Skip to content

¿Activar la MFA hace que una cuenta sea imposible de phishear?

Respuesta breve

No. La MFA sube mucho el listón, pero los factores OTP y push son phisheables: los kits de adversario en el medio (p. ej. Evilginx) retransmiten el inicio de sesión y el código en tiempo real, y la fatiga MFA / push-bombing empujan al usuario a aprobar. Los códigos capturados son reutilizables dentro de su corta ventana. El error es «MFA = imposible de phishear»; lo que importa es el tipo de factor. La MFA resistente al phishing — passkeys FIDO2/WebAuthn ligados al origen del sitio — es lo que realmente lo derrota.

La MFA es uno de los controles de seguridad de mayor valor que puedes desplegar — pero «MFA = imposible de phishear» es una exageración peligrosa, desmentida por grandes brechas reales. Esta pregunta comprueba si un candidato sabe que no toda MFA es igual.

La mayoría de la MFA en uso es OTP (un código de 6 dígitos por SMS o app de autenticación) o push (aprobar en el teléfono). Ambas comparten una propiedad fatal: se puede engañar al usuario para que entregue la prueba a un atacante. Un kit de phishing de adversario en el medio (AiTM) como Evilginx aloja un proxy inverso en un dominio clónico. La víctima «inicia sesión» a través de él; el kit retransmite en tiempo real el usuario, la contraseña y el OTP recién introducido al sitio real, completando el inicio y robando la cookie de sesión resultante. La rotación de 30 segundos no ayuda — el atacante usa el código dentro de esa misma ventana. La fatiga MFA / push-bombing es aún más simple: bombardear al usuario con avisos de aprobación hasta que, harto o confundido, pulse Aprobar. El SMS añade riesgo de SIM-swap e interceptación, por lo que es de los factores más débiles, no a prueba de phishing.

Qué resiste realmente al phishing

La defensa es la MFA resistente al phishing: llaves de seguridad y passkeys FIDO2 / WebAuthn. Usan criptografía de clave pública donde la clave privada nunca sale del dispositivo, y el navegador liga criptográficamente la aserción al origen del sitio que la solicita. Si el usuario está en un dominio de phishing, la firma simplemente no será válida para el sitio real — no hay secreto ni código compartido que retransmitir, así que el proxy AiTM no tiene nada que reenviar. Los certificados de tarjeta inteligente / PIV dan la misma propiedad ligada al origen.

La conclusión

Ve la MFA como un espectro: SMS < OTP de app < push con coincidencia de número < FIDO2/WebAuthn. Activar cualquier MFA bloquea el relleno de credenciales y la reutilización básica de contraseñas, por eso sigue siendo esencial. Pero para afirmar que una cuenta es imposible de phishear, necesitas factores ligados al origen, resistentes al phishing. El error no es «la MFA es inútil» — es suponer que la casilla por sí sola cierra la puerta al phishing.

Posibles preguntas de seguimiento

  • ¿Cómo derrota un proxy de adversario en el medio a un OTP temporal en la práctica?
  • ¿Por qué FIDO2/WebAuthn resiste el phishing cuando el OTP y el push no?
  • ¿Qué es la fatiga MFA, y qué cambio de UX la mitiga?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.