La MFA resistente al phishing es un método de autenticación multifactor que utiliza claves criptográficas vinculadas a sitios web legítimos para verificar la identidad de un usuario de una manera que resiste ser interceptada, reproducida o diseñada socialmente.
La mayoría de los métodos de MFA (códigos SMS, contraseñas de un solo uso, notificaciones push) funcionan generando un secreto que el usuario final proporciona a un servicio. Por ejemplo, cuando un usuario inicia sesión en su cuenta bancaria, puede ingresar tanto una contraseña como un código de seis dígitos enviado a su teléfono o generado por una aplicación de autenticación.
Si bien estos métodos de MFA pueden ayudar a detener muchos ataques, pueden tener dificultades con el phishing: ataques cibernéticos que utilizan comunicaciones falaces para engañar a los usuarios para que revelen credenciales o aprueben accesos fraudulentos.
Los ataques de phishing explotan el comportamiento humano en lugar de las vulnerabilidades técnicas, lo que puede dificultar su bloqueo para la MFA tradicional. Los factores de autenticación que los atacantes roban o manipulan son técnicamente válidos. El código es auténtico, la autorización es válida y las credenciales son correctas. La MFA tradicional no tiene forma de diferenciar entre un inicio de sesión legítimo y uno que fue coaccionado o interceptado.
Según el IBM X-Force Threat Intelligence Index, el phishing es una de las principales formas en que los atacantes obtienen las credenciales válidas de las que luego abusan. Las cuentas robadas son uno de los vectores de ataque inicial más comunes, ya que representan el 32 % de los incidentes.
La autenticación multifactor resistente al phishing ayuda a detener estos ataques al proporcionar autenticación de una manera fundamentalmente diferente. En lugar de transmitir un secreto, usa criptografía de clave pública y una técnica denominada vinculación de origen.
La criptografía de clave pública es un método criptográfico que utiliza un par de claves vinculadas matemáticamente, una pública y otra privada, para verificar la identidad sin necesidad de transmitir un secreto compartido.
La vinculación de origen es cuando el autenticador (como una clave de seguridad o una clave de acceso en un teléfono) responde solo cuando reconoce el dominio legítimo. Si el sitio está falsificado, el autenticador permanece en silencio y el atacante no tiene nada que capturar.
Por ejemplo, supongamos que un empleado es redirigido a una página de inicio de sesión falsa en lugar de a la auténtica. Su autenticador comprueba el dominio, no encuentra ninguna coincidencia y permanece en silencio, incluso si ya han ingresado sus credenciales.
Con MFA resistente al phishing, las organizaciones pueden ayudar a proteger las cuentas de usuario incluso cuando los empleados caen en intentos de phishing. También pueden ayudar a satisfacer el creciente conjunto de estándares y requisitos normativos, de partes como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., la Cybersecurity and Infrastructure Security Agency (CISA) y las aseguradoras cibernéticas, que ahora tratan la autenticación resistente al phishing como base para una autenticación sólida.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
El problema con la mayoría de los métodos de autenticación es que comparten una debilidad estructural: dependen de un secreto que transmite el usuario. Cuando ese secreto está en tránsito, puede ser interceptado, reproducido o extorsionado a través de la ingeniería social.
Cada tipo de factor de autenticación en la MFA tradicional generalmente tiene una vulnerabilidad específica, y los delincuentes cibernéticos han creado kits de herramientas completos para explotarlos.
Los códigos de mensajes de texto SMS se enrutan a través de una infraestructura de operador que nunca se diseñó teniendo en cuenta la ciberseguridad.
En un ataque de intercambio de SIM, un atacante convence a un operador de telefonía móvil, o a un ingeniero social o a un empleado del centro de atención telefónica, para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. Una vez que se transfiere ese número, todos los mensajes de texto van al atacante, incluidos los códigos MFA.
Los códigos SMS también están expuestos a vulnerabilidades SS7: debilidades de hace décadas en el protocolo de señalización que los proveedores de telecomunicaciones aún utilizan para enrutar mensajes entre redes. Las vulnerabilidades SS7 pueden permitir a los atacantes interceptar o redirigir mensajes SMS a nivel de red, sin necesidad de acceder al dispositivo de la víctima o a la cuenta del operador. Los ataques basados en SS7 pueden ser aún más difíciles de detectar que un intercambio de SIM.
Las aplicaciones de autenticación utilizan contraseñas de un solo uso (OTP) para verificar la identidad de un usuario al iniciar sesión. Las OTP suelen ser más difíciles de interceptar en tránsito porque se generan localmente en el dispositivo del usuario en lugar de enviarse a través de una red telefónica. Pero siguen siendo vulnerables a los ataques de intermediario (MitM) en los que un delincuente cibernético se posiciona secretamente entre el usuario y el servicio legítimo para interceptar y transmitir credenciales en tiempo real.
Los ataques MitM ocurren cuando un actor de amenazas configura un servidor proxy entre la víctima y la página de inicio de sesión real. Luego, la víctima hace clic en un enlace de un ataque de phishing y aterriza en lo que parece la página de inicio de sesión real porque efectivamente lo es; solo se refleja a través del proxy del atacante. La víctima introduce su nombre de usuario, contraseña y OTP. El proxy transmite todo al servicio genuino, que valida el código y devuelve un token de sesión. El proxy captura ese token y lo canaliza hacia el atacante. La contraseña de un solo uso era válida; simplemente la utilizó la persona equivocada, a través del sitio web equivocado.
Los kits de phishing que automatizan todo este proceso ahora se venden como servicios en la dark web, al igual que las credenciales robadas. Los delincuentes cibernéticos no necesitan crear sus propias herramientas. Pueden comprar acceso a cuentas de usuario y datos confidenciales de la misma manera que una empresa compra software.
Las notificaciones push pueden simplificar el proceso de autenticación, permitiendo a los usuarios tocar “Aprobar” en sus teléfonos en lugar de ingresar un código. Sin embargo, esta simplicidad puede crear una vulnerabilidad conocida como bombardeo de notificaciones push.
El ataque funciona así: un delincuente cibernético que ya tiene credenciales robadas lanza solicitudes de aprobación repetidamente, a veces durante una hora o más. Para detener las interrupciones, o creer que son reales, el objetivo toca “Aprobar”, proporcionando al atacante acceso a su cuenta.
La ingeniería social puede facilitar el ataque. Los hackers pueden enviar mensajes a través de WhatsApp o Teams haciéndose pasar por seguridad de TI, advirtiendo sobre intentos de inicio de sesión inusuales en la cuenta de la víctima y pidiéndole que apruebe la notificación.
La IA generativa ha hecho que estas ciberamenazas sean más difíciles de detectar. Los atacantes ahora pueden crear mensajes que hagan referencia a proyectos reales en curso, imiten el estilo de las notificaciones del departamento de TI de la empresa y se adapten al idioma del destinatario. Capacidades que hace solo unos años requerían un esfuerzo humano considerable y que ahora pueden automatizarse y optimizarse.
La diferencia fundamental entre la MFA tradicional y la MFA resistente al phishing se reduce a lo que atraviesa la red. La autenticación tradicional envía un secreto compartido, un código, del usuario al servidor. Cualquiera que pueda interceptar o retransmitir ese código puede usarlo. La autenticación resistente al phishing elimina por completo el secreto compartido.
En cambio, el proceso de autenticación utiliza un protocolo de desafío-respuesta basado en la criptografía de clave pública. El dispositivo del usuario tiene una clave privada que nunca sale del dispositivo. El servicio cuenta con la clave pública correspondiente. Cuando el usuario inicia sesión, el servicio envía un desafío aleatorio. El dispositivo lo firma con la clave privada. El servicio verifica la firma con la clave pública. Si coincide, el usuario está autenticado y no había nada en este intercambio que un atacante pudiera robar o reproducir.
Dos enfoques comunes son FIDO2 y la autenticación de certificados basada en PKI. Ambos se basan en la criptografía de clave pública, pero difieren en cómo se implementan y dónde se despliegan normalmente. Es decir, la criptografía es el método central, y FIDO2 y PKI son las dos formas más comunes en que las organizaciones la implementan.
Los autenticadores, el token físico o de software con el que interactúa un usuario, vienen en diferentes formas según el enfoque. Las claves de seguridad y las claves de acceso son comunes para FIDO2, mientras que las tarjetas inteligentes son comunes para la autenticación de certificados basada en PKI.
FIDO2 es un conjunto de estándares de autenticación abiertos mantenidos por FIDO Alliance y World Wide Web Consortium (W3C).
Consta de dos protocolos: WebAuthn, la API del navegador que utilizan los sitios web para solicitar autenticación criptográfica, y CTAP (Client to Authenticator Protocol), que permite a los autenticadores externos comunicarse con navegadores y sistemas operativos.
Cuando un usuario se registra en un servicio compatible con FIDO2, su autenticador genera un par de claves. La clave privada permanece en el autenticador. La clave pública va al servicio. Ese par de claves también está vinculado al dominio específico (origen) del servicio, por ejemplo, “login.example.com”.
Cuando el usuario intenta iniciar sesión, el navegador compara el dominio del sitio con el origen registrado. En “login.example.com”, los dominios coinciden y el autenticador responde.
En “login-example.com”, potencialmente lo suficientemente cerca como para hacer phishing a un humano, pero no es compatible, el autenticador permanece en silencio. El usuario final no necesita evaluar si una URL parece legítima. El protocolo de autenticación FIDO lo maneja automáticamente.
La infraestructura de clave pública (PKI) utiliza certificados digitales emitidos por una autoridad de certificación de confianza. El proceso de autenticación sigue el mismo patrón de desafío-respuesta que FIDO2: el servicio envía un desafío, el dispositivo físico lo firma y el servicio verifica la firma. Ningún secreto cruza el límite.
La autenticación basada en PKI ha sido el estándar en el gobierno federal y la defensa durante décadas. Las tarjetas inteligentes (tarjetas físicas con un chip incorporado que almacena credenciales y autentica al usuario cuando se insertan en un lector de tarjetas o se conectan con uno) cumplen estrictos requisitos de garantía de identidad.
Aunque las tarjetas inteligentes son el método de autenticación más común en las PKI, no son el único. Los certificados PKI también se pueden almacenar en tokens USB o gestionar a través de software. En los despliegues gubernamentales y empresariales, generalmente se prefieren las tarjetas inteligentes porque proporcionan protección a nivel de hardware para la clave privada.
Otras industrias con infraestructura on premises y estrictos requisitos reglamentarios, como la atención médica, los servicios financieros y los servicios legales, a menudo dependen de las tarjetas inteligentes por las mismas razones.
Para las organizaciones que empiezan desde cero, FIDO2 suele ser la opción preferida, ya que requiere una carga operativa mucho menor.
Los autenticadores son los dispositivos físicos o mecanismos de software con los que interactúan los usuarios para completar el proceso de autenticación; en otras palabras, la implementación práctica de los estándares FIDO2 y PKI.
El factor de forma adecuado depende del nivel de riesgo, la infraestructura existente y las compensaciones de experiencia del usuario que una organización está dispuesta a aceptar. Muchas organizaciones grandes terminan usando más de uno.
Algunos de los tipos de autenticadores más comunes incluyen:
Las claves de seguridad de hardware son dispositivos físicos, como YubiKey o Google Titan Key, que almacenan claves criptográficas en hardware a prueba de manipulaciones. Se conectan a través de USB o comunicación de campo cercano (NFC), como tocar un llavero contra un teléfono o sostener una tarjeta sin contacto en un lector.
Como la clave privada se genera dentro del chip resistente a manipulaciones de la clave y nunca se exporta (ni siquiera durante la autenticación), un atacante necesita la posesión física del dispositivo para comprometerlo. Los ataques remotos son prácticamente imposibles. El costo operativo es la distribución: las organizaciones necesitan enviarlos, inventariarlos y reemplazarlos. En muchos puestos de alto riesgo (administradores de sistemas, desarrolladores con acceso a producción), ese costo puede valer la pena.
Los autenticadores de plataforma utilizan los sensores biométricos y el hardware seguro integrado en computadoras portátiles y dispositivos móviles, como un lector de huellas dactilares o una cámara de reconocimiento facial.
La clave privada reside en el enclave seguro del dispositivo o en el módulo de plataforma segura (TPM), lo que significa que no hay hardware adicional que llevar. El usuario debe verificar su identidad localmente, ya sea a través de una huella digital, reconocimiento facial o un PIN de dispositivo. La verificación local desbloquea la clave privada (no reemplaza el proceso criptográfico), lo que luego marca el desafío de autenticación.
La limitación de la autenticación de la plataforma es que la autenticación está vinculada a cualquier máquina que tenga la clave.
Las claves de acceso son credenciales criptográficas almacenadas de forma nativa en el dispositivo de un usuario que reemplazan las contraseñas por completo. Al igual que otros autenticadores FIDO2, utilizan una clave privada que nunca sale del dispositivo para firmar desafíos de autenticación, y el usuario verifica su identidad a través de un PIN biométrico o de dispositivo.
A diferencia de las claves de seguridad por hardware, las claves de acceso pueden sincronizar credenciales entre dispositivos móviles a través de un proveedor de la nube, como Apple, Google o Microsoft. Un usuario que registra una clave de acceso en su teléfono también puede autenticarse en su computadora portátil, siempre que ambos hayan iniciado sesión en la misma cuenta.
La autenticación sin contraseña ofrece una experiencia más fluida que cualquier otro método resistente al phishing: no hay que recordar ninguna contraseña, ni restablecerla, ni correr el riesgo de perderla en un ataque de phishing. La advertencia es la dependencia de la plataforma: las claves de acceso no siempre son fácilmente portátiles entre ecosistemas.
Las tarjetas inteligentes, como PIV, CAC y tarjetas similares basadas en PKI, son el tipo de autenticador principal para los despliegues de PKI. Ofrecen un dispositivo de seguridad a prueba de manipulaciones para la clave privada en un formato portátil. Los mandatos federales en torno a las tarjetas PIV y CAC también crearon décadas de infraestructura arraigada a su alrededor.
Las tarjetas inteligentes requieren lectores de tarjetas y middleware en cada estación de trabajo, junto con infraestructura de gestión de certificados en el backend.
Su footprint es mayor que el de FIDO2, pero la tecnología está madura y profundamente arraigada en entornos de gobierno y en industrias reguladas.
La MFA resistente al phishing aborda el problema del phishing y el robo de credenciales en el origen, haciendo que las credenciales robadas sean inservibles, al tiempo que respalda objetivos más amplios de seguridad cibernética y cumplimiento.
Algunos de los beneficios más significativos de la MFA resistente al phishing incluyen:
La autenticación resistente al phishing ayuda a eliminar los tipos de ataques que han hecho que las soluciones tradicionales de MFA sean cada vez más insuficientes como medidas de seguridad.
Los ataques de intercambio de SIM no funcionan porque no hay código SMS para interceptar. Los ataques de intermediario no funcionan porque no hay OTP que retransmitir. El push bombing no funciona porque no hay aprobación para manipular.
Incluso si los delincuentes cibernéticos obtienen la contraseña de un usuario, no pueden acceder a una cuenta o datos confidenciales sin el dispositivo físico que contiene la clave privada.
La confianza cero opera bajo el supuesto de que no se debe confiar implícitamente en ningún usuario o dispositivo: cada decisión de control de acceso se verifica. Pero ese modelo se desmorona si el propio mecanismo de verificación puede burlarse con un correo electrónico convincente y una página de inicio de sesión falsificada.
La MFA resistente al phishing ayuda a cerrar esa brecha, lo que permite la verificación continua que requiere la confianza cero.
CISA llama al MFA resistente al phishing el “estándar de oro” para la autenticación, y muchos entes reguladores y organismos normativos han formalizado esa posición.
La Publicación Especial 800-63-4 del NIST, finalizada en 2025, hace que la autenticación resistente al phishing sea obligatoria en el nivel 3 de Garantía del autenticador, que requiere claves privadas enlazadas por hardware y no exportables para casos de uso de alta seguridad.
El memorándum M-22-09 de la Oficina de Gestión y Presupuesto de EE. UU. exige actualmente que las agencias del gobierno federal desplieguen MFA resistente al phishing para el personal, contratistas y socios.
Más allá de los requisitos del gobierno, las organizaciones buscan cada vez más la calidad de la MFA, no solo la presencia de esta. Los programas como el PCI DSS definen explícitamente la MFA resistente al phishing, y muchas aseguradoras cibernéticas ahora preguntan sobre la solidez de la MFA durante la suscripción.
La MFA resistente al phishing puede parecer que agrega fricción. En la práctica, las claves de acceso y los autenticadores de plataforma suelen reducirla. Tocar un lector de huellas digitales suele ser más rápido que abrir una aplicación móvil, copiar una OTP de seis dígitos e ingresarla antes de que caduque.
La autenticación sin contraseña, en la que la clave de acceso o la clave de seguridad reemplaza por completo a la contraseña, puede ir aún más lejos: no hay contraseña que olvidar, restablecer o entregar a una página de phishing. La funcionalidad que pierden los usuarios finales es la contraseña. Lo que obtienen es una experiencia de autenticación que suele ser más rápida y segura.
La MFA resistente al phishing rara vez funciona de forma aislada. Por lo general, se encuentra dentro de una arquitectura de arquitectura de gestión de identidad y acceso (IAM) más amplia que incluye varias capas de soporte.
Las políticas de acceso condicional aportan contexto a las decisiones de autenticación. En lugar de tratar cada inicio de sesión de manera idéntica, estas políticas evalúan las señales (estado del dispositivo, ubicación de red, patrones de comportamiento del usuario) y ajustan los requerimientos en consecuencia.
Por ejemplo, un empleado que inicia sesión desde un dispositivo gestionado en la red corporativa podría autenticar con un solo toque de clave de acceso. El mismo empleado que se conecta desde un dispositivo desconocido en un nuevo país podría enfrentar pasos de verificación adicionales.
En el lado defensivo, la detección y respuesta de endpoints (EDR) detecta amenazas que se encuentran fuera del alcance de la MFA. La MFA resistente al phishing ayuda a detener el robo de credenciales en la página de inicio de sesión, pero el malware infostealer en un dispositivo comprometido aún puede recopilar tokens de sesión, credenciales almacenadas en caché y otra información confidencial.
Los feeds de inteligencia de amenazas complementan ambas capas al identificar la infraestructura de phishing: marcar direcciones URL maliciosas, dominios falsificados y servidores de comando y control conocidos antes de que los usuarios lleguen a una página de inicio de sesión falsa.