MFA-Bypass 2026: Por qué su segundo factor ya no lo protege
El 59 por ciento de las cuentas empresariales exitosamente comprometidas tenían la autenticación multifactor (MFA) habilitada. El motivo: los ataques de Adversary-in-the-Middle (AiTM) y el robo de tokens de sesión hacen que el segundo factor sea ineficaz. Microsoft registra diariamente 40,000 casos de AiTM. La MFA basada en SMS se considera insegura por parte de la BSI y la CISA. La solución se llama autenticación resistente a phishing con FIDO2, Passkeys y claves de seguridad de hardware.
Lo más importante en resumen
- 🔒 El 59 por ciento de las cuentas comprometidas tenían MFA habilitada (Proofpoint 2026).
- ⚠️ Los ataques AiTM aumentaron un 146 por ciento en 2025. Microsoft registra diariamente 40,000 casos.
- 🛡️ La MFA basada en SMS se considera insegura por parte de la BSI y la CISA. SIM-swapping y los exploits de SS7 permiten capturar los codigos.
- 📊 El robo de tokens se convirtió en la principal técnica de ataque contra Microsoft 365 en 2025 (31 por ciento de todas las violaciones, Microsoft).
- 🔧 Las claves de seguridad FIDO2 y Passkeys están criptográficamente vinculadas a la dominio y son inmunes a phishing y robo de tokens.
¿Cómo los ataques AiTM desactivan la MFA?
Los ataques de Adversary-in-the-Middle funcionan como un proxy invisible entre el usuario y el servidor de autenticación. El atacante reenvía la página de inicio de sesión en tiempo real a través de su servidor. El usuario introduce sus credenciales y el código de MFA, el atacante captura ambos y obtiene el token de sesión. Desde la perspectiva del servidor, el inicio de sesión parecía legítimo.
Los marcos como EvilGinx2 y Modlishka han automatizado estos ataques. Un atacante no necesita tener una alta habilidad técnica. Puede comprar un kit de phishing por unos cientos de dólares, registrar una dirección web similar y esperar a los víctimas. Los tokens robados se pueden usar inmediatamente, a menudo durante horas o días.
Los ataques basados en identidad utilizan exactamente este vector. Según Microsoft, los ataques de robo de tokens fueron responsables de 31 por ciento de todas las violaciones en entornos de Microsoft 365 en 2025. La tendencia está aumentando, ya que más y más empresas han habilitado la MFA y los atacantes se han adaptado.
«Los ataques basados en tokens superan completamente la MFA, ya que no atacan la autenticación, sino la sesión posterior. El atacante asume una sesión ya autenticada.»
Obsidian Security, Investigación de Ataques Basados en Tokens 2025
¿Por qué la MFA basada en SMS ya no es suficiente?
SMS como segundo factor tiene tres debilidades fundamentales. Primero: SIM-swapping. Un atacante convence al proveedor de telefonía móvil para transferir el número de teléfono a una nueva tarjeta SIM. Segundo: las vulnerabilidades de SS7. El protocolo de señalización de los sistemas de telefonía móvil permite capturar SMS en ciertas circunstancias. Tercero: los proxys AiTM capturan el código de SMS en tiempo real, antes de que el usuario pueda ingresarlo.
La BSI recomienda desde 2024 explícitamente cambiar a métodos de autenticación resistentes a phishing. La CISA (su contraparte en EE. UU.) también clasifica la MFA basada en SMS como «no resistente a phishing» y recomienda soluciones basadas en FIDO2.
Alternativas resistentes a phishing en comparación
Claves de seguridad FIDO2/WebAuthn (por ejemplo, YubiKey, Google Titan): La opción más segura. La clave está criptográficamente vinculada a la dominación. Incluso si un usuario cae en una página de phishing, la clave no puede autenticarse para la dominación equivocada. Desventaja: Costos (desde 25 euros por clave) y logística en equipos grandes.
Passkeys (FIDO2 en el dispositivo): Reemplazan a los dispositivos de hardware de clave. Autenticación biométrica (impresión digital, Face ID) reemplaza al PIN. Vinculación de dominación como en las claves de hardware. Ventaja: No hay hardware adicional. Desventaja: Dependencia del fabricante del dispositivo (Apple, Google, Microsoft).
Aplicaciones de autenticador con Number Matching (por ejemplo, Microsoft Authenticator): No proporciona un protección completa contra phishing, pero es significativamente más seguro que SMS. Number Matching obliga al usuario a ingresar una cifra desde la pantalla en la aplicación. Ataques AiTM se vuelven más difíciles, pero no imposibles.
Autenticación basada en certificados: Certificados de cliente en dispositivos administrados. Muy seguro, pero complejo en la administración. útil para entornos de alta sensibilidad como operadores KRITIS y autoridades.
Lista de control práctica: Introducción de MFA resistente a phishing
1. Evaluación de la situación: ¿Qué métodos de MFA están en uso actualmente? ¿Cuántos usuarios aún usan SMS o MFA de voz? Microsoft Entra ID y Google Workspace ofrecen informes sobre esto.
2. Definir grupo piloto: Administradores de TI y líderes de primera. Estas cuentas son objetivos más valiosos y deben ser las primeras a ser cambiadas a FIDO2 o Passkeys.
3. Configurar Accesso Condicional: En Microsoft Entra ID se pueden configurar políticas de Accesso Condicional para requerir MFA resistente a phishing para recursos específicos (Fuerza de autenticación: MFA resistente a phishing).
4. Planificar opciones de respaldo: ¿Qué pasa si una clave se pierde? Al menos dos claves de seguridad por usuario registradas. Configurar acceso temporal (TAP) como opción de emergencia.
5. Desactivar gradualmente MFA de SMS: No desactivar inmediatamente, sino bloquear por política para nuevas registraciones y migrar a los usuarios existentes con un plazo de finalización. Microsoft ofrece informes sobre «Migración de métodos de autenticación».
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Una aplicación de autenticador es suficiente para MFA?
Aplicaciones de autenticador con Number Matching son significativamente más seguras que SMS, pero no son completamente resistentes a phishing. Ataques AiTM pueden capturar la entrada en tiempo real. Para cuentas de alto riesgo (administradores, líderes, acceso a datos sensibles) BSI y CISA recomiendan soluciones basadas en FIDO2.
¿Cuánto cuesta la transición a claves de seguridad FIDO2?
Claves de hardware como YubiKey cuestan desde 25 euros por unidad. Para un negocio de 100 personas con dos claves por usuario (clave principal y de respaldo), los costos están en torno a 5.000 euros. La configuración está soportada nativamente en Microsoft Entra ID y Google Workspace y no requiere infraestructura adicional.
¿Pueden Passkeys reemplazar a las claves de hardware?
Para la mayoría de los negocios, sí. Passkeys proporcionan la misma seguridad criptográfica que las claves FIDO2, pero utilizan el dispositivo existente (smartphone, laptop) en lugar de hardware separado. El compromiso: Passkeys están vinculados al dispositivo y su ecosistema (Apple, Google, Microsoft). En caso de pérdida del dispositivo, se requiere un proceso de recuperación.
¿Qué es Accesso Condicional y por qué es esencial para la seguridad de MFA?
Accesso Condicional es un marco de políticas en Microsoft Entra ID (y sistemas similares) que aplica reglas de acceso contextualmente. Esto permite a un negocio establecer: administradores deben usar FIDO2, acceso externo requiere un dispositivo administrado, las sesiones de tokens se finalizan después de 4 horas. Sin Accesso Condicional, MFA solo es una medida de seguridad y no una estrategia integral.
¿Cómo puedo detectar ataques AiTM en mi empresa?
Microsoft Entra ID muestra las iniciaciones de sesión sospechosas de AiTM bajo «Iniciaciones de sesión peligrosas» con el tipo de detalles de riesgo «Fuente de token anómala». Además, las alertas de impossible-travel (inicio de sesión desde dos países en un período de tiempo imposible) y el uso de tokens de sesión desde direcciones IP desconocidas pueden ser útiles.
Consejos de lectura de la redacción
Más del MBF Media Network
Fuente de la imagen del título: Pexels / Sora Shimazaki
Lectura adicional
LegacyHive PoC afecta parches recientes de Windows
PoC público de escalada de privilegios en Windows LegacyHive tras el Patch Tuesday. Detección en carga de Hive y servicio de perfil de usuario, …
Dos vulnerabilidades de Joomla en la lista KEV de CISA
CISA incluye CVE-2026-48939 (iCagenda) y CVE-2026-56291 (Balbooa Forms) en KEV. Puntuación CVSS de hasta 10.0, explotación activa y verificación de IoC.
Vulnerabilidad de BitLocker ante acceso físico en 2026
CVE-2026-50661 elude BitLocker con acceso físico. CVSS 6.1, parche de julio, lista de verificación para portátiles y procesos de dispositivos perdidos.