Skip to content

¿Qué hace que la MFA sea «resistente al phishing» y cómo lo logran FIDO2/passkeys?

Respuesta breve

La MFA resistente al phishing significa que el segundo factor no puede reproducirse contra el sitio real aunque se engañe al usuario. Las passkeys FIDO2/WebAuthn lo logran con criptografía de clave pública ligada al origen: el autenticador firma un desafío atado al dominio del sitio real, así que una credencial capturada por un sitio imitador o un atacante en el medio es inútil. Los códigos TOTP y las notificaciones aún se pueden phishear porque pueden retransmitirse en tiempo real.

No toda la MFA es igual. El estándar sobre el que te preguntarán es la resistencia al phishing: ¿sobrevive el segundo factor a que se engañe al usuario para que use una página de inicio de sesión falsa o proxificada?

Por qué la MFA común aún se puede phishear

  • Los códigos TOTP (apps de autenticación) y los códigos SMS son solo secretos que el usuario teclea. Un kit de phishing atacante en el medio (AiTM) muestra al usuario una réplica perfecta de la página de inicio de sesión, captura lo que introduce —incluido el código en vivo— y lo retransmite al sitio real al instante. El código funciona porque no está atado a dónde se usa.
  • Las aprobaciones por notificación son vulnerables al mismo relé más la «fatiga de MFA», donde el atacante inunda de avisos hasta que el usuario pulsa aprobar.

En todos estos casos la credencial es portátil: no tiene ni idea de contra qué sitio se está usando realmente.

Cómo lo resuelve FIDO2/WebAuthn

FIDO2 (la pila de protocolos detrás de las passkeys y WebAuthn) usa criptografía de clave pública ligada al origen. En el registro, el autenticador (llave de seguridad, teléfono o TPM de la plataforma) genera un par de claves acotado al dominio del sitio real y le entrega al sitio solo la clave pública. En el inicio de sesión, el sitio envía un desafío; el autenticador lo firma solo si el origen solicitante coincide con aquel para el que se registró la clave, y la clave privada nunca sale del dispositivo.

Así, cuando un usuario aterriza en paypa1-login.com, el navegador/autenticador ve que el origen no coincide y se niega a firmar. No hay código que teclear, nada que retransmitir y nada que el proxy AiTM pueda capturar y reutilizar.

Variantes de passkeys

Las passkeys vienen ligadas al dispositivo (la clave privada nunca sale de un autenticador de hardware único, lo más fuerte) o sincronizadas a través de un llavero en la nube (más usable, pero la confianza se desplaza al proveedor del llavero). Cualquiera es drásticamente mejor que los códigos.

Lo que buscan los entrevistadores: explicas que el relé AiTM derrota a los códigos/notificaciones, y sabes articular la ligadura al origen y que la clave privada nunca sale del dispositivo como los mecanismos que hacen a FIDO2 resistente al phishing.

Posibles preguntas de seguimiento

  • ¿Cómo derrota un proxy atacante en el medio (AiTM) al TOTP y a la MFA por notificación?
  • ¿Cuál es la diferencia entre una passkey sincronizada y una ligada al dispositivo?
  • ¿Qué papel juega la comprobación del «origen» de WebAuthn?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.