¿Qué es la autenticación multifactor adaptativa (MFA adaptativa)?

By Bryan Clark

¿Qué es la MFA adaptativa?

La autenticación multifactor adaptativa (MFA adaptativa o A-MFA) es un método de autenticación multifactor que requiere factores de autenticación diferentes o adicionales en función del contexto que rodea un inicio de sesión o una solicitud de acceso.

Imagine que es una mañana soleada de otoño y decide que, en lugar de instalarse en la estación de trabajo de su oficina, quiere trabajar de forma remota desde la cafetería que acaba de abrir en el centro. Pide un café, saca su computadora portátil e inicia sesión en el panel de su empresa. El sistema reconoce instantáneamente que está utilizando una nueva red wifi junto con un dispositivo que nunca antes había registrado. En lugar de un “acceso denegado” contundente, recibirá una instrucción única y contextual para un escaneo de huellas dactilares.

En esta situación, aparece una capa adicional de seguridad porque el riesgo es mayor de lo normal. Esa protección perfecta “según sea necesario” es el centro de la autenticación multifactor adaptativa (A-MFA). Esta autenticación basada en riesgos es una forma más inteligente de reforzar su postura de seguridad sin sacrificar la conveniencia. 

Según el Informe del costo de una filtración de datos de IBM 2025, la filtración promedio ahora cuesta 4.4 millones de dólares. Este hecho por sí solo subraya por qué las organizaciones no pueden permitirse utilizar las mismas defensas básicas para todos los usuarios. Con el aumento de los ataques de phishing creados por inteligencia artificial (IA), las soluciones MFA deberían ser un requisito mínimo para la seguridad. Afortunadamente, hay muchas opciones para implementar A-MFA, como Auth0 y Duo. En este artículo, explicaremos cómo la MFA adaptativa mide el riesgo en tiempo real. También exploraremos los casos de uso en los que prospera y le proporcionaremos los conocimientos básicos necesarios para decidir dónde encaja en su marco de seguridad.

MFA adaptativa frente a MFA tradicional

A estas alturas, la mayoría de nosotros hemos utilizado la autenticación multifactor (MFA) en un momento u otro. La MFA agrega requisitos de seguridad adicionales a las cuentas al exigir demostrar nuestra identidad mediante el uso de métodos de autenticación adicionales. Al igual que el inicio de sesión único (SSO) y la autenticación de dos factores (2FA), la MFA se encaja dentro del pilar de autenticación de la gestión de identidad y acceso (IAM). En lugar del método tradicional de depender solo de una contraseña, normalmente se necesitarán dos o más factores para iniciar sesión. Estos factores se dividen en tres categorías principales:

  1. Algo que sepamos, como una contraseña o la respuesta a una pregunta de seguridad.

  2. Algo que tengamos, como un teléfono inteligente, un token de seguridad o incluso una clave física (piense en una clave Yubi en una unidad USB).

  3. Algo que somos,específicamente, datos biométricos de una huella digital o escaneo facial.

Por ejemplo, es posible que se nos pida que ingresemos nuestra contraseña (conocimiento), luego se envía un código SMS a nuestro teléfono (algo que tenemos) o que escaneemos nuestra huella digital (algo que somos). Al combinar estos factores, la MFA hace que sea mucho más difícil para los usuarios no autorizados acceder a nuestras cuentas, incluso si nuestra contraseña se ha visto comprometida. Ahora combinemos este enfoque con un sistema que aplique medidas de seguridad adicionales solo cuando detecte un mayor riesgo de seguridad, y tendremos la esencia de la MFA adaptativa.  

Pensemos en la MFA adaptativa como una mejora considerable de la MFA tradicional. Inventada por Abhijit Kumar Nag y Dipankar Dasgupta, esta medida de protección lleva a la MFA tradicional un paso más allá. Utiliza información contextual de los patrones diarios del usuario para evaluar el nivel de riesgo asociado a un intento de inicio de sesión específico. Si el nivel de riesgo para un intento específico de inicio de sesión de usuario supera un umbral predeterminado, se considerará un evento desencadenante. 

La MFA adaptativa permite a los administradores del sistema clasificar los criterios de activación en función de varios factores, incluidos los roles de los usuarios y los activos de la empresa. Tomemos el ejemplo que usamos antes, cuando iniciamos sesión en un panel de la empresa desde una cafetería. Si nunca hemos estado allí antes, podría verse como un evento desencadenante. Sin embargo, si vamos allí con suficiente frecuencia y más o menos a la misma hora, probablemente no se considerará un evento desencadenante. Alternativamente, si alguien intentara acceder al panel de la empresa utilizando nuestras credenciales en un país al otro lado del mundo al día siguiente en un momento extraño, es casi seguro que mostraría advertencias. Esta demostración muestra de qué se trata la MFA adaptativa: comprender los patrones de un usuario específico y aplicar medidas adicionales solo por seguridad cuando algo parece sospechoso o fuera de lo normal. En la siguiente sección, hablaremos sobre las funciones de MFA tradicionales y en qué se diferencian de la MFA adaptativa.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

¿Cómo funciona la autenticación multifactor adaptativa?

La MFA adaptativa es muy parecida a la MFA tradicional con algunos avances adicionales para mantener los datos confidenciales seguros sin sacrificar la usabilidad. A continuación, cubriremos los pasos de la MFA adaptativa y cómo funciona.

Paso 1: Autenticación inicial

Un usuario intenta iniciar sesión en un sistema (por ejemplo, un panel de la empresa, una aplicación, etc.) introduciendo un nombre de usuario y una contraseña, o una clave de acceso. El sistema comienza a validar estas credenciales comparándolas con las credenciales que tiene almacenadas.

Paso 2: Evaluación de riesgos

Este es el paso que diferencia a la MFA adaptativa de la MFA tradicional. Mientras que la MFA tradicional simplemente requiere un segundo factor de autenticación, la MFA adaptativa analiza el nivel de riesgo y luego determina el nivel adecuado de autenticación para ese riesgo.

Comienza recopilando y comparando datos del inicio de sesión o solicitud de acceso actual con datos de inicios de sesión o solicitudes de acceso anteriores. Los datos pueden incluir:

  • Ubicación: ¿esta zona es una geolocalización familiar para este usuario o se trata de una ciudad o incluso un país diferente?

  • Dispositivo o tipo de dispositivo: ¿este dispositivo es de la empresa o es de su propiedad? ¿Este dispositivo es el habitual que se utiliza para iniciar sesión o es un dispositivo nuevo? ¿Se intenta iniciar sesión desde un teléfono móvil cuando el usuario suele iniciar sesión desde una computadora portátil?

  • Hora del día: ¿se trata de un horario de trabajo normal en el que este empleado normalmente inicia sesión o es un horario inusual?

  • Comportamiento del usuario: ¿a qué está intentando acceder el usuario teniendo en cuenta los factores combinados mencionados anteriormente?

  • Red: ¿Esta red forma parte de una empresa, o es una IP privada o pública?

  • Datos históricos: toda la información de inicio de sesión anterior de este usuario se almacena y se compara con el intento de inicio de sesión actual.

Un sistema de puntuación de riesgos evalúa los resultados y asigna un nivel de riesgo a este intento de inicio de sesión. Por ejemplo, un inicio de sesión desde otro país en un dispositivo nuevo durante el horario no laboral desde una dirección IP no reconocida podría tener un alto nivel de riesgo.

Paso 3: Respuesta de autenticación

La puntuación de riesgo da como resultado una respuesta de autenticación específica del contexto. Esto podría incluir:

  • Desencadenante de MFA estándar (riesgo bajo): puede ser una contraseña de un solo uso (OTP) enviada al dispositivo móvil del usuario a través de notificaciones push o una aplicación de autenticación como Google o Microsoft Authenticator.

  • Desencadenante de MFA mejorado (riesgo medio): en este caso, el sistema podría aplicar un método de autenticación más riguroso, como datos biométricos (escaneos faciales o de huellas dactilares), preguntas de seguridad o autenticación basada en conocimientos (preguntas sobre el historial específico del usuario).

  • Bloqueo inmediato y alerta (alto riesgo): en casos de alto riesgo, el sistema podría bloquear inmediatamente el intento de inicio de sesión y notificarlo al departamento de seguridad de la organización.

Paso 4: Observación continua y mejora

Los sistemas de A-MFA monitorean continuamente la actividad y los comportamientos de cada usuario para identificar mejor las anomalías a lo largo del tiempo. Cada vez más, los sistemas de A-MFA están adoptando algoritmos de machine learning para aprender de los intentos anteriores de inicio de sesión o acceso de un usuario. Cuantos más intentos de inicio de sesión encuentre el sistema, más hábil será para identificar intentos válidos y sospechosos.

Diagrama del flujo de trabajo de mfa adaptativa
Diagrama del flujo de trabajo de mfa adaptativa

¿Por qué implementar una MFA adaptativa?

Las organizaciones adoptan la MFA adaptativa por varias razones, entre ellas:

  • Mayor nivel de control para los administradores de sistemas: los sistemas de A-MFA permiten a los administradores aumentar o reducir el número de requisitos de autenticación según la confidencialidad del activo o de la función de la persona que intenta acceder al activo.

  • Óptima usabilidad sin sacrificar la seguridad: la A-MFA permite flexibilidad en sus requisitos de autenticación, de modo que la seguridad se adapta a la situación y no supone un obstáculo para la experiencia del usuario.

  • Resiliencia general mejorada: la adopción de la A-MFA como parte de un enfoque de seguridad de confianza cero fortalece inmediatamente la seguridad y reduce significativamente el riesgo de filtraciones de datos por ataques como el phishing.

Autor

Bryan Clark

Senior Technology Advocate
Soluciones relacionadas
Autenticación sin contraseña de IBM Verify

Vaya más allá de la autenticación básica con opciones multifactor y sin contraseña.

 Explore la autenticación sin contraseña de IBM Verify
Soluciones de seguridad

Proteja sus entornos de nube híbrida e IA con protección inteligente y automatizada de datos, identidad y amenazas.

 Explore las soluciones de seguridad
Servicios de gestión de identidad y acceso

Proteja y administre el acceso de los usuarios con controles de identidad automatizados y control basado en riesgos en entornos de nube híbrida.

         Conozca los servicios de IAM
    Dé el siguiente paso

    Descubra cómo la autenticación sin contraseña puede agregar una capa adicional de protección a sus cuentas y brindarle un control granular y contextual sobre el acceso a las aplicaciones.

         Descubra la autenticación sin contraseña de IBM Verify Explore las soluciones de seguridad
    Notas de pie de página

    Phan, Kim Gwen. “Implementing Resiliency of Adaptive Multi-Factor Authentication Systems.” Master’s Specialization in Information Assurance, St. Cloud State University, 2018. https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.

    Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang, and Eugene Wang. “A Review of Multi-Factor Authentication in the Internet of Healthcare Things.” Digit Health 9 (2023): 20552076231177144. https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.

    Ghosh, Arpita, and Sayak Nag. “A Comprehensive Review of Secure Authentication Systems in Healthcare IoT.” Digit Health 2023; 9: 20552076231177146. https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.

    Springer, Paul. Cyber Security: A Practitioner’s Guide. Cham: Springer, 2017. https://link.springer.com/book/10.1007/978-3-319-58808-7.

    IBM. “Multi-Factor Authentication.” IBM Think Consultado el 3 de noviembre de 2025. https://www.ibm.com/mx-es/think/topics/multi-factor-authentication.