El problema que MFA resuelve
Las contraseñas solas ya no son suficientes. Cada año se filtran miles de millones de combinaciones de usuario y contraseña en la dark web. Si usas la misma contraseña en varios servicios — como hace la mayoría de personas — basta con que uno de esos servicios sea hackeado para que todos tus accesos estén comprometidos.
El atacante no necesita hackear Microsoft 365 directamente. Solo necesita encontrar tu contraseña en una base de datos filtrada de otro servicio que usas.
⚠️ Microsoft reporta que el 99.9% de los ataques a cuentas se habrían bloqueado si el usuario hubiera tenido MFA activado. Es la medida de seguridad con mejor retorno de inversión que existe.
¿Qué es exactamente MFA?
MFA significa Autenticación Multifactor (Multi-Factor Authentication). La idea es simple: para confirmar que eres tú quien está iniciando sesión, el sistema te pide verificar tu identidad con dos o más factores diferentes.
Los factores de autenticación se clasifican en tres categorías:
- Algo que sabes — tu contraseña, un PIN
- Algo que tienes — tu teléfono, una llave de seguridad física
- Algo que eres — tu huella dactilar, reconocimiento facial
Con MFA activado, aunque alguien tenga tu contraseña, necesita también tu teléfono para entrar. Sin ambas cosas, el acceso es imposible.
💡 Piénsalo como una caja fuerte con doble cerradura. Tener una llave no sirve de nada sin la otra.
Las formas más comunes de MFA
Aplicación de autenticación (la más segura y recomendada)
Microsoft Authenticator, Google Authenticator o similares generan un código de 6 dígitos que cambia cada 30 segundos. Es la opción más segura porque el código nunca viaja por la red — solo existe en tu teléfono.
SMS o llamada telefónica
Recibes un código por mensaje de texto o llamada. Es conveniente pero menos seguro — los atacantes pueden interceptar SMS mediante técnicas de SIM swapping. Mejor que nada, pero no ideal para datos sensibles.
Llave de seguridad física (FIDO2)
Un dispositivo USB o NFC que tocas para autenticarte. Es la opción más segura de todas, prácticamente imposible de hackear remotamente. Usada por empresas con altos requisitos de seguridad.
MFA en Microsoft 365 específicamente
Microsoft 365 incluye MFA sin costo adicional en todos sus planes. Sin embargo, no viene activado por defecto — el administrador debe habilitarlo. Este es uno de los puntos más críticos que revisamos en cada diagnóstico.
| Sin MFA | Con MFA |
|---|---|
| Contraseña filtrada = cuenta comprometida | Contraseña filtrada = acceso bloqueado igualmente |
| Un empleado descuidado compromete todo el tenant | Cada cuenta tiene protección independiente |
| Ataques de fuerza bruta pueden tener éxito | Ataques de fuerza bruta son inútiles sin el segundo factor |
| Riesgo de acceso desde cualquier lugar del mundo | Acceso solo confirmado desde el dispositivo del usuario |
¿Es difícil activarlo?
Para un administrador con experiencia en Microsoft 365, activar MFA para todos los usuarios de una empresa toma entre 15 y 30 minutos. Para el usuario final, el proceso de configuración toma menos de 3 minutos con Microsoft Authenticator.
Lo complicado no es activarlo — es hacerlo bien. Una mala configuración puede dejar a usuarios sin acceso o crear excepciones que anulan la protección. Por eso es importante que lo configure alguien que conozca la plataforma.
Las excusas más comunes para no activarlo
"Es muy molesto para mis empleados" — Un segundo de aprobación en el teléfono versus el riesgo de perder toda la información de la empresa. El cálculo es obvio.
"Somos muy pequeños para que nos ataquen" — Los ataques modernos son automatizados. Los bots no distinguen entre empresas grandes y pequeñas — prueban millones de contraseñas por hora indiscriminadamente.
"Ya tenemos contraseñas seguras" — Las contraseñas más seguras del mundo son inútiles si se filtran en una brecha de datos de otro servicio.
🔒 En iProject3 activamos y configuramos MFA correctamente como parte de cada implementación de Microsoft 365. Si ya tienes M365 y no tienes MFA activo, agenda un diagnóstico — lo resolvemos en la misma sesión.
Fuentes y referencias
- Microsoft Security Blog — One simple action to prevent 99.9% of account attacks (Microsoft, 2019)
- Cómo funciona la autenticación multifactor en Microsoft Entra (Microsoft Learn, documentación oficial)
- Descargar e instalar Microsoft Authenticator (Microsoft Support, documentación oficial)
