¿Qué es la MFA y por qué es más segura que una contraseña sola?
Respuesta breve
La MFA exige dos o más factores de autenticación de categorías diferentes — algo que sabes (contraseña), algo que tienes (teléfono/token), algo que eres (biometría). Ayuda porque un atacante que roba un factor, como una contraseña, aún no puede iniciar sesión sin los demás. La MFA resistente al phishing como FIDO2 es la más fuerte.
La MFA es uno de los controles de mayor impacto y menor coste en seguridad, por lo que los entrevistadores esperan que expliques no solo qué es, sino por qué importan las categorías de factores.
Las tres categorías de factores
Los factores de autenticación se dividen en categorías distintas, y la verdadera MFA combina al menos dos diferentes:
- Algo que sabes — una contraseña o un PIN.
- Algo que tienes — un teléfono con una aplicación de autenticación, una llave de seguridad física, una tarjeta inteligente.
- Algo que eres — una biometría como una huella dactilar o el rostro.
Dos contraseñas no son MFA, porque ambas son de la misma categoría. La fortaleza viene de exigir factores que un atacante tendría que comprometer por medios completamente distintos.
Por qué ayuda tanto
La mayoría de los robos de cuentas empiezan con una contraseña robada o adivinada — por phishing, reutilización o un volcado de una brecha. Con MFA, la contraseña sola es inútil: el atacante también necesita el dispositivo físico o la biometría del usuario. Este único control bloquea la inmensa mayoría de los ataques automatizados de relleno de credenciales y phishing masivo.
No toda MFA es igual
- Los códigos SMS son mejores que nada pero vulnerables al SIM-swapping y a la interceptación.
- Las aplicaciones de autenticación (TOTP) son más fuertes pero aún pueden ser víctimas de phishing en tiempo real.
- Las aprobaciones por push son cómodas pero habilitan la fatiga de MFA / el push bombing, donde los atacantes saturan las solicitudes esperando que el usuario pulse «aprobar». La coincidencia de número ayuda.
- FIDO2 / passkeys / llaves físicas son resistentes al phishing porque la credencial está vinculada criptográficamente al sitio legítimo, de modo que una página falsa no puede retransmitirla.
Por qué esto importa
Los entrevistadores quieren la idea de las categorías (dos factores diferentes), la razón de su eficacia (una contraseña robada ya no basta) y la conciencia de que la fortaleza de la MFA varía. Recomendar MFA resistente al phishing donde importa demuestra que estás actualizado, no que repites «activa la 2FA».
Posibles preguntas de seguimiento
- ¿Por qué un código SMS es más débil que una aplicación de autenticación o una llave física?
- ¿Qué es la fatiga de MFA / el push bombing y cómo lo mitigas?
- ¿Qué hace que FIDO2 / las passkeys sean resistentes al phishing?