¿Qué es Autenticación multifactor?
La autenticación multifactor (MFA) es un método de autenticación que requiere que un usuario presente dos o más credenciales independientes de categorías distintas —algo que sabe, algo que tiene o algo que es— antes de concederle acceso.
También conocido como: multi-factor authentication, two-factor authentication, 2FA, MFA
Los tres factores de autenticación estándar son: conocimiento (contraseñas, PIN), posesión (teléfonos, tokens de hardware, tarjetas inteligentes) e inherencia (huellas dactilares, reconocimiento facial). La MFA exige credenciales de al menos dos de estas categorías, de modo que comprometer un solo factor es insuficiente para que un atacante obtenga acceso. Una contraseña robada es inútil sin el token de hardware; un teléfono robado es inútil sin el PIN.
Las implementaciones de MFA más habituales combinan una contraseña con una contraseña de un solo uso basada en tiempo (TOTP) generada por una aplicación de autenticación, un código por SMS o una notificación push a un dispositivo móvil. Las implementaciones más sólidas usan llaves de seguridad de hardware (FIDO2/WebAuthn), que resisten el phishing porque se vinculan criptográficamente al dominio concreto que se está autenticando. Los códigos basados en SMS, aunque son mejores que la contraseña sola, son vulnerables a los ataques de intercambio de SIM.
La MFA es uno de los controles de seguridad más eficaces que puede desplegar una organización. Los datos del sector muestran sistemáticamente que la MFA bloquea más del 99 % de los ataques automatizados contra credenciales. A pesar de ello, la adopción sigue siendo desigual: muchas brechas se remontan a cuentas protegidas únicamente con contraseñas, en particular cuentas de servicio, sistemas heredados y cuentas personales reutilizadas en varios servicios.
Cómo usa Vaulted Autenticación multifactor
Vaulted no usa cuentas ni autenticación basada en inicio de sesión, por lo que la MFA no se aplica directamente al servicio. Sin embargo, la protección opcional con frase de contraseña de Vaulted proporciona un segundo factor análogo para el acceso al secreto. El enlace en sí actúa como «algo que tienes» (la posesión de la URL) y la frase de contraseña actúa como «algo que sabes». Juntos, garantizan que interceptar solo el enlace no es suficiente para acceder al secreto: el atacante también necesitaría la frase de contraseña, que debería comunicarse por un canal separado.