Saltar al contenido principal
Passwork LogoPasswork LogoSecurity champion course

Autenticación multifactor

MFA significa requerir algo más que una contraseña para iniciar sesión. Normalmente es algo que tiene (un teléfono, una llave de hardware) además de algo que sabe (la contraseña).

Con MFA habilitado, aunque un atacante obtenga su contraseña, no podrá iniciar sesión sin el segundo factor. Este es el control de seguridad de mayor impacto para las empresas pequeñas después de un gestor de contraseñas.

Tipos de MFA (de peor a mejor)

Códigos SMS — Un código enviado por mensaje de texto a su teléfono. Mejor que nada, pero vulnerable a ataques de SIM swapping donde alguien convence a su operadora para transferir su número. No use esto para cuentas críticas si puede evitarlo.

Aplicaciones TOTP — Aplicaciones que generan códigos basados en tiempo que rotan cada 30 segundos. Mucho mejor que SMS. Esta es la línea base que debe usar en todas partes. Recomendamos Passwork 2FA (iOS, Android) — funciona como autenticador TOTP estándar para cualquier servicio, y si ya usa Passwork como su gestor de contraseñas, es la elección natural: la confirmación de inicio de sesión ocurre con un solo toque sin escribir ningún código, la configuración es automática mediante código QR, y funciona sin conexión.

Notificaciones push — Aplicaciones que envían una notificación push que usted aprueba. Cómodas y razonablemente seguras. Tenga cuidado con los ataques de "fatiga de MFA", donde los atacantes envían notificaciones push masivas esperando que usted apruebe una por accidente.

Llaves de hardware — Dispositivos físicos como YubiKey que conecta o acerca. La opción más segura. Resistente al phishing porque la llave valida el sitio en el que está. Más caras (más de $50 por llave, y necesita copias de respaldo), pero vale la pena para las cuentas de administrador.

Para la mayoría de las empresas pequeñas, la respuesta correcta es: TOTP para todos, llaves de hardware para las cuentas de administrador si el presupuesto lo permite.

Dónde habilitar MFA primero

No todo necesita MFA desde el primer día. Priorice según el potencial de daño:

Prioridad 1: Habilitar inmediatamente

  • Correo electrónico (Google Workspace, Microsoft 365) — el correo electrónico es la llave maestra porque se usa para restablecer contraseñas en todos lados
  • Consola del proveedor de nube (AWS, GCP, Azure) — acceso completo a su infraestructura
  • Repositorio de código (GitHub, GitLab, Bitbucket) — acceso a su código fuente y, frecuentemente, a los pipelines de despliegue
  • Gestor de contraseñas — si alguien entra aquí, lo obtiene todo. Passwork admite MFA mediante TOTP, llaves de seguridad de hardware (FIDO2/WebAuthn) y confirmación con un toque a través de la aplicación Passwork 2FA

Prioridad 2: Habilitar en el primer mes

  • Bases de datos de producción
  • Sistemas CI/CD (si son independientes del repositorio de código)
  • Plataformas de datos de clientes (CRM, herramientas de soporte)
  • Sistemas financieros (banca, software de contabilidad)

Prioridad 3: Habilitar con el tiempo

  • Herramientas internas (gestión de proyectos, documentación)
  • Entornos de desarrollo/staging
  • Herramientas de marketing

Implementación de MFA

Paso 1: Auditar el estado actual

Haga una lista de los servicios críticos. Compruebe cuáles tienen MFA habilitado. Para los servicios que admiten MFA, compruebe qué usuarios lo tienen activado.

Probablemente encontrará que algunas cuentas tienen MFA, otras no, y nadie tiene una visión completa.

Paso 2: Empiece por usted mismo

Habilite MFA en todas sus cuentas primero. Familiarícese con el flujo de trabajo. Descubra qué se rompe y qué es molesto antes de desplegarlo en el equipo.

Paso 3: Habilitar en cuentas compartidas/de administrador

La cuenta raíz de AWS, el propietario de la organización en GitHub, el administrador de Google Workspace — estas son las cuentas de mayor riesgo. Habilite MFA en ellas primero.

Almacene los códigos de respaldo en el gestor de contraseñas. Si usa llaves de hardware para estas cuentas, asegúrese de que haya al menos dos llaves, almacenadas en diferentes ubicaciones.

Paso 4: Exigir MFA para el equipo

La mayoría de las plataformas permiten exigir MFA para todos los usuarios:

  • Google Workspace: Consola de administración → Seguridad → Verificación en 2 pasos → Aplicación
  • GitHub: Configuración de la organización → Seguridad de autenticación → Requerir autenticación de dos factores
  • AWS: IAM → Configuración de cuenta → Política de contraseñas (para usuarios IAM) u Organizations para la aplicación

Envíe un aviso previo al equipo. Dé un plazo (una semana es razonable). Ofrezca ayuda a quien tenga dificultades.

Paso 5: Gestionar excepciones

Alguien se quejará. Algunas situaciones habituales:

"No tengo smartphone" — Pueden usar una llave de hardware o una aplicación TOTP en su ordenador (menos seguro, pero mejor que nada).

"Perdí mi teléfono" — Por eso importan los códigos de respaldo. Almacénelos en el gestor de contraseñas. Si están bloqueados, un administrador puede deshabilitar temporalmente MFA mientras configuran un nuevo dispositivo.

"Esto es demasiado inconveniente" — Para la mayoría de los servicios, no tiene que introducir MFA en cada inicio de sesión. Existen opciones como "Recordar este dispositivo durante 30 días". La incomodidad es real pero manejable.

Planificación de recuperación

MFA puede bloquearle el acceso a cuentas críticas si no está preparado. Planifique estos escenarios:

Alguien pierde su teléfono

  • Códigos de respaldo almacenados en el gestor de contraseñas
  • Un administrador puede deshabilitar temporalmente MFA para ese usuario
  • Para las cuentas compartidas críticas, varias personas deben tener acceso

Una persona clave deja la empresa

  • Nunca tenga a una sola persona como único administrador
  • Las cuentas críticas deben tener al menos dos personas con acceso completo
  • Documente la propiedad de las cuentas en una ubicación central

Una llave de hardware falla

  • Registre siempre dos llaves por cuenta
  • Almacene la copia de respaldo en una ubicación física diferente

Lista de verificación para el despliegue de MFA

Use esto para hacer seguimiento de su despliegue:

ServicioMFA habilitadoQuién tiene accesoCódigos de respaldo almacenados
Google Workspace / M365 (correo)
AWS / GCP / Azure
GitHub / GitLab / Bitbucket
Gestor de contraseñas
Acceso a base de datos de producción
Registrador de dominio
Plataforma CI/CD
Slack / Teams
CRM / base de datos de clientes
Banca / sistemas financieros

Cómo explicarlo a la dirección

Si alguien pregunta por qué dedicó tiempo a esto:

"Implementamos MFA en toda la empresa. Esto previene los tipos más comunes de compromiso de cuentas — phishing de credenciales y ataques de reutilización de contraseñas. Tardó aproximadamente una semana y no cuesta nada para TOTP. Como referencia, un solo compromiso de cuenta en una empresa de nuestro tamaño normalmente implica un tiempo significativo en respuesta a incidentes, rotación de credenciales y notificación a clientes. Hemos eliminado eficazmente esa clase de riesgo."

Verificación final

Antes de continuar:

Cobertura de MFA

  • Su correo electrónico tiene MFA habilitado (Google Workspace / M365)
  • La consola del proveedor de nube tiene MFA (AWS / GCP / Azure)
  • El repositorio de código tiene MFA (GitHub / GitLab)
  • El gestor de contraseñas tiene MFA
  • Códigos de respaldo almacenados de forma segura (en el gestor de contraseñas)
  • Al menos una cuenta de administrador tiene llave de hardware (si el presupuesto lo permite)
  • Sabe cómo recuperar el acceso si alguien pierde su teléfono

Despliegue en el equipo

  • Equipo notificado sobre el requisito de MFA
  • Plazo establecido para la inscripción en MFA
  • Ayuda ofrecida a quien tenga dificultades
  • Cronograma de despliegue de MFA documentado

Si puede marcar al menos 8 de estos 11 elementos, continúe.

Qué sigue

Contraseñas y MFA completados. Ha eliminado el vector de ataque más común.

A continuación: passkeys y autenticación sin contraseña — eliminar las contraseñas de la ecuación por completo con autenticación criptográfica resistente al phishing.

© 2014–2025 «Passwork»
Empresa
Sobre nosotrosPolítica de privacidadCertificado ISO 27001Notas de la versiónHoja de rutaBlog
Extensión de navegador
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Aplicación móvil
App StoreGoogle Play
Para empresas
EquiposPequeñas empresasEmpresas y corporacionesEnterpriseSolución on-premiseHerramienta para compartir contraseñasGestión de secretos
Ayuda
Manual de usuarioDocumentación técnicaCentro de ayuda