La autenticación de múltiples factores (MFA) ya no es solo una recomendación de seguridad para las grandes empresas. Es una de las formas más prácticas para que las empresas reduzcan el riesgo de apropiación de cuentas y hagan que las contraseñas robadas sean menos útiles. A medida que el acceso a los sistemas empresariales se extiende por aplicaciones en la nube, equipos remotos, dispositivos compartidos y plataformas de terceros, la MFA se está convirtiendo en una herramienta más útil.

Pero durante la implementación, los gestores de TI se enfrentan al desafío de poder evaluar si la MFA es útil o eficaz. Hacer que la MFA funcione en toda la organización requiere tomar muchas decisiones: ¿Qué cuentas la necesitan primero? ¿Qué métodos de MFA se deben permitir? ¿Cómo evitar el rechazo de los empleados? ¿Cómo asegurarse de que la MFA realmente se exija y no solo se fomente?

Esta guía está escrita para ayudar a que la implementación de la MFA en su empresa sea exitosa. Explica qué es la MFA, por qué las contraseñas por sí solas ya no son suficientes, cómo se comparan los métodos comunes de MFA para el uso empresarial y cómo implementar la MFA de una manera que su equipo pueda adoptar. También muestra cómo un gestor de contraseñas empresarial con soporte integrado para 2FA puede hacer que las prácticas de autenticación más sólidas sean más fáciles de gestionar a escala.

¿Qué es la autenticación de múltiples factores?

Por qué las contraseñas por sí solas ya no son suficientes

Tipos de MFA y ventajas y desventajas para las empresas

Dónde falla la implementación de la MFA

El problema de la resistencia de los empleados

Cómo implementar la MFA en su empresa

Cómo Proton Pass for Business facilita la gestión de la MFA

¿Qué es la autenticación de múltiples factores?

La MFA es un proceso de seguridad que requiere más de un tipo de verificación de identidad para acceder a una cuenta. En lugar de depender únicamente de una contraseña tradicional, la MFA solicita un factor adicional que dificulta el acceso no autorizado.

Los tres factores de autenticación comunes son:

  • Algo que usted sabe, como una contraseña o un PIN.
  • Algo que usted tiene, como un teléfono, una app de autenticación, una clave de seguridad de hardware o un dispositivo de confianza.
  • Algo que usted es, como una huella digital o el reconocimiento facial.

En la práctica, la MFA suele significar que un empleado ingresa una contraseña y luego verifica el inicio de sesión a través de otro método, como un código de un solo uso basado en el tiempo (o TOTP), una aprobación de notificación push, una clave de acceso o una clave de hardware. El objetivo es simple: si una contraseña se roba, se adivina, se obtiene mediante suplantación o se reutiliza, el atacante de todos modos necesitará otro factor para ingresar.

Autenticación de múltiples factores en entornos empresariales

Para las empresas, implementar la MFA es una forma de fortalecer la seguridad de las cuentas con un control de acceso adicional, no solo de reemplazar las contraseñas. En los entornos empresariales, el desafío consiste en decidir dónde se necesitan más esos métodos y cómo desplegarlos de manera coherente en diferentes sistemas, roles y niveles de riesgo.

Sin embargo, no todos los métodos de MFA son igual de sólidos. Un código enviado por SMS es mejor que solo una contraseña, pero no ofrece la misma protección que una clave de seguridad de hardware o una clave de acceso bien implementada. La elección correcta depende del riesgo, la usabilidad, el acceso al dispositivo, las necesidades de cumplimiento normativo y de cuánto control de administración pueda mantener su empresa.

Por qué las contraseñas por sí solas ya no son suficientes

Las contraseñas seguras siguen siendo importantes, pero ya no son suficientes por sí solas. Los empleados gestionan más cuentas que nunca, y los atacantes saben que el acceso empresarial a menudo comienza con una sola credencial comprometida.

Una contraseña puede quedar expuesta a través de suplantación, malware(nueva ventana), vulneraciones de datos, relleno de credenciales, reutilización de contraseñas o uso compartido inseguro. Una vez que los atacantes tienen un nombre de usuario y una contraseña válidos, su actividad puede parecer un intento de inicio de sesión normal a menos que se requiera otra capa de verificación.

Es por esto que la protección contra vulneraciones de datos para empresas debe incluir controles de credenciales, seguridad de punto final y capacitación para los empleados. Una política de contraseñas sólida ayuda, pero no puede evitar que cada contraseña robada se pruebe en el correo electrónico, el almacenamiento en la nube, las herramientas financieras, los portales de administración o los sistemas de clientes.

Hay mucho dinero en juego. El Informe sobre el costo de una vulneración de datos de 2025 de IBM(nueva ventana) sitúa el costo promedio global de una vulneración de datos en 4.4 millones de dólares. La MFA no puede eliminar el riesgo de vulneraciones, pero sí reduce una de las rutas más comunes hacia los sistemas empresariales: el acceso no autorizado a través de credenciales comprometidas.

La MFA es especialmente importante para las cuentas que controlan otras cuentas. El correo electrónico, los proveedores de identidad, los gestores de contraseñas, las consolas de administración, las plataformas de desarrolladores, las herramientas de nómina y los sistemas financieros deben tratarse como de alta prioridad, ya que obtener acceso a ellos puede desbloquear otros accesos en otros lugares.

Tipos de MFA y ventajas y desventajas para las empresas

Una buena implementación de MFA comienza con la elección de los métodos adecuados. La mejor opción no siempre es la misma para todas las empresas, equipos o sistemas. Los gestores de TI, por ejemplo, deben equilibrar la solidez de la seguridad, la usabilidad de los empleados, la disponibilidad de los dispositivos, la sobrecarga administrativa y las necesidades de soporte.

Contraseñas de un solo uso por SMS

Las contraseñas de un solo uso (OTP) por SMS envían un código a un número de teléfono durante el inicio de sesión. Este es uno de los métodos de MFA más fáciles de entender para los empleados y puede ser útil cuando no se dispone de mejores opciones.

La desventaja es la seguridad. El servicio SMS puede ser vulnerable al intercambio de SIM, la interceptación, la ingeniería social y los ataques de recuperación de números de teléfono. También genera problemas operativos cuando los empleados cambian de número, viajan a nivel internacional, tienen mala recepción o usan teléfonos personales para trabajar.

Para las empresas, lo mejor es tratar las OTP por SMS como una opción alternativa en lugar de considerarlas el método de MFA de preferencia. Sigue siendo mejor que usar solo contraseñas, pero no debería ser la opción predeterminada para cuentas de alto riesgo.

Apps de autenticación y códigos TOTP

Los empleados abren una app de autenticación, como Proton Authenticator, copian el código generado para el servicio en el que están iniciando sesión y luego lo ingresan durante el inicio de sesión.

Por lo general, esto es más sólido que los SMS porque el código se genera en el dispositivo y no depende de la red móvil. También cuenta con un amplio soporte en las herramientas empresariales, lo que lo convierte en una base práctica para muchas implementaciones de MFA.

La contrapartida es la usabilidad y la recuperación. Los empleados deben configurar la aplicación correctamente, mantener el acceso a su dispositivo y comprender cómo funciona la recuperación si pierden o reemplazan el teléfono. Los equipos de TI también deben crear políticas claras para los códigos de copia de seguridad, los cambios de dispositivo y la desvinculación de empleados.

Los TOTP funcionan bien como un método general de MFA para empresas, especialmente cuando se combinan con una gestión sólida de contraseñas y procesos de administración claros.

Claves de seguridad de hardware

Las claves de seguridad de hardware, como las YubiKey, proporcionan una autenticación sólida porque el empleado debe poseer físicamente la clave para acceder a las cuentas de la empresa. Muchas claves de seguridad también protegen contra la suplantación porque verifican que el sitio web en sí sea legítimo antes de completar la autenticación.

Para roles de alto riesgo, las claves de hardware pueden ser una de las opciones de MFA más sólidas. Son especialmente útiles para administradores, ejecutivos, equipos financieros, desarrolladores y cualquier persona con acceso a sistemas confidenciales.

La desventaja es la complejidad de la implementación. Las empresas necesitan adquirir las claves, distribuirlas, capacitar a los empleados, gestionar las copias de seguridad y resolver los problemas de los dispositivos perdidos o dañados. Una estrategia de claves de hardware también requiere un proceso de recuperación que no debilite los beneficios de seguridad.

Claves de acceso

Las claves de acceso utilizan la autenticación criptográfica en lugar de una contraseña tradicional. En muchos casos, los empleados desbloquean la clave de acceso con una huella digital, reconocimiento facial, un PIN o la aprobación del dispositivo. La clave privada permanece en el dispositivo, lo que hace que las claves de acceso sean más resistentes a la suplantación que muchos métodos de autenticación anteriores.

Para las empresas, las claves de acceso pueden mejorar tanto la seguridad como la usabilidad. Reducen la dependencia de secretos compartidos y pueden agilizar el inicio de sesión para los empleados. El principal desafío es la preparación del ecosistema. Aún no todas las herramientas empresariales admiten claves de acceso, y los equipos de TI necesitan políticas para el registro de dispositivos, la recuperación, las estaciones de trabajo compartidas y la desvinculación de empleados.

Para muchas organizaciones, la solución práctica es un modelo híbrido: usar claves de acceso donde se admitan, mantener contraseñas sólidas y la MFA donde aún se requieran, y gestionar ambos aspectos mediante políticas de acceso claras.

Método de MFASolidez de la seguridadIdoneidad para empresasMejor escenario de uso
OTP por SMSBásicoFácil de adoptar, pero más débil que otros métodos de MFAOpción de respaldo cuando no se dispone de un método de MFA más sólido
Apps de autenticaciónDe moderado a fuerteOpción por defecto práctica para muchos equiposCuentas comerciales cotidianas y herramientas SaaS
Claves de seguridad de hardwareMuy fuerteIdeal para roles de alto riesgo, pero requiere la gestión de dispositivosAdministradores, ejecutivos, equipos de finanzas y sistemas confidenciales
Claves de accesoMuy fuerteSeguro y fácil de usar donde sea compatibleAplicaciones modernas, flujos de trabajo sin contraseña y acceso resistente a la suplantación de identidad

Puntos en los que falla la implementación de la MFA

La MFA aún puede fallar incluso cuando una empresa la ha implementado. De hecho, la calidad de la implementación importa tanto como el método de MFA en sí. Algunas de las razones del fallo pueden incluir:

  • Recuperación débil. Si los empleados pueden eludir la MFA mediante una recuperación de cuenta sencilla, atajos del servicio de asistencia o códigos de copia de seguridad mal protegidos, los atacantes podrían dirigirse al proceso de restablecimiento en lugar de a la pantalla de inicio de sesión.
  • Aplicación inconsistente. Es posible que la MFA esté activada para algunas herramientas pero que sea opcional para el correo electrónico, las cuentas de administrador, los sistemas financieros, las cuentas operativas compartidas o ciertos empleados. En esa situación, la MFA se convierte en una aspiración en lugar de un control, y los atacantes aún pueden buscar la ruta disponible más débil.
  • Usabilidad deficiente. Si los empleados sufren interrupciones constantes, bloqueos de acceso o no tienen claro qué deben aprobar, pueden frustrarse y ser más propensos a cometer errores. El agotamiento por notificaciones push es un ejemplo: las solicitudes de aprobación repetidas pueden acostumbrar a las personas a aceptar las solicitudes sin pensar.

Un despliegue sólido de MFA necesita aplicación, monitoreo y soporte. Debe ser fácil para los empleados hacer lo correcto y difícil dejar desprotegidas las cuentas importantes.

El problema de la resistencia de los empleados

La resistencia de los empleados es una de las mayores barreras para el despliegue de la MFA. Los empleados pueden verla como un paso adicional, un obstáculo para la productividad o una regla de seguridad más añadida sin contexto.

Esta reacción es comprensible, especialmente cuando la MFA se introduce de manera abrupta o con instrucciones poco claras. A menudo, la resistencia proviene de una mala implementación, no de la oposición a la seguridad en sí.

La solución a este problema es hacer que la MFA sea predecible y fácil de seguir. Explique a los empleados que esta protege las cuentas comerciales incluso si se roba una contraseña, comience con herramientas familiares como el correo electrónico y las plataformas comerciales compartidas, proporcione pasos de configuración claros y brinde soporte a los empleados durante los cambios de dispositivo.

Evite presentar la MFA como un castigo o una señal de desconfianza. Debe percibirse como una protección práctica para la empresa, sus clientes y las propias cuentas de trabajo de los empleados.

Una política de traer su propio dispositivo (BYOD) también ayuda. Si los empleados utilizan dispositivos personales para el trabajo, contar con reglas claras para las aplicaciones de autenticación, la seguridad de los dispositivos, el reporte de dispositivos perdidos y la revocación de acceso hace que el despliegue de la MFA sea más fluido.

Cómo desplegar la MFA en su empresa

Un despliegue exitoso de MFA es un proyecto de gestión del cambio. Los gerentes de TI deben decidir qué se protegerá primero, cómo funcionará la aplicación, cómo se manejarán las excepciones y cómo se medirá la adopción.

Paso 1: Mapee sus cuentas y niveles de riesgo

Comience con un inventario de acceso. Identifique los sistemas de los que depende su empresa y las cuentas que presentan el mayor riesgo si se ven comprometidas.

Priorice:

  • Cuentas de correo electrónico y de proveedores de identidad.
  • Cuentas de administrador y roles privilegiados.
  • Cuentas de gestores de contraseñas.
  • Herramientas de finanzas, nómina y facturación.
  • Almacenamiento en la nube e intercambio de archivos.
  • Sistemas de desarrollo, infraestructura y producción.
  • Plataformas de datos de clientes y sistemas CRM.

Esto crea una secuencia de despliegue para su empresa que se basa en el riesgo en lugar de la conveniencia.

Paso 2: Elija los métodos de MFA aprobados

Decida qué métodos de MFA permitirá su empresa. Para muchos equipos, las apps de autenticación o las claves de acceso pueden convertirse en la opción por defecto, mientras que las llaves de seguridad de hardware se reservan para roles de alto riesgo. El SMS puede seguir siendo una opción de respaldo cuando sea necesario, pero no debe ser el método de preferencia para sistemas confidenciales.

Documente la decisión claramente. Los empleados deben saber qué métodos están aprobados, cuáles se desaconsejan y qué hacer si pierden un dispositivo.

Paso 3: Realice una prueba piloto antes de aplicar la medida en todas partes

Ejecute una prueba piloto con el personal de TI, operaciones, finanzas, liderazgo u otro grupo que pueda proporcionar comentarios útiles. El objetivo es probar el proceso de configuración, la documentación de soporte, los flujos de recuperación y los ajustes de la política antes de que el despliegue llegue a toda la organización.

Una prueba piloto también ayuda a identificar dónde las solicitudes de MFA son demasiado frecuentes, dónde los empleados necesitan instrucciones más claras y qué sistemas requieren un manejo especial.

Paso 4: Aplique la MFA primero en las cuentas de alto riesgo

Recomendar su uso no es suficiente para los sistemas críticos. Una vez finalizada la prueba piloto, exija el uso de MFA para las cuentas que presenten el mayor riesgo.

Esto incluye cuentas de administrador, correo electrónico, sistemas de identidad, gestores de contraseñas y herramientas financieras. Si estas cuentas siguen siendo opcionales, los atacantes aún podrán encontrar una ruta de acceso a la empresa.

La clave es exigir su uso brindando soporte. Ofrezca a los empleados un aviso previo, guías de configuración, horarios de atención para consultas e instrucciones de recuperación. La aplicación obligatoria funciona mejor cuando las personas no se ven sorprendidas por ella.

Paso 5: Extienda la medida al resto de la organización

Después de proteger las cuentas de alto riesgo, extienda la MFA a las herramientas comerciales restantes. Esto puede realizarse por departamento, categoría de herramienta o nivel de riesgo.

Realice un seguimiento de la adopción a medida que avanza:

  • ¿Qué cuentas tienen activada la MFA?
  • ¿Qué empleados no se han registrado?
  • ¿Qué sistemas todavía permiten el acceso solo con contraseña?
  • ¿Qué excepciones están abiertas y quién es su responsable?

Un gestor de contraseñas empresarial puede apoyar este proceso al brindar a los equipos visibilidad sobre qué cuentas ya tienen activada la MFA y cuáles aún necesitan una autenticación más sólida.

Aquí es donde muchas implementaciones se estancan o fracasan. La MFA requiere una gobernanza continua después de la fecha de implementación.

Paso 6: Revise las excepciones y las rutas de recuperación

Cada excepción debe tener un responsable, un motivo y una fecha de expiración. Si no se puede activar la MFA para una herramienta, documente el motivo y decida si se necesita un control de compensación.

La recuperación también merece una revisión periódica. Los códigos de copia de seguridad, los flujos de recuperación de cuentas, las anulaciones del administrador y los restablecimientos de dispositivos pueden convertirse en puntos débiles si no se controlan. La implementación de la MFA debe hacer que la recuperación sea segura, no simplemente conveniente.

Cómo Proton Pass for Business hace que la MFA sea gestionable

La implementación de la MFA es más fácil cuando la gestión de credenciales ya está bajo control. Si las contraseñas se reutilizan, se comparten de forma informal, se almacenan en navegadores o se dispersan en hojas de cálculo, se vuelve más difícil hacer cumplir la MFA de manera coherente.

Un gestor de contraseñas empresarial como Proton Pass for Business ayuda al hacer más que solo fortalecer la capa de contraseñas. También puede respaldar el segundo factor directamente. El soporte integrado de 2FA permite que los equipos almacenen códigos TOTP de forma segura y utilicen el propio gestor de contraseñas como el dispositivo de MFA, lo que facilita la adopción de una autenticación más sólida y simplifica el uso compartido de forma segura cuando corresponda. Los empleados pueden generar contraseñas seguras y únicas, almacenarlas en bóvedas cifradas, usar el completado automático en los inicios de sesión, utilizar el soporte de 2FA integrado para códigos TOTP y gestionar claves de acceso donde sean compatibles.

Esto también mejora la visibilidad. Los administradores necesitan saber no solo si los empleados tienen contraseñas seguras, sino también qué cuentas ya tienen activada la 2FA y cuáles todavía dependen del acceso solo con contraseña. Proton Pass puede ayudar a los administradores de TI a identificar esa información, lo que facilita el seguimiento de la adopción de la MFA en toda la organización.

Las claves de acceso también son un factor clave a considerar. A medida que las empresas avanzan hacia una autenticación más sólida y resistente a la suplantación de identidad, un gestor de contraseñas compatible con claves de acceso como Proton Pass ayuda a los equipos a gestionar tanto los flujos de MFA tradicionales como los nuevos métodos sin contraseña en un solo lugar. Esto hace que la implementación sea más práctica en entornos mixtos donde algunos sistemas todavía utilizan contraseñas y TOTP, mientras que otros ya están listos para usar claves de acceso.

Para los equipos de TI, Proton Pass for Business admite la gestión centralizada, las políticas, el uso compartido seguro y la visibilidad a través de informes y registros. Esto hace que la MFA sea más viable desde el punto de vista operativo, ya que los equipos pueden reducir la proliferación de contraseñas y, al mismo tiempo, facilitar el despliegue y la gobernanza de una autenticación más sólida en toda la organización.

Un gestor de contraseñas empresarial no reemplaza la MFA. Hace que la MFA sea mucho más fácil de implementar porque refuerza el primer factor, respalda el segundo y le ofrece a la empresa una ruta más fácil de gestionar hacia una autenticación más sólida en general.