Adiós al SMS OTP: protege cuentas privilegiadas con llaves FIDO2

Las intrusiones más costosas de los últimos años comienzan con el robo de credenciales y eludir un segundo factor débil. Los códigos por SMS o correo son vulnerables a phishing, SIM swapping y ataques a la señalización; incluso las aprobaciones push sufren de fatiga. Las llaves FIDO2, en cambio, ofrecen MFA resistente al phishing: usan criptografía de clave pública vinculada al origen del sitio, no comparten secretos y requieren presencia del usuario. Para cuentas privilegiadas —administradores de nube, dominios, DevOps y producción— adoptar FIDO2 reduce drásticamente el riesgo de toma de cuentas.

Para que funcione, conviértelo en política, no en opción. Obliga el registro de al menos dos llaves FIDO2 por persona con privilegios, desactiva SMS y email OTP como factores válidos para esos roles y aplica reglas de acceso condicional que permitan solo FIDO2. Integra con tu proveedor de identidad (por ejemplo, Entra ID, Okta o Google Workspace), inventaría los dispositivos, y gestiona su ciclo de vida: emisión, reemplazo y revocación cuando alguien cambia de rol o deja la empresa. Mantén un par mínimo de cuentas de emergencia con controles reforzados, almacenadas en bóveda y probadas periódicamente.

La recuperación debe ser segura para no reabrir la puerta al atacante. Evita restablecimientos por llamada o correo sin verificación fuerte; usa procesos con doble aprobación, verificación fuera de banda con fuentes internas de confianza y, si es necesario, códigos de recuperación de un solo uso con alcance y vigencia limitados. Este enfoque mejora la postura de seguridad, simplifica la experiencia del usuario habitual, alinea el cumplimiento con guías como NIST y CISA, y reduce costos de help desk derivados de restablecimientos y fraudes.