8 min. de lectura<\/p>\n
La MFA adaptativa en 2026 es menos una cuesti\u00f3n de tecnolog\u00eda que una cuesti\u00f3n de evidencia. Desde que la ley de transposici\u00f3n de NIS2 en Alemania entr\u00f3 en vigor sin per\u00edodo transitorio, los equipos de seguridad no solo deben demostrar que disponen de autenticaci\u00f3n multifactor. Deben demostrar que saben qu\u00e9 riesgos mitigan con ella. Eso implica que los umbrales de decisi\u00f3n est\u00e9n documentados. Entra Conditional Access, Okta Adaptive MFA, Duo Risk-Based y Ping Identity ofrecen las funciones necesarias. Aun as\u00ed, el despliegue fracasa con frecuencia en la brecha entre la funcionalidad y la evidencia.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado<\/span>Infostealers en 2026: c\u00f3mo las cookies de sesi\u00f3n eluden la MFA<\/a> \/<\/span> Identity sprawl en la pyme: configuraciones AD m\u00e1s nube<\/a><\/p>\n La ley alemana de transposici\u00f3n de NIS2 est\u00e1 en vigor desde el 6 de diciembre de 2025, sin per\u00edodo transitorio. El registro ante el BSI era obligatorio hasta el 6 de marzo de 2026. El art\u00edculo 21 de la directiva enumera diez \u00e1mbitos en los que las organizaciones deben acreditar medidas, entre ellos pol\u00edticas de acceso, seguridad de la cadena de suministro y, de forma expl\u00edcita, autenticaci\u00f3n multifactor. La redacci\u00f3n de la directiva es deliberadamente abierta: la MFA debe implementarse de forma \u00abadecuada\u00bb, sin que la UE ni el BSI fijen umbrales m\u00ednimos concretos.<\/p>\n Esta apertura se convierte en un problema durante las auditor\u00edas cuando las organizaciones declaran tener MFA activada pero carecen de documentaci\u00f3n sobre la l\u00f3gica de umbrales. Un auditor no pregunta si la MFA est\u00e1 habilitada. Pregunta en qu\u00e9 condiciones se exige un segundo factor, qu\u00e9 excepciones est\u00e1n configuradas, c\u00f3mo est\u00e1n protegidos los accesos de emergencia y qu\u00e9 registros permiten rastrear la decisi\u00f3n de una pol\u00edtica de acceso condicional. Los equipos de seguridad que han tratado la MFA como un asunto de casilla de verificaci\u00f3n se encuentran ahora a la defensiva.<\/p>\n Microsoft Entra Conditional Access es la opci\u00f3n obvia en organizaciones con Microsoft 365, ya que el motor de pol\u00edticas est\u00e1 integrado directamente en la pila de identidades y utiliza se\u00f1ales como riesgo de inicio de sesi\u00f3n, riesgo de usuario y cumplimiento del dispositivo procedentes de Microsoft Defender for Identity. Los umbrales pueden configurarse de forma granular por grupo y aplicaci\u00f3n. El esfuerzo principal radica en la asignaci\u00f3n precisa de pol\u00edticas a grupos de usuarios y en la documentaci\u00f3n de la l\u00f3gica de decisi\u00f3n. Quien no mantenga un buen orden en sus pol\u00edticas, al cabo de dos a\u00f1os se encontrar\u00e1 con un caos de cientos de reglas solapadas, donde nadie sabr\u00e1 cu\u00e1l se aplica realmente.<\/p>\n Okta Adaptive MFA se posiciona como plataforma multi-IdP y destaca cuando convergen varias fuentes de identidad (Active Directory, G Suite, sistemas de RRHH). Su motor de puntuaci\u00f3n de riesgo utiliza huellas digitales del dispositivo, reputaci\u00f3n de red y patrones de comportamiento. Para empresas que no est\u00e1n profundamente inmersas en Microsoft, Okta suele ser la primera opci\u00f3n. Su precio es superior al de Entra, pero ofrece mayor flexibilidad.<\/p>\n Duo Security, ahora parte de Cisco, est\u00e1 muy extendido en pymes y en empresas con infraestructura Cisco. Sus funciones basadas en riesgo est\u00e1n muy desarrolladas, y la integraci\u00f3n con Cisco ISE y Umbrella ahorra dinero y tiempo si ya se ha invertido previamente en esta tecnolog\u00eda. Ping Identity tiene un papel m\u00e1s relevante en el segmento enterprise, con integraciones B2B complejas, Customer Identity Access Management y identidades federadas, m\u00e1s all\u00e1 del entorno tradicional de pymes. Las cuatro plataformas comparten funciones b\u00e1sicas, pero difieren notablemente en la profundidad de integraci\u00f3n con pilas tecnol\u00f3gicas existentes.<\/p>\n En la pr\u00e1ctica, muchas veces no es la matriz de funciones la que decide, sino el soporte para aplicaciones heredadas. Muchas pymes alemanas disponen de aplicaciones que no entienden ni SAML ni OpenID Connect. La autenticaci\u00f3n basada en cabeceras, el proxy RADIUS o los accesos SSH con certificados son est\u00e1ndar en este contexto. Duo y Ping ofrecen m\u00e1s profundidad en este campo; Entra ha ido reduciendo distancias en los \u00faltimos 18 meses gracias a Entra Application Proxy y Entra ID Governance. Okta cubre este aspecto mediante Access Gateway. La evaluaci\u00f3n de estos casos espec\u00edficos deber\u00eda formar parte de la fase de selecci\u00f3n, pues de lo contrario el despliegue puede fracasar cuando no se consiga integrar el sistema central de gesti\u00f3n de stocks o una aplicaci\u00f3n especializada.<\/p>\n La licencia es el segundo aspecto que var\u00eda en la comparaci\u00f3n. Microsoft Entra Conditional Access est\u00e1 incluido en Entra ID P1 y P2, siendo P2 el que activa las pol\u00edticas de riesgo mediante Identity Protection. Okta factura por usuario con distintos paquetes para MFA, MFA adaptativo y gesti\u00f3n del ciclo de vida. Duo dispone de un modelo escalonado claro, con Duo Essentials, Advantage y Premier. Ping, en el entorno enterprise, suele situarse en un rango de precios m\u00e1s alto, aunque ofrece opciones de personalizaci\u00f3n m\u00e1s profundas. Quien busque un precio de referencia debe comparar siempre la configuraci\u00f3n concreta, no los precios de lista por usuario.<\/p>\n El \u00e9xito de un despliegue productivo de MFA adaptativo no depende del motor de pol\u00edticas, sino de la experiencia de usuario. Los ataques de *push bombing*, en los que los atacantes generan repetidamente solicitudes MFA hasta que el usuario las confirma por costumbre, se han convertido en 2025 en parte del manual est\u00e1ndar. La respuesta de los proveedores es el *number matching*, que obliga al usuario a introducir un n\u00famero mostrado en la app autenticadora. Microsoft lo ha activado por defecto, mientras que Duo y Okta ofrecen variantes. Quien no imponga el *number matching* deja la puerta abierta.<\/p>\n Qu\u00e9 desencadena la fatiga MFA<\/p>\n Qu\u00e9 mitiga los ataques de fatiga<\/p>\n El segundo punto cr\u00edtico es la calibraci\u00f3n de los umbrales. Si un sistema de MFA adaptativo exige un segundo factor en cada segundo inicio de sesi\u00f3n, genera fatiga en las solicitudes y soluciones alternativas. Si lo hace con demasiada poca frecuencia, pierde su efecto de seguridad. El enfoque pragm\u00e1tico consiste en empezar con pol\u00edticas conservadoras durante los tres primeros meses y aprender, mediante telemetr\u00eda, qu\u00e9 patrones de inicio de sesi\u00f3n son realmente sospechosos. Entra, Okta y Duo ofrecen paneles que muestran la frecuencia de solicitudes por usuario y nivel de riesgo.<\/p>\n Un aspecto frecuentemente pasado por alto es el tratamiento de las cuentas de servicio y los accesos a API. El MFA adaptativo est\u00e1 optimizado para inicios de sesi\u00f3n interactivos de usuarios. En el caso de automatizaciones, se requieren autenticaciones basadas en certificados o *tokens* temporales con rotaci\u00f3n. Quien deje cuentas de servicio con contrase\u00f1as de larga duraci\u00f3n sin MFA tendr\u00e1 una brecha que los atacantes buscar\u00e1n espec\u00edficamente en 2026. La documentaci\u00f3n de la pol\u00edtica de cuentas de servicio forma parte de la evidencia NIS2, no solo la MFA de usuarios.<\/p>\n Un tercer componente que se revisa en las auditor\u00edas es el tratamiento de usuarios externos. Proveedores, colaboradores y socios obtienen regularmente acceso a sistemas internos sin estar incluidos en los procesos est\u00e1ndar de IAM. Entra B2B Collaboration, Okta External Identities y Ping DaVinci ofrecen funciones para proporcionar a los externos un flujo de MFA limpio. Quien obligue a los externos a usar cuentas de usuario internas no solo tendr\u00e1 un problema de evidencia, sino tambi\u00e9n una superficie de ataque que ya se ha explotado en m\u00faltiples ocasiones en ataques a la cadena de suministro durante 2025.<\/p>\n Un despliegue realista se desarrolla en cuatro fases, que seg\u00fan el tama\u00f1o de la organizaci\u00f3n pueden extenderse entre diez y veinte semanas. La primera fase es el inventario, y la \u00faltima, la preparaci\u00f3n para auditor\u00edas.<\/p>\n El punto m\u00e1s d\u00e9bil en un despliegue suele ser la falta de conexi\u00f3n con la respuesta a incidentes. Si el SIEM detecta patrones de inicio de sesi\u00f3n sospechosos, pero el equipo de IAM no sabe c\u00f3mo poner cuentas en cuarentena r\u00e1pidamente, el MFA adaptativo tiene un punto ciego. La integraci\u00f3n entre Entra u Okta y el flujo del SOC debe incluirse en la primera fase, no al final. En concreto: Splunk, Sentinel o Elastic necesitan los registros de inicio de sesi\u00f3n, eventos de riesgo y cambios de pol\u00edticas en un repositorio central, con alertas para patrones como diez intentos fallidos de inicio de sesi\u00f3n en cinco minutos o un prompt desde un pa\u00eds inusual. Los formatos de registro difieren entre Entra y Okta, y la normalizaci\u00f3n es una tarea que no puede delegarse al proveedor del SIEM.<\/p>\n Para terminar, el punto m\u00e1s importante: el MFA adaptativo no es un proyecto con fecha de finalizaci\u00f3n, sino una operaci\u00f3n continua. Los umbrales cambian porque los atacantes emplean nuevas t\u00e9cnicas. Se integran nuevas aplicaciones y los grupos de usuarios evolucionan. Quien planifica el despliegue como un proyecto puntual, se encontrar\u00e1 a los dieciocho meses con una pila de IAM que ya no refleja la \u00faltima amenaza. Un rol fijo para la operaci\u00f3n de IAM y revisiones trimestrales de pol\u00edticas son lo que convierte al MFA adaptativo en una evidencia productiva.<\/p>\n Un ejemplo pr\u00e1ctico concreto: un fabricante de maquinaria en Sauerland inici\u00f3 a finales de 2025 el despliegue de Entra Conditional Access. La fase piloto dur\u00f3 dos semanas con un grupo de TI, incluyendo pol\u00edticas intencionadamente conservadoras. En los primeros tres d\u00edas se registraron 140 prompts de MFA por usuario y d\u00eda, ya que un desencadenante de pol\u00edtica reaccionaba a cada cambio entre VPN y LAN de oficina. Tras un ajuste que incorpor\u00f3 el estado de dispositivo conforme como se\u00f1al, el n\u00famero de prompts se redujo a entre 12 y 18 al d\u00eda, una cifra que los usuarios aceptaron. La lecci\u00f3n: la telemetr\u00eda en la fase piloto no es una funcionalidad opcional, sino la herramienta que decide la aceptaci\u00f3n.<\/p>\n Otro aspecto que surge con frecuencia en las conversaciones de auditor\u00eda es la separaci\u00f3n entre autenticaci\u00f3n y autorizaci\u00f3n. El MFA decide si alguien puede iniciar sesi\u00f3n de forma segura. Lo que puede hacer despu\u00e9s lo regula la autorizaci\u00f3n mediante Role-Based Access Control, Privileged Access Management o acceso Just-in-Time. Muchas empresas lo mezclan, lo que lleva a la conclusi\u00f3n err\u00f3nea de que un MFA robusto compensa una configuraci\u00f3n de roles d\u00e9bil. No es as\u00ed. NIS2 exige en su art\u00edculo 21 pol\u00edticas de acceso expl\u00edcitas. Estas pol\u00edticas deben basarse en una arquitectura de roles s\u00f3lida, no solo en el prompt de MFA.<\/p>\n La directiva exige un MFA \u00abadecuado\u00bb sin par\u00e1metros concretos. Quien utilice un MFA cl\u00e1sico con un segundo factor robusto cumple con la obligaci\u00f3n si la documentaci\u00f3n est\u00e1 en regla. El MFA adaptativo no es obligatorio, pero en organizaciones con alta exposici\u00f3n al riesgo se convierte en un est\u00e1ndar de facto, ya que permite justificar umbrales y excepciones de manera transparente.<\/p>\n Normalmente de forma paralela, no como un *big bang*. Conditional Access se aplica primero a las aplicaciones de Microsoft, mientras Duo sigue activo para sistemas Cisco y aplicaciones heredadas. Tras seis o nueve meses suele quedar claro si compensa el cambio completo o si un modelo h\u00edbrido resulta m\u00e1s pr\u00e1ctico a largo plazo.<\/p>\n Un punto de partida habitual es: solicitar MFA al iniciar sesi\u00f3n desde un dispositivo nuevo, desde una IP de red desconocida, fuera del horario laboral o al acceder a aplicaciones sensibles. Tras tres meses, los umbrales se ajustan seg\u00fan la telemetr\u00eda, lo que suele derivar en endurecer algunas condiciones y relajar otras.<\/p>\n Las cuentas de servicio utilizan autenticaci\u00f3n basada en certificados o identidades gestionadas, combinadas con tokens de corta duraci\u00f3n y rotaci\u00f3n de secretos en el *vault*. El nivel de protecci\u00f3n no es MFA, pero s\u00ed equivalente. Documentar esta decisi\u00f3n es clave para que el auditor entienda la pol\u00edtica aplicada.<\/p>\n El BSI recomienda el *number-matching* o procedimientos equivalentes en sus \u00faltimas directrices, aunque sin establecerlo como obligaci\u00f3n expl\u00edcita. Microsoft lo ha configurado como predeterminado en Entra Authenticator, mientras que Duo y Okta lo promueven con insistencia y lo integran de forma destacada en sus consolas de administraci\u00f3n. Quien utilice notificaciones *push* sin *matching* debe justificar la decisi\u00f3n en el an\u00e1lisis de riesgos y registrarla en la documentaci\u00f3n de NIS2.<\/p>\n\n
El art\u00edculo 21 de NIS2 como marco para la MFA adaptativa<\/h2>\n
Las cuatro grandes plataformas IAM en comparaci\u00f3n con MFA adaptativo<\/h2>\n
Por qu\u00e9 la fatiga MFA es el riesgo n\u00famero uno en los despliegues<\/h2>\n
\n
\n
C\u00f3mo los equipos de seguridad organizan un despliegue impecable<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfExige NIS2 expresamente MFA adaptativo o basta con el MFA cl\u00e1sico?<\/h3>\n
\u00bfC\u00f3mo se realiza el cambio de Duo a Entra Conditional Access en entornos Microsoft 365?<\/h3>\n
\u00bfQu\u00e9 umbrales son un buen punto de partida para el MFA adaptativo?<\/h3>\n
\u00bfC\u00f3mo gestiono las cuentas de servicio que no admiten MFA interactivo?<\/h3>\n
\u00bfQu\u00e9 opina el BSI sobre el *number-matching* como configuraci\u00f3n predeterminada?<\/h3>\n
M\u00e1s del MBF Media Network<\/h2>\n