MFA sin excusas: protege correo, VPN, ERP y nube con autenticación robusta

La autenticación multifactor (MFA) añade una segunda prueba de identidad —además de la contraseña— para detener el uso indebido de cuentas. En un entorno con phishing, ransomware y trabajo remoto, activar MFA en todos los accesos críticos (correo, VPN, ERP y consolas en la nube) se convierte en una medida de alto impacto y bajo costo. Cuando un atacante roba credenciales, ese segundo factor suele ser la barrera que impide el movimiento lateral y la interrupción del negocio.

No todas las opciones de MFA ofrecen el mismo nivel de protección. Evita SMS por su exposición a técnicas como SIM swapping e interceptación; en su lugar, usa aplicaciones de autenticación (TOTP o push con protección contra intentos repetidos) o llaves físicas compatibles con FIDO2/WebAuthn, resistentes al phishing. Centraliza la política desde tu proveedor de identidad (IdP/SSO) y asegúrate de cubrir cuentas de servicio y accesos privilegiados, especialmente administradores de correo, VPN, ERP y nube.

La implementación no termina al habilitarla: pruébala de forma trimestral. Realiza ejercicios de acceso y recuperación, verifica que todos los usuarios estén enrolados, que existan métodos de respaldo seguros (sin recurrir a SMS), y que el offboarding revoca factores y llaves. Supervisa excepciones y flujos de “recordarme”, educa a los usuarios y documenta el proceso. Esta disciplina reduce el riesgo, mejora el cumplimiento y fortalece la resiliencia operativa de la empresa.