¿Qué es la autenticación multifactor adaptativa (MFA adaptativa)?

By Bryan Clark

¿Qué es la MFA adaptativa?

La autenticación multifactor adaptativa (MFA adaptativa o A-MFA) es un método de autenticación multifactor que requiere factores de autenticación diferentes o adicionales en función del contexto que rodea a una solicitud de inicio de sesión o acceso.

Imagine que es una soleada mañana de otoño y decide que, en lugar de sentarse en su puesto de trabajo en la oficina, quiere trabajar a distancia desde la cafetería que acaba de abrir en el centro de la ciudad. Pide un café, saca su ordenador portátil y empieza a iniciar sesión en el panel de control de su empresa. El sistema reconoce al instante que está utilizando una nueva red wifi junto con un dispositivo que nunca antes había registrado. En lugar de un rotundo "acceso denegado", recibirá una única instrucción para escanear su huella digital.

En esta situación aparece una capa extra de seguridad porque el riesgo es mayor de lo normal. Esa protección continua "según sea necesario" es la esencia de la autenticación multifactor adaptativa (A-MFA). Esta autenticación basada en riesgos es una forma más inteligente de reforzar su posición de seguridad sin sacrificar la conveniencia. 

Según el Informe "Cost of a Data Breach" de IBM 2025, la vulneración media ahora cuesta 4,4 millones de dólares. Este hecho por sí solo subraya por qué las organizaciones no pueden permitirse utilizar las mismas defensas básicas para cada usuario. Con el aumento de los ataques de phishing compuestos por inteligencia artificial (IA), las soluciones MFA deberían ser un requisito mínimo para la seguridad. Afortunadamente, hay muchas opciones para implementar A-MFA, como Auth0 y Duo. En este artículo, explicaremos cómo la MFA adaptativa mide el riesgo en tiempo real. También exploraremos los casos de uso en los que prospera y le proporcionaremos los conocimientos básicos necesarios para decidir dónde encaja en su marco de seguridad.

MFA adaptativa vs. MFA tradicional

A estas alturas, la mayoría de nosotros hemos utilizado la autenticación multifactor (MFA) en un momento u otro. La MFA añade requisitos de seguridad adicionales a sus cuentas al exigirle que demuestre su identidad mediante el uso de métodos de autenticación adicionales. Al igual que el inicio de sesión único (SSO) y la autenticación de dos factores (2FA), MFA se encaja dentro del pilar de autenticación de la gestión de identidad y acceso (IAM). En lugar del método tradicional de confiar solo en una contraseña, normalmente necesitará dos o más factores para iniciar sesión. Estos factores se dividen en tres categorías principales:

  1. Algo que sepa, como una contraseña o la respuesta a una pregunta de seguridad.

  2. Algo que tenga, como un móvil, un token de seguridad o incluso una clave física (piense en una clave Yubi en una unidad USB).

  3. Algo que usted es, concretamente, datos biométricos de una huella dactilar o un escaneo facial.

Por ejemplo, es posible que se le solicite que ingrese su contraseña (conocimiento), luego se envía un código SMS a su teléfono (algo que tiene) o que escanee su huella digital (algo que es). Al combinar estos factores, la MFA hace que sea mucho más difícil para los usuarios no autorizados acceder a sus cuentas, incluso si su contraseña se ha visto comprometida. Ahora combine este enfoque con un sistema que aplique medidas de seguridad adicionales solo cuando detecte un mayor riesgo de seguridad, y tendrá la esencia de la MFA adaptativa.  

Piense en la MFA adaptativa como un paso adelante supercargado respecto a la MFA tradicional. Inventada por Abhijit Kumar Nag y Dipankar Dasgupta, esta medida de protección lleva la AMF tradicional un paso más allá. Utiliza información contextual de los patrones diarios del usuario para evaluar el nivel de riesgo asociado a un intento específico de inicio de sesión. Si el nivel de riesgo para un intento de inicio de sesión de un usuario específico está por encima de un umbral predeterminado, se considerará un evento desencadenante. 

La MFA adaptativa permite a los administradores del sistema clasificar los criterios de activación en función de varios factores, incluidos los roles de los usuarios y los activos de la empresa. Tomemos el ejemplo que utilizamos anteriormente, cuando inicia sesión en el panel de control de una empresa desde una cafetería. Si nunca ha estado allí antes, podría considerarse un acontecimiento desencadenante. Sin embargo, si va allí con suficiente frecuencia y más o menos a la misma hora, probablemente no se considerará un evento desencadenante. Por otra parte, si alguien intentara acceder al panel de control de su empresa utilizando sus credenciales al día siguiente a una hora intempestiva desde un país situado al otro lado del mundo, es casi seguro que se mostrarían advertencias. Esta demostración muestra de qué se trata la MFA adaptativa: comprender los patrones de un usuario específico y aplicar medidas adicionales solo por seguridad cuando algo parece sospechoso o fuera de lo normal. En la siguiente sección, hablaremos de las funciones de MFA tradicionales y en qué se diferencian de las de la MFA adaptativa.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

¿Cómo funciona la autenticación multifactor adaptativa?

La MFA adaptativa es muy parecida a la MFA tradicional, con algunos avances añadidos para mantener tus datos sensibles seguros y protegidos sin sacrificar la usabilidad. A continuación veremos los pasos de la MFA adaptativa y su funcionamiento.

Paso 1: autenticación inicial

Un usuario intenta iniciar sesión en un sistema (por ejemplo, un panel de control de una empresa, una aplicación, etc.) introduciendo un nombre de usuario y una contraseña, o una clave de acceso. El sistema comienza a validar estas credenciales con las credenciales que ha almacenado.

Paso 2: evaluación de riesgos

Este es el paso que diferencia a la MFA adaptativa de la MFA tradicional. Mientras que la MFA tradicional simplemente requiere un segundo factor de autenticación, la MFA adaptativa analiza el nivel de riesgo y, a continuación, determina el nivel de autenticación adecuado para ese riesgo.

Comienza recopilando y comparando los datos del inicio de sesión o solicitud de acceso actual con los datos de inicios de sesión o solicitudes de acceso anteriores. Los datos pueden incluir:

  • Localización: ¿Es esta zona una geolocalización familiar para este usuario o una en otra ciudad o incluso país?

  • Dispositivo o tipo de dispositivo: ¿este dispositivo es de la empresa o de propiedad personal? ¿Este dispositivo es el que se usa habitualmente para iniciar sesión, o es un dispositivo nuevo? ¿Se intenta iniciar sesión desde un teléfono móvil cuando el usuario suele iniciar sesión desde un ordenador portátil?

  • Hora del día: ¿Son estas las horas normales de trabajo en las que este empleado suele conectarse o se trata de una franja horaria extraña?

  • Comportamiento del usuario: ¿A qué intenta acceder el usuario teniendo en cuenta los factores combinados señalados anteriormente?

  • Red: ¿Esta red forma parte de una IP de empresa, privada o pública?

  • Datos históricos: toda la información de inicio de sesión anterior de este usuario se almacena y se retiene para el intento de inicio de sesión actual.

Un sistema de puntuación de riesgos evalúa los resultados y asigna un nivel de riesgo a este intento de inicio de sesión. Por ejemplo, un inicio de sesión desde otro país en un dispositivo nuevo durante el horario no laboral desde una dirección IP no reconocida podría tener un alto nivel de riesgo.

Paso 3: respuesta de autenticación

La puntuación de riesgo da como resultado una respuesta de autenticación específica del contexto. Esto podría incluir:

  • Desencadenante MFA estándar (bajo riesgo): puede ser una contraseña de un solo uso (OTP) enviada al dispositivo móvil del usuario mediante una notificación push o una aplicación de autenticación como Google o Microsoft Authenticator.

  • Desencadenante MFA mejorado (riesgo medio): aquí el sistema podría aplicar un método más riguroso para autenticar, como la biometría (escaneado facial o de huellas dactilares) o preguntas de seguridad o autenticación basada en el conocimiento (preguntas sobre el historial del usuario concreto).

  • Bloqueo inmediato y alerta (alto riesgo): en los casos de alto riesgo, el sistema podría bloquear inmediatamente el intento de inicio de sesión y avisar al departamento de seguridad de la organización.

Paso 4: observación continua y mejora

Los sistemas A-MFA monitorizan continuamente la actividad y los comportamientos de cada usuario para identificar mejor las anomalías a lo largo del tiempo. Cada vez más, los sistemas A-MFA están adoptando algoritmos de machine learning para aprender de los intentos de inicio de sesión o acceso de los usuarios en el pasado. Cuantos más intentos de inicio de sesión encuentre el sistema, más hábil será a la hora de identificar los intentos válidos y sospechosos.

Diagrama del flujo de trabajo de MFA adaptativa
Diagrama del flujo de trabajo de MFA adaptativa

¿Por qué implementar la MFA adaptativa?

Las organizaciones adoptan la MFA adaptativa por varias razones, entre ellas:

  • Mayor nivel de control para los administradores del sistema: los sistemas A-MFA permiten a los administradores aumentar o reducir el número de requisitos de autenticación en función de la sensibilidad del activo y/o de la función de la persona que intenta acceder al activo.

  • Usabilidad óptima sin sacrificar la seguridad: A-MFA permite fluidez en sus demandas de autenticación para que la seguridad se adapte a la situación y no sea un obstáculo para la experiencia del usuario.

  • Resiliencia general mejorada: la adopción de A-MFA como parte de un enfoque de seguridad zero trust refuerza inmediatamente la seguridad y reduce significativamente el riesgo de vulneraciones de datos por ataques como el phishing.

Autor

Bryan Clark

Senior Technology Advocate
Soluciones relacionadas
Autenticación sin contraseña de IBM Verify

Vaya más allá de la autenticación básica con opciones sin contraseña y multifactor.

 Explore la autenticación sin contraseña de IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con una protección inteligente y automatizada de los datos, la identidad y las amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidades y accesos

Proteja y gestione el acceso de los usuarios con controles de identidad automatizados y un gobierno basado en el riesgo en los entornos de nube híbrida.

         Explore los servicios de IAM
    Dé el siguiente paso

    Descubra cómo la autenticación sin contraseña puede añadir una capa adicional de protección a sus cuentas y ofrecerle un control granular y contextual sobre el acceso a las aplicaciones.

         Descubra la autenticación sin contraseña de IBM Verify Explore las soluciones de seguridad
    Notas a pie de página

    Phan, Kim Gwen. “Implementing Resiliency of Adaptive Multi-Factor Authentication Systems.” Master’s Specialization in Information Assurance, St. Cloud State University. 2018. https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.

    Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang y Eugene Wang. “A Review of Multi-Factor Authentication in the Internet of Healthcare Things.” Digit Health 9 (2023): 20552076231177144. https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.

    Ghosh, Arpita y Sayak Nag. “A Comprehensive Review of Secure Authentication Systems in Healthcare IoT”. Digit Health 2023; 9: 20552076231177146. https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.

    Springer, Paul. Cyber Security: A Practitioner’s Guide. Cham: Springer. 2017. https://link.springer.com/book/10.1007/978-3-319-58808-7.

    IBM. “Multi-Factor Authentication”. IBM Think. Consultado el 3 de noviembre de 2025. https://www.ibm.com/es-es/think/topics/multi-factor-authentication.