MFA-Bypass 2026: Por qué su segundo factor ya no lo protege

7 min de lectura

El 59 por ciento de las cuentas corporativas comprometidas exitosamente tenían activada la autenticación multifactor (MFA). La razón: los ataques Adversary-in-the-Middle (AiTM) y el robo de tokens hacen que el segundo factor sea ineficaz. Microsoft detecta diariamente 40.000 incidentes AiTM. La MFA basada en SMS ya es considerada insegura por el BSI y el CISA. La solución son métodos de autenticación resistentes al phishing, como FIDO2, Passkeys y claves de seguridad hardware.

En resumen

• 🔒 El 59 por ciento de las cuentas comprometidas tenían activada la MFA (Proofpoint 2026).
• ⚠️ Los ataques AiTM aumentaron un 146 por ciento en 2025. Microsoft detecta 40.000 incidentes diarios.
• 🛡️ La MFA basada en SMS es considerada insegura por el BSI y el CISA. El SIM-Swapping y los exploits SS7 permiten interceptar códigos.
• 📊 El robo de tokens se convirtió en 2025 en el método de ataque principal contra Microsoft 365 (31 por ciento de todas las violaciones, Microsoft).
• 🔧 Las claves de seguridad FIDO2 y los Passkeys están vinculados criptográficamente al dominio y son inmunes al phishing y al robo de tokens.

Cómo los ataques AiTM eluden la MFA

Los ataques Adversary-in-the-Middle funcionan como un proxy invisible entre el usuario y el servidor de autenticación. El atacante redirige la página de inicio de sesión en tiempo real a través de su servidor. El usuario introduce sus credenciales y el código MFA, y el atacante intercepta ambos datos, obteniendo así el token de sesión. Desde el punto de vista del servidor, el inicio de sesión fue legítimo.

Herramientas como EvilGinx2 y Modlishka han automatizado estos ataques. Un atacante ya no necesita conocimientos técnicos profundos. Compra un kit de phishing por unos pocos cientos de dólares, registra un dominio engañosamente similar y espera a sus víctimas. Los tokens de sesión robados son utilizables inmediatamente, y suelen ser válidos durante horas o incluso días.

Los ataques basados en identidad aprovechan precisamente este vector. Según Microsoft, los ataques mediante robo de tokens fueron responsables del 31 por ciento de todas las violaciones en entornos Microsoft 365 en 2025. La tendencia es al alza, ya que cada vez más empresas activan la MFA y los atacantes se adaptan.

«Los ataques basados en tokens eluden completamente la MFA, porque no atacan la autenticación, sino la sesión posterior. El atacante toma el control de una sesión ya autenticada.»
Obsidian Security, Investigación sobre ataques basados en tokens 2025

Por qué la MFA por SMS ya no es suficiente

El SMS como segundo factor tiene tres debilidades fundamentales. Primero: el SIM-Swapping. Un atacante convence al operador de telefonía móvil para que transfiera el número de teléfono a una nueva tarjeta SIM. Segundo: vulnerabilidades SS7. El protocolo de señalización de las redes móviles permite interceptar SMS bajo ciertas condiciones. Tercero: los proxies AiTM interceptan el código SMS en tiempo real, antes de que el usuario pueda introducirlo.

El BSI recomienda explícitamente desde 2024 el cambio a métodos de autenticación resistentes al phishing. La CISA (equivalente estadounidense del BSI) también clasifica la MFA por SMS como «no resistente al phishing» y recomienda soluciones basadas en FIDO2.

Alternativas resistentes al phishing en comparación

Claves de seguridad FIDO2/WebAuthn (por ejemplo, YubiKey, Google Titan): la opción más segura. La clave está vinculada criptográficamente al dominio. Aunque el usuario caiga en una página de phishing, la clave no podrá autenticar en el dominio falso. Desventaja: coste (a partir de 25 euros por clave) y logística en equipos grandes.

Passkeys (FIDO2 en el dispositivo): el smartphone o portátil sustituye a la clave hardware. La autenticación biométrica (huella dactilar, Face ID) reemplaza al PIN. Vinculación al dominio igual que con las claves hardware. Ventaja: no se requiere hardware adicional. Desventaja: dependencia del fabricante del dispositivo (Apple, Google, Microsoft).

Aplicaciones autenticadoras con Number Matching (por ejemplo, Microsoft Authenticator): no ofrecen protección total contra el phishing, pero son mucho mejores que el SMS. El Number Matching obliga al usuario a introducir un número mostrado en pantalla dentro de la aplicación. Esto dificulta los ataques AiTM, aunque no los elimina por completo.

Autenticación basada en certificados: certificados cliente en dispositivos gestionados. Muy segura, pero compleja de gestionar. Apropiada para entornos altamente sensibles, como operadores de infraestructuras críticas (KRITIS) y administraciones públicas.

Lista de verificación práctica: implementar MFA resistente al phishing

1. Inventario actual: ¿Qué métodos MFA están actualmente en uso? ¿Cuántos usuarios aún utilizan MFA por SMS o por voz? Microsoft Entra ID y Google Workspace ofrecen informes al respecto.

2. Definir grupo piloto: primero, administradores de TI y directivos. Estas cuentas son los objetivos más valiosos y deben migrarse en primer lugar a FIDO2 o Passkeys.

3. Configurar el acceso condicional: en Microsoft Entra ID se pueden configurar políticas de acceso condicional que exijan MFA resistente al phishing para ciertos recursos (Authentication Strength: Phishing-resistant MFA).

4. Planificar opciones de respaldo: ¿qué ocurre si se pierde una clave? Registrar al menos dos claves de seguridad por usuario. Configurar accesos temporales (TAP) como opción de emergencia.

5. Desactivar gradualmente la MFA por SMS: no desactivarla de inmediato, sino bloquearla mediante políticas para nuevos registros y migrar a los usuarios existentes con una fecha límite. Microsoft ofrece informes específicos para ello: «Authentication Methods Migration».

Preguntas frecuentes

¿Es suficiente una aplicación autenticadora como MFA?

Las aplicaciones autenticadoras con Number Matching son considerablemente más seguras que el SMS, pero no son completamente resistentes al phishing. Los ataques AiTM pueden interceptar la entrada en tiempo real. Para cuentas de alto riesgo (administradores, directivos, acceso a datos sensibles), el BSI y la CISA recomiendan soluciones basadas en FIDO2.

¿Cuánto cuesta migrar a claves de seguridad FIDO2?

Las claves hardware como YubiKey cuestan a partir de 25 euros cada una. Con dos claves por usuario (principal y de respaldo), los costes para una empresa de 100 personas rondan los 5.000 euros. La configuración está soportada de forma nativa en Microsoft Entra ID y Google Workspace, sin necesidad de infraestructura adicional.

¿Pueden los Passkeys sustituir a las claves hardware?

Para la mayoría de las empresas, sí. Los Passkeys ofrecen el mismo nivel de seguridad criptográfica que las claves FIDO2, pero utilizan el dispositivo existente (smartphone, portátil) en lugar de hardware separado. El compromiso: los Passkeys están vinculados al dispositivo y a su ecosistema (Apple, Google, Microsoft). En caso de pérdida del dispositivo, debe activarse un proceso de recuperación.

¿Qué es el acceso condicional y por qué es crucial para la seguridad de la MFA?

El acceso condicional es un marco de políticas en Microsoft Entra ID (y sistemas similares) que aplica reglas de acceso según el contexto. Permite a una empresa establecer que los administradores deban usar FIDO2, que los accesos externos requieran un dispositivo gestionado, o que las sesiones de token expiren tras 4 horas. Sin acceso condicional, la MFA sigue siendo solo una casilla marcada, no una estrategia.

¿Cómo detecto ataques AiTM en mi empresa?

Microsoft Entra ID muestra los inicios de sesión sospechosos de AiTM en «Inicios de sesión arriesgados», con el tipo de detalle de riesgo «Token anómalo». Además, ayudan las alertas de «impossible travel» (inicio de sesión desde dos países en un intervalo de tiempo imposible) y el uso de tokens de sesión desde direcciones IP desconocidas.

Fuente de imagen: Pexels / Sora Shimazaki

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow