos de la tarjeta. Los agentes que acceden a las plataformas de pagos, los supervisores que revisan logs de transacciones y los administradores de TI que gestionan la infraestructura —todos esos roles— deben usar MFA para acceder al entorno de datos del titular.

Cómo Implantar la MFA de Forma Eficaz

Desplegar la MFA implica equilibrar seguridad y usabilidad. Si aprietas demasiado, los usuarios buscarán atajos. Si lo pones demasiado fácil, anulas el beneficio. Algunas buenas prácticas:

• Empieza por los puntos de acceso de mayor riesgo —acceso remoto, cuentas admin, sistemas de pago— y amplía desde ahí
• Ofrece varias opciones de factores para que los usuarios no se queden fuera si un dispositivo no está disponible
• Usa MFA adaptativa que ajuste los requisitos en función de señales de riesgo (por ejemplo, dispositivo nuevo, ubicación inusual, transacción de alto valor)
• Forma a los usuarios para reconocer ataques de MFA fatigue y no aprobar nunca notificaciones que no hayan iniciado
• Asegura que existen procesos de copia de seguridad y recuperación para dispositivos perdidos sin crear una puerta trasera que evite la MFA por completo