MFA Adaptativo 2026: Cómo la autenticación basada en riesgo reemplaza al MFA estándar
5 min. de lectura
El 79 por ciento de las víctimas de Business Email Compromise tenían el MFA correctamente implementado y aun así fueron hackeadas. El motivo: el MFA estándar es una barrera puntual que pierde su valor en cuanto se roban los tokens. El MFA adaptativo evalúa cada intento de inicio de sesión en tiempo real y ajusta el nivel de seguridad al riesgo actual. NIS2 exige exactamente eso: «continuous authentication solutions». Lo que hay detrás y cómo lo implementan los grandes proveedores.
Lo esencial en resumen
- Microsoft bloquea 600 millones de ataques de identidad al día, más del 99 por ciento de ellos basados en contraseñas. Solo el 41 por ciento de los usuarios empresariales de Entra están protegidos con MFA (Microsoft Digital Defense Report 2024).
- El 79 por ciento de las víctimas de BEC analizadas tenían el MFA activo, pero fueron comprometidas mediante robo de tokens (AiTM). El MFA estándar ya no es suficiente (FRSecure Incident Response Report).
- NIS2 Art. 21(2)(j) menciona explícitamente «continuous authentication solutions», la base normativa para el MFA adaptativo más allá del MFA estándar.
- Microsoft Entra procesa 40 TB de señales de identidad al día para tomar decisiones de acceso basadas en riesgo (Microsoft Learn).
- Gartner pronostica que para 2027 más del 90 por ciento de las transacciones MFA se basarán en protocolos FIDO (passkeys) (Gartner Market Guide 2025).
En qué se diferencia el MFA adaptativo del MFA estándar
El MFA estándar solicita el mismo segundo factor en cada inicio de sesión, independientemente de si el usuario accede desde su PC habitual de oficina o desde una IP desconocida en otro país. El MFA adaptativo, en cambio, evalúa cada intento de autenticación en tiempo real mediante señales contextuales y ajusta el nivel de seguridad de forma dinámica.
Las señales que analiza el sistema: tipo y estado del dispositivo, ubicación y reputación de la IP, hora del día, comportamiento del usuario, contexto de red. A partir de estos datos, un modelo de machine learning calcula una puntuación de riesgo que activa tres niveles de respuesta:
| Nivel de riesgo | Señales típicas | Respuesta |
|---|---|---|
| Bajo | Dispositivo conocido, ubicación habitual, hora normal | Basta con contraseña o passkey |
| Medio | Dispositivo nuevo, hora inusual, red distinta | Step-up a OTP, push o biometría |
| Alto | Impossible Travel, IP comprometida, anomalía de inicio de sesión | Bloqueo o token de hardware FIDO2 |
La diferencia clave: el MFA estándar es una barrera puntual. Una vez superada (por ejemplo, mediante robo de tokens AiTM), el atacante tiene acceso libre hasta que expire la sesión. El MFA adaptativo con Continuous Access Evaluation puede revocar tokens en tiempo real si el perfil de riesgo cambia.
Microsoft Entra Conditional Access: el estándar del mercado
Conditional Access de Microsoft es la implementación de MFA adaptativo más extendida en el segmento empresarial. El motor de políticas de Entra ID (antes Azure AD) procesa, según Microsoft, más de 40 TB de señales de identidad al día.
El sistema calcula dos puntuaciones de riesgo separadas: el User Risk (probabilidad de que la cuenta esté comprometida) y el Sign-in Risk (probabilidad de que un inicio de sesión concreto no esté autorizado). Ambas puntuaciones influyen en la decisión de acceso.
Configuraciones de políticas habituales en la práctica:
- Sign-in Risk «Medio» o «Alto»: forzar MFA aunque el dispositivo sea conocido
- Dispositivo no conforme: bloquear el acceso completamente, independientemente del riesgo del usuario
- Ubicación de confianza + dispositivo administrado: no se requiere MFA, la combinación de red y estado del dispositivo es suficiente como ancla de confianza
Okta, Auth0 y Cisco Duo: las alternativas
Okta Adaptive MFA (desde 6 USD por usuario/mes) analiza dispositivos, red, ubicación y comportamiento del usuario. El motor interno ThreatInsight evalúa datos de millones de autenticaciones para detectar patrones de ataque. Desde el cuarto trimestre de 2024 cuenta además con Identity Secure Posture Management, que puede forzar el MFA automáticamente para roles críticos.
Auth0 (parte de Okta desde 2021, para escenarios de identidad de cliente) trabaja con tres señales de riesgo definidas: NewDevice (inicio de sesión desde un dispositivo desconocido en los últimos 30 días), ImpossibleTravel (patrones de inicio de sesión geográficamente imposibles) y UntrustedIP (IP sospechosa de la base de datos de inteligencia de amenazas). Solo disponible en el plan Enterprise.
Cisco Duo (en Duo Premier y Advantage) ofrece Risk-Based Factor Selection y Risk-Based Remembered Devices. Característica destacada: fingerprinting de Wi-Fi a través de la aplicación Duo Desktop como señal de ubicación adicional. Duo detecta además los ataques Push Harassment y Push Spray como señales de riesgo independientes.
«En 65 incidentes de BEC analizados, el 79 por ciento de las víctimas tenían el MFA correctamente implementado y aun así fueron comprometidas porque se robaron los tokens de sesión.»
– FRSecure Incident Response Report, 2025
NIS2 exige «continuous authentication»: qué significa en la práctica
NIS2 artículo 21(2)(j) indica literalmente: «the use of multi-factor authentication or continuous authentication solutions». Esto va más allá de una recomendación. Para las aproximadamente 29.500 empresas afectadas en Alemania significa: el MFA estándar cumple el requisito mínimo, pero el MFA adaptativo con Continuous Evaluation responde al espíritu de la ley.
La ENISA (agencia europea de ciberseguridad) concreta: el MFA es obligatorio para cuentas privilegiadas, administración de sistemas y acceso a redes y sistemas de información. La responsabilidad personal de la dirección convierte este asunto en una prioridad ejecutiva.
Por qué el MFA estándar falla ante los ataques AiTM
Los ataques Adversary-in-the-Middle (AiTM) interponen un proxy entre el usuario y la página de inicio de sesión. El usuario se autentica correctamente, incluyendo el MFA. El proxy intercepta el token de sesión resultante. A partir de ese momento, el atacante tiene una sesión válida y autenticada.
Microsoft registró 147.000 ataques de replay de tokens en un año, un aumento del 111 por ciento. El problema: el MFA estándar es una barrera de un solo uso. Tras una autenticación exitosa no hay ninguna verificación adicional hasta que expire la sesión.
El MFA adaptativo con Continuous Access Evaluation (CAE) rompe este patrón. El sistema comprueba de forma continua si la sesión sigue cumpliendo los parámetros de riesgo originales. Si cambia la ubicación, el dispositivo o el patrón de comportamiento, la sesión se invalida de inmediato, no horas o días después.
El MFA resistente al phishing (FIDO2/passkeys) va un paso más allá: las credenciales están vinculadas al dominio. Un proxy no puede reenviarlas porque el handshake criptográfico solo funciona con el dominio real. Los ataques AiTM se vuelven estructuralmente imposibles.
Comparativa de proveedores: qué pueden hacer las grandes plataformas
| Función | Entra ID | Okta | Duo |
|---|---|---|---|
| Políticas basadas en riesgo | Sí (User + Sign-in Risk) | Sí (ThreatInsight) | Sí (Risk-Based Factor) |
| Impossible Travel | Sí | Sí | Sí |
| Continuous Access Eval. | Sí (CAE) | Parcialmente | No |
| FIDO2/Passkeys | Sí | Sí | Sí |
| Device Posture Check | Integración Intune | Real-time Posture | Duo Desktop Agent |
Lista de verificación práctica: cómo implantar el MFA adaptativo
- Inventario: ¿qué sistemas utilizan hoy qué método de autenticación? ¿Qué cuentas privilegiadas tienen solo contraseña + OTP por SMS?
- Definir políticas de riesgo: ¿para qué aplicaciones y grupos de usuarios debe aplicarse la autenticación step-up? Como mínimo: accesos de administrador, consolas en la nube, VPN.
- Activar factores resistentes al phishing: claves de seguridad FIDO2 o passkeys como factor principal para cuentas privilegiadas. No solo como opción, sino como obligación.
- Activar Continuous Access Evaluation: en Entra ID, activar CAE en las políticas de Conditional Access. En otros proveedores: reducir el tiempo de vida del token al mínimo.
- Configurar Impossible Travel: todas las plataformas tienen umbrales para inicios de sesión geográficamente imposibles. Activarlos y ajustarlos a patrones de viaje realistas.
- Configurar la monitorización: introducir los eventos de inicio de sesión de alto riesgo en el SIEM. No solo registrar los patrones sospechosos, sino generar alertas.
Conclusión: el MFA estándar es necesario, pero no suficiente
El MFA sigue siendo la medida individual más importante contra los ataques de identidad. Microsoft cifra la eficacia del MFA resistente al phishing en más del 99 por ciento de todos los ataques basados en contraseñas. Pero el MFA estándar sin evaluación de riesgo es vulnerable al robo de tokens y a los ataques AiTM. El MFA adaptativo cierra esta brecha mediante una evaluación continua del riesgo y niveles de seguridad dinámicos.
NIS2 marca la dirección de forma vinculante: «continuous authentication solutions» está en el texto de la ley. Quien sigue trabajando hoy con MFA estático cumple el requisito mínimo, pero no el espíritu de la regulación. El primer paso: activar Conditional Access o políticas equivalentes para el 10 por ciento de las cuentas más privilegiadas. Eso cuesta una tarde de configuración y aborda el 80 por ciento del riesgo.
Preguntas frecuentes
¿Cuál es la diferencia entre el MFA adaptativo y el MFA estándar?
El MFA estándar solicita el mismo segundo factor en cada inicio de sesión. El MFA adaptativo evalúa el riesgo de cada intento de inicio de sesión en tiempo real (dispositivo, ubicación, comportamiento) y ajusta el nivel de seguridad de forma dinámica. Con riesgo bajo basta un factor; con riesgo alto se activan factores más robustos o el bloqueo.
¿Es obligatorio el MFA adaptativo bajo NIS2?
NIS2 Art. 21(2)(j) menciona «multi-factor authentication or continuous authentication solutions». El MFA estándar cumple el requisito mínimo, pero «continuous authentication» apunta a procedimientos adaptativos. La ENISA concreta: el MFA es obligatorio para cuentas privilegiadas, administración de sistemas y acceso a sistemas críticos.
¿Cuánto cuesta el MFA adaptativo?
Microsoft Entra Conditional Access está incluido en Entra ID P2 (desde aprox. 9 EUR por usuario/mes). Okta Adaptive MFA cuesta 6 USD por usuario/mes. Cisco Duo ofrece autenticación basada en riesgo desde la edición Advantage. Para empresas que ya usan Microsoft 365 E5 o Entra ID P2, Conditional Access está disponible sin costes adicionales.
¿Protege el MFA adaptativo contra los ataques AiTM?
Mejor que el MFA estándar, pero no de forma completa. Continuous Access Evaluation (CAE) puede revocar tokens robados en tiempo real en lugar de esperar al vencimiento de la sesión. La protección completa solo la ofrecen los factores resistentes al phishing (FIDO2/passkeys), ya que están vinculados al dominio y no pueden ser reenviados por un proxy.
¿Qué proveedor es el mejor para el MFA adaptativo?
Para entornos centrados en Microsoft, Entra Conditional Access es la elección natural (integración más profunda, CAE). Para entornos multi-nube y multi-proveedor, Okta ofrece el ecosistema de integración más amplio. Cisco Duo destaca en empresas que ya utilizan infraestructura Cisco. CrowdStrike Falcon ITP es adecuado como capa ITDR que orquesta proveedores de MFA existentes.
Recomendaciones de la redacción
- MFA-Bypass 2026: por qué su segundo factor ya no le protege
- Ataques de identidad 2026: por qué los hackers inician sesión en lugar de forzar la entrada
- Seguridad de contraseñas 2026: por qué 8 caracteres no bastan y qué cambian los passkeys
Más desde la red MBF Media
- – cloudmagazin – Cloud, SaaS e infraestructura TI
- – Digital Chiefs – Estrategias para responsables de TI
- – MyBusinessFuture – Digitalización en la mediana empresa
Fuente de la imagen de portada: Pexels / cottonbro studio (px:5474295)
