No todos los métodos de autenticación multifactor ofrecen el mismo nivel de protección. TecnetSOC clasifica los métodos de MFA registrados por tus usuarios en cuatro niveles de fortaleza, desde los más seguros hasta las cuentas que no tienen ningún factor adicional. Este artículo explica qué significa cada nivel y cómo mejorar la postura de autenticación de tu organización.
---
El Módulo de Identidades evalúa los métodos de MFA registrados por cada usuario y los clasifica en uno de cuatro niveles. Si un usuario tiene múltiples métodos, se le asigna el nivel del método más fuerte disponible.
| Nivel | Descripción | Objetivo organizacional |
|---|---|---|
| Fuerte | Resistente a phishing y SIM swapping | Prioritario para todos los usuarios |
| Moderado | Protección buena pero vulnerable a algunos ataques | Aceptable como estándar mínimo |
| Débil | Protección básica con vulnerabilidades conocidas | Migrar a Moderado o Fuerte |
| Sin MFA | Sin ningún factor adicional registrado | Riesgo crítico — remediar de inmediato |
---
Los métodos de este nivel están basados en criptografía de clave pública. No transmiten secretos por la red, lo que los hace completamente inmunes al phishing, al man-in-the-middle, y al SIM swapping.
| Método | Descripción |
|---|---|
| FIDO2 / Passkeys | Llave de seguridad física (YubiKey, Titan) o passkey en dispositivo (Face ID, huella). El más seguro disponible. |
| Windows Hello for Business | Autenticación biométrica o PIN vinculada al dispositivo corporativo. Resistente a phishing por diseño. |
| Microsoft Authenticator (sin contraseña) | Modo passwordless con verificación biométrica. No usa contraseña en el proceso. |
Nota: Los passkeys almacenados en gestores de contraseñas (como 1Password o Bitwarden) también califican como Fuerte cuando están vinculados a biometría del dispositivo.
Estos métodos requieren que el usuario apruebe activamente el acceso y ofrecen buena protección contra ataques automatizados. Sin embargo, siguen siendo vulnerables a ataques de MFA fatigue (bombardeo de notificaciones push) si no se configura el número de coincidencia.
| Método | Descripción |
|---|---|
| Microsoft Authenticator (push + número) | Notificación push con verificación de número de coincidencia. Recomendado activar esta opción en Entra ID. |
| TOTP (código de 6 dígitos) | Aplicación de autenticación que genera códigos temporales. Incluye Microsoft Authenticator en modo TOTP y Google Authenticator. |
| Hardware token OATH | Dispositivo físico que genera códigos TOTP sin conexión a internet. |
Los métodos de este nivel tienen vulnerabilidades documentadas que pueden ser explotadas por atacantes con recursos moderados.
| Método | Vulnerabilidad principal |
|---|---|
| SMS | SIM swapping: el atacante convence a la operadora de transferir el número a una nueva SIM. También vulnerable a intercepción en redes SS7. |
| Llamada de voz | Mismas vulnerabilidades que SMS, más susceptible a ingeniería social. |
| Contraseña de un solo uso por correo | Si el correo está comprometido, el MFA también lo está. No ofrece separación real de factores. |
Nota: Microsoft ha anunciado que deprecará la autenticación por SMS para cuentas de trabajo en fases durante 2025-2026. Si tu organización todavía depende de SMS, es urgente migrar antes de que la opción sea eliminada.
Los usuarios en esta categoría solo tienen contraseña para proteger su cuenta. Una contraseña comprometida por phishing, data breach, o ataque de diccionario es suficiente para dar acceso completo al atacante. Cada usuario sin MFA genera un hallazgo de severidad CRÍTICO en el dashboard.
---
Un método de MFA débil o moderado no garantiza protección total contra phishing avanzado. En un ataque de AiTM (Adversary-in-the-Middle), el atacante coloca un proxy entre el usuario y el servicio real. Cuando el usuario ingresa sus credenciales y aprueba el MFA (por push o código), el atacante captura el token de sesión y accede a la cuenta sin necesidad de la contraseña o el código.
Los métodos de nivel Fuerte son inmunes a AiTM porque el proceso criptográfico está vinculado al dominio específico del servicio. Un passkey creado para login.microsoftonline.com no funcionará en un sitio de phishing que simule ser ese dominio.
Además de la vulnerabilidad técnica, los SMS tienen un costo operativo: requieren que los usuarios tengan señal celular, y generan tickets de soporte frecuentes cuando los usuarios cambian de número telefónico. La migración a Microsoft Authenticator reduce estos costos y elimina la dependencia de la infraestructura de telecomunicaciones.
---
En TecnetSOC, ve a Identidades → Dashboard y revisa el Panel de Seguridad MFA. Haz clic en la barra de nivel "Débil" para ver la lista de usuarios con solo SMS.
Envía una notificación a los usuarios afectados con al menos 2 semanas de anticipación. Include:
Los usuarios deben:
Una vez que el usuario haya registrado Authenticator exitosamente, puedes remover el número de teléfono desde Entra Admin Center → Users → seleccionar usuario → Authentication methods.
Nota: No elimines SMS antes de confirmar que el usuario tiene Authenticator funcionando. De lo contrario, el usuario puede quedar bloqueado sin acceso.
La migración a FIDO2 requiere:
---
TecnetSOC calcula la métrica de adopción passwordless como el porcentaje de usuarios activos que tienen registrado al menos un método de nivel Fuerte (FIDO2, Windows Hello for Business, o Authenticator en modo passwordless).
Esta métrica aparece en el Dashboard bajo el Panel de Seguridad MFA. El objetivo recomendado para organizaciones con datos sensibles es superar el 50% en 6 meses y 80% en 12 meses.
Nota: Para habilitar la experiencia passwordless completa, también es necesario configurar una política de Acceso Condicional que requiera métodos resistentes a phishing para accesos a aplicaciones críticas.
---
Última actualización: Abril 2026 | TecnetOne Knowledge Base