La cerradura con dos llaves
Imaginate que la puerta de tu oficina se abre con una llave comun. Si alguien copia esa llave (o la encuentra tirada en un bar), entra sin problema. Ahora imaginate que ademas de la llave, la cerradura pide un codigo que cambia cada 30 segundos y que solo vos tenes en el celular. Eso es MFA: una segunda barrera que convierte una llave robada en algo inutil.
MFA significa Multi-Factor Authentication, o autenticacion multifactor. En la practica, la mayoria de la gente la conoce como "verificacion en dos pasos" o 2FA. La idea es simple: para entrar a una cuenta, ademas de la contrasena (algo que sabes), necesitas demostrar tu identidad con un segundo factor independiente.
No es tecnologia nueva. Los cajeros automaticos la usan desde los anos 80: necesitas la tarjeta (algo que tenes) y el PIN (algo que sabes). Lo que cambio es que ahora podemos aplicar el mismo principio a cualquier cuenta digital, y hacerlo gratis.
Los tres factores: saber, tener, ser
La teoria de autenticacion divide los factores en tres categorias. Para que sea MFA real, necesitas al menos dos de categorias diferentes.
Contrasena, PIN, pregunta secreta. Lo mas facil de robar.
Celular, token fisico, tarjeta. Requiere acceso al objeto.
Huella digital, cara, iris. Unico e intransferible.
Algo que sabes: la contrasena clasica. Es el factor mas debil porque puede ser adivinado, robado por phishing, extraido de una base de datos filtrada o simplemente observado por alguien mirando tu pantalla. Sin embargo, sigue siendo la base de casi todos los sistemas de autenticacion.
Algo que tenes: un dispositivo fisico en tu posesion. El mas comun hoy es el celular, que genera codigos temporales o recibe notificaciones push. Tambien existen llaves de seguridad USB como YubiKey. Para robar este factor, el atacante necesita acceso fisico a tu dispositivo, lo cual es exponencialmente mas dificil que robar una contrasena.
Algo que sos: biometria. La huella digital, el reconocimiento facial o el escaneo de iris. Es el factor mas dificil de falsificar (aunque no imposible), pero plantea un problema unico: si se compromete, no podes "cambiar" tu huella como cambias una contrasena.
Por que las contrasenas solas ya no alcanzan
El problema con depender exclusivamente de contrasenas es matematico. Hay mas de 15 mil millones de credenciales filtradas circulando en la dark web. Bases de datos de brechas como las de LinkedIn (2012, 117 millones), Adobe (2013, 153 millones) y Collection #1 (2019, 773 millones) alimentan un ecosistema de ataques automatizados.
Credential stuffing es la tecnica: bots prueban combinaciones de email y contrasena filtradas contra cientos de servicios. Si usas la misma contrasena para el email personal y para el sistema de gestion de tu empresa (y seamos honestos, muchos lo hacen), basta que uno de esos servicios sea vulnerado para que todos queden expuestos.
Segun un estudio de Microsoft publicado en 2024, el 99.9% de las cuentas comprometidas no tenian MFA habilitado. Esto significa que MFA hubiera prevenido practicamente todos esos ataques. No algunos. Casi todos.
La ecuacion es clara: con MFA, el atacante necesita tu contrasena Y tu celular. Conseguir ambos simultaneamente es posible pero tan dificil que la mayoria de los atacantes simplemente pasan al siguiente objetivo que no tenga MFA.
Opciones de MFA comparadas: de gratis a enterprise
No todos los segundos factores son iguales. La diferencia entre SMS y una llave de hardware es como la diferencia entre una reja y una puerta blindada: ambas frenan al ladron casual, pero contra un atacante determinado, una es claramente superior.
Metodos MFA: seguridad vs practicidad
| Metodo | Seguridad | Costo | Practicidad |
|---|---|---|---|
| SMS / llamada | Baja | Gratis | Alta (todos tienen celular) |
| App autenticadora | Alta | Gratis | Alta (Google/Microsoft Auth) |
| Notificacion push | Alta | Gratis - USD 3/user/mes | Muy alta (un toque) |
| Llave USB (YubiKey) | Muy alta | USD 25 - 70 por llave | Media (hay que llevarla) |
| Biometria | Alta | Incluida en dispositivos | Muy alta (huella/cara) |
SMS: mejor que nada, pero el eslabon debil
El SMS fue el primer metodo masivo de 2FA y todavia es el mas usado. Pero tiene una vulnerabilidad critica: el SIM swapping. Un atacante llama a tu operador de telefonia, se hace pasar por vos, y transfiere tu numero a su SIM. A partir de ahi, recibe todos tus codigos SMS. En Argentina, donde los controles de identidad de las telefonicas son historicamente laxos, esto es un riesgo real.
Ademas, los SMS viajan sin cifrar por la red celular y pueden ser interceptados con equipamiento relativamente accesible. Si tu unica opcion es SMS, usalo (es infinitamente mejor que no tener MFA). Pero si podes elegir, hay opciones superiores.
Apps autenticadoras: el punto dulce
Google Authenticator, Microsoft Authenticator y Authy generan codigos TOTP (Time-based One-Time Password) que cambian cada 30 segundos. El codigo se genera localmente en tu celular sin necesidad de conexion a internet ni senal de telefonia. No se puede interceptar porque nunca viaja por la red.
Son gratuitas, funcionan con la mayoria de los servicios y ofrecen un nivel de seguridad excelente para el uso empresarial. Authy tiene la ventaja adicional de respaldar los codigos en la nube (cifrados), lo cual es util si perdes el celular.
Llaves de seguridad USB: el estandar de oro
Las llaves fisicas como YubiKey o Google Titan usan el protocolo FIDO2/WebAuthn. Son inmunes al phishing porque validan el dominio del sitio criptograficamente: si un atacante te manda a un sitio falso que imita a tu banco, la llave simplemente no funciona. Ni siquiera un usuario distraido puede caer.
El costo va de USD 25 (YubiKey Security Key) a USD 70 (YubiKey 5 NFC). Para un equipo de 10 personas, la inversion es de USD 250 a USD 700, una fraccion minima comparada con el costo de una brecha. El unico inconveniente es que hay que llevarla encima, y necesitas una de respaldo por si la perdes.
Donde activar MFA primero
Si vas a implementar MFA, no intentes cubrir todo el primer dia. Priorizá por impacto. Estos son los servicios donde MFA es critico, en orden de urgencia:
- Email corporativo: es la llave maestra. Con acceso a tu email, un atacante puede resetear contrasenas de todos los demas servicios. Gmail y Outlook ofrecen MFA gratuito.
- Homebanking y plataformas financieras: la mayoria de los bancos argentinos ya ofrecen (o exigen) 2FA. Verificá que esté activo para todos los usuarios autorizados, no solo el titular.
- ARCA (ex AFIP): el acceso a tu cuenta tributaria permite ver (y en algunos casos modificar) informacion fiscal critica. ARCA permite autenticacion con CUIT + clave fiscal nivel 3 o superior.
- Hosting y dominios: si alguien accede a tu panel de hosting, puede redirigir tu sitio web, interceptar emails o directamente borrar todo. Activá MFA en el registrador de dominios y en el panel de hosting.
- Servicios cloud y herramientas de trabajo: Google Workspace, Microsoft 365, Dropbox, sistemas de gestion. Cualquier plataforma que contenga datos de clientes o informacion sensible.
Como implementar MFA en un equipo sin que se rebelen
La resistencia al cambio es el mayor obstaculo. "Es muy complicado", "me tardo mas en entrar", "y si pierdo el celular?" son quejas legitimas. La clave es implementar gradualmente y con soporte.
Semana 1: preparacion
Explicá al equipo por que se hace. No con un mail generico: con un ejemplo concreto. "El mes pasado, el estudio contable de la esquina perdio acceso a todo su sistema porque un empleado cayo en un phishing. Le pidieron USD 15.000 de rescate." Cuando el riesgo es tangible, la resistencia baja.
Semana 2: piloto con liderazgo
Implementá MFA primero en las cuentas del dueno/gerente y del responsable de IT. Dejá que ellos experimenten las fricciones antes de pedirle lo mismo al equipo. Esto tambien da autoridad moral: "yo ya lo hice y funciona".
Semana 3: roll-out con soporte
Activá MFA para todo el equipo en un dia especifico. Tené a alguien disponible (puede ser vos mismo) para ayudar con la configuracion en el momento. Imprimí un instructivo de una pagina con capturas de pantalla. La mayoria de las personas necesitan menos de 5 minutos para configurar Google Authenticator.
Semana 4: codigos de respaldo
Asegurate de que todos tengan guardados sus codigos de recuperacion. La mayoria de los servicios generan 8-10 codigos de respaldo de uso unico. Deben estar impresos (no en el celular) y guardados en un lugar seguro. Esto resuelve el miedo a "y si pierdo el celular".
Costo real: menos de lo que pensas
Para una PyME de 15 personas, el costo de implementar MFA es efectivamente cero si usas apps autenticadoras. Google Authenticator es gratuito, funciona offline y no requiere licencia ni suscripcion.
Si queres subir el nivel con llaves YubiKey para los perfiles criticos (dueno, contador, administrador de sistemas), la inversion es de USD 75-210 (3 llaves, mas una de respaldo). Comparado con el costo promedio de una brecha (USD 120.000+), la relacion costo-beneficio es absurda.
Para empresas que necesitan gestion centralizada (forzar MFA en todos los usuarios, ver quien la tiene activa, revocar accesos), las plataformas de seguridad automatizada ofrecen dashboards que permiten monitorear el estado de MFA de toda la organizacion, integrandolo con una estrategia de ciberseguridad mas amplia.
"MFA no es perfecto. Pero convierte un ataque automatizado de 3 segundos en una operacion que requiere acceso fisico a un dispositivo. Y eso cambia completamente la economia del atacante."
Errores comunes al implementar MFA
- Activar MFA solo en algunos servicios: si proteges el email pero no el sistema de gestion que usa la misma contrasena, el atacante entra por el eslabon debil.
- No guardar codigos de respaldo: cuando alguien pierde el celular sin tener respaldo, pierde acceso a todas sus cuentas. Eso genera una crisis interna que deslegitima todo el proceso.
- Usar SMS como unico segundo factor: es mejor que nada, pero si podes usar una app autenticadora, hacelo. La migracion es trivial.
- No incluir cuentas personales del equipo: si un empleado usa su Gmail personal para recibir notificaciones del trabajo y ese Gmail no tiene MFA, tenés un agujero.
- Desactivar MFA porque "es molesto": la molestia de tipear 6 digitos es inconmensurablemente menor que la molestia de explicarle a 200 clientes que sus datos fueron robados.
Conclusion: la medida que mas protege por peso invertido
Si tuvieras que hacer una sola cosa para proteger tu empresa, activar MFA en todas las cuentas criticas seria esa cosa. Es gratuita, se implementa en semanas, y bloquea la inmensa mayoria de los ataques basados en credenciales robadas.
No es una solucion magica. No reemplaza tener buenas contrasenas, backups, ni un plan de ciberseguridad integral. Pero es el primer ladrillo, el mas importante y el mas facil de poner.
Hoy. No manana. Hoy.