Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
La autenticación multifactor (MFA) ha pasado de manera decisiva de ser una función de seguridad para usuarios proactivos a ser una realidad innegociable y obligatoria para las organizaciones de todo el mundo. Esta transformación no está impulsada por la elección, sino por la necesidad, alimentada por los incesantes ciberataques basados en credenciales y la creciente presión regulatoria. Industrias desde los servicios financieros hasta el sector público operan ahora bajo marcos que hacen de la MFA una línea de base para el cumplimiento. Esta nueva era, donde la MFA se impone en lugar de ofrecerse, introduce una cascada de desafíos complejos que se extienden mucho más allá de la implementación técnica inicial.
Cuando todos los usuarios deben usar MFA, surge un nuevo conjunto de preguntas críticas que toda organización debe responder. Este artículo explorará estos desafíos en profundidad, proporcionando un camino claro a seguir. Abordaremos:
¿Cuáles son los costos operativos ocultos y los obstáculos en la experiencia del usuario al imponer la MFA a gran escala?
Cuando se les da la opción, ¿qué métodos de MFA adoptan realmente los usuarios y qué riesgos de seguridad crea esto?
¿Cómo se convierte la recuperación de cuentas en el nuevo desafío principal en un entorno obligatorio y cuáles son las compensaciones al resolverlo?
¿Por qué las claves de acceso son la solución estratégica a los mismos problemas creados por los mandatos de MFA, y no solo otra opción?
¿Cuál es un plan práctico paso a paso para la transición exitosa de la MFA heredada obligatoria a la seguridad superior y la experiencia del usuario de las claves de acceso?
Este análisis proporcionará un plan de acción claro y procesable para una transición exitosa de la autenticación de un solo factor a la MFA obligatoria (y a las claves de acceso obligatorias).
Artículos recientes
⚙️
Hoja de trucos de claves de acceso para desarrolladores
👤
Cómo eliminar una clave de acceso en Apple, Windows y Android
📖
Guía definitiva sobre errores de WebAuthn en producción (2026)
📖
Explicación técnica de la Conditional UI de WebAuthn (autocompletar claves de acceso)
📖
Claves de acceso en el navegador Brave (2026): Qué funciona y qué falla
Antes de explorar los desafíos de la aplicación, es crucial establecer una comprensión clara del panorama de la autenticación y por qué los mandatos lo alteran fundamentalmente. La propia terminología puede ser una fuente de confusión, pero las distinciones son críticas para cualquier estrategia de producto o de seguridad.
La evolución de la autenticación es una respuesta directa a la debilidad inherente de su forma más básica.
Autenticación de un solo factor (SFA): La familiar combinación de nombre de usuario y contraseña. Depende de un único factor de "conocimiento", algo que el usuario sabe. Su vulnerabilidad al phishing, el relleno de credenciales y los ataques de fuerza bruta es el principal impulsor de métodos más fuertes.
Verificación en dos pasos (2SV): A menudo utilizada indistintamente con MFA, la 2SV es un proceso distinto y más débil. Requiere dos pasos de verificación, pero puede usar dos factores de la misma categoría. Un ejemplo común es una contraseña seguida de una pregunta de seguridad, ambos son factores de "conocimiento". Aunque es mejor que la SFA, no cumple con los criterios de verdadera seguridad multifactor.
Autenticación multifactor (MFA): El estándar de oro en seguridad, la MFA requiere la verificación de al menos dos categorías diferentes de factores de autenticación. Las tres categorías principales son:
Conocimiento: Algo que el usuario sabe (por ejemplo, una contraseña, un PIN).
Posesión: Algo que el usuario tiene (por ejemplo, un teléfono móvil que recibe un código, una clave de seguridad de hardware).
Inherencia: Algo que el usuario es (por ejemplo, una huella dactilar, reconocimiento facial).
La transición de la MFA opcional a la obligatoria es un cambio de paradigma. Un sistema opcional permite la adopción gradual por parte de los usuarios más preocupados por la seguridad, ocultando los verdaderos puntos de fricción. Un mandato fuerza a toda la base de usuarios, desde los expertos en tecnología hasta los reacios a ella, a utilizar el nuevo sistema simultáneamente, exponiendo cada defecto en la experiencia del usuario y la estructura de soporte.
Este cambio ha sido acelerado por catalizadores regulatorios en todo el mundo. Cabe destacar la segunda Directiva de Servicios de Pago de Europa (PSD2) y su requisito de Autenticación Reforzada de Clientes (SCA), que reformó fundamentalmente el panorama de los pagos europeos al hacer obligatoria la MFA para la mayoría de las transacciones en línea. Al obligar a las instituciones financieras a adoptar API abiertas y una seguridad más fuerte, PSD2 proporciona un estudio de caso masivo en el mundo real de la autenticación impuesta.
El objetivo principal de la SCA era reducir el fraude requiriendo dos factores de autenticación independientes para los pagos electrónicos. Sin embargo, la implementación inicial creó una fricción significativa, y algunos comerciantes europeos perdieron casi el 40 % de las transacciones debido a la confusión de los usuarios y el abandono del carrito. Con el tiempo, el ecosistema se adaptó, y un informe de agosto de 2024 del Banco Central Europeo confirmó que las transacciones autenticadas por SCA ahora tienen tasas de fraude significativamente más bajas. Esto demuestra el beneficio de seguridad a largo plazo, pero también destaca la necesidad crítica de equilibrar la seguridad con la experiencia del usuario.
Un impulso regulatorio similar se está construyendo a nivel mundial. En Australia, el sector financiero opera bajo el marco CPS 234 de la Autoridad Australiana de Regulación Prudencial, que establece normas de seguridad para las instituciones financieras. Tras una ola de ataques de relleno de credenciales a principios de 2025, APRA escribió a todas las juntas de fondos de pensiones, expresando explícitamente la expectativa de que implementaran MFA o protecciones equivalentes para actividades de alto riesgo. El regulador señaló que aproximadamente el 20 % de los incidentes cibernéticos en el sector financiero australiano fueron ataques de relleno de credenciales, haciendo de la MFA un control crítico. Por separado, el sector de telecomunicaciones de Australia se enfrenta a la MFA obligatoria para todas las transacciones de alto riesgo de los clientes bajo la Determinación de Autenticación de Identidad del Cliente de 2022 de la Autoridad Australiana de Comunicaciones y Medios. Esta regla exige que los operadores utilicen la MFA para cambios de SIM, restablecimientos de contraseñas y adiciones de servicios, tras casos de alto perfil de fraude por intercambio de SIM.
Si bien estos mandatos crean fricción inicialmente, también producen un entorno de educación masiva involuntaria. Cuando los bancos obligan a millones de usuarios a aprobar una transacción con una huella dactilar o un código, estos se familiarizan con el concepto de un segundo factor. Esta normalización, impulsada por la regulación, allana paradójicamente el camino para otras organizaciones. La conversación puede evolucionar de "¿Qué es la MFA y por qué la necesito?" a "Aquí está nuestra nueva forma, más fácil, de hacer el paso de seguridad que ya conoce". Esto crea la base perfecta para introducir una experiencia superior como las claves de acceso.
Si desea leer más sobre los detalles de estas regulaciones y su relación con las claves de acceso, puede explorar estos recursos:
Qué significan los requisitos de SCA para las claves de acceso
Claves de acceso PSD2: MFA resistente al phishing y compatible con PSD2
Implicaciones de SD3 / PSR para las claves de acceso
Autenticación delegada y claves de acceso bajo PSD3 / PSR
Si bien los marcos regulatorios impulsan la adopción proactiva de MFA, los incidentes de seguridad a menudo desencadenan los mandatos más urgentes y visibles. Cuando una organización sufre una violación, el camino hacia la MFA obligatoria ya no es una cuestión de planificación de cumplimiento, sino una respuesta inmediata a una crisis.
El sector australiano de los fondos de pensiones experimentó esto en términos muy crudos en marzo de 2025. En una sofisticada campaña de relleno de credenciales, los ciberdelincuentes utilizaron combinaciones de nombres de usuario y contraseñas robadas de violaciones externas para atacar sistemáticamente las cuentas de los fondos de jubilación. Según informes de Reuters y ABC News, AustralianSuper, el fondo más grande del país con más de 3 millones de miembros, confirmó que los atacantes accedieron a hasta 600 cuentas de miembros y extrajeron con éxito 500.000 dólares australianos de los saldos de cuatro miembros antes de que se detectara el ataque. El incidente se extendió a múltiples fondos, con Rest Super detectando actividades sospechosas en aproximadamente 20.000 cuentas e Insignia Financial reportando intentos en unas 100 cuentas.
El vector de ataque fue un relleno de credenciales de manual: intentos de inicio de sesión automatizados utilizando credenciales recolectadas de brechas de datos no relacionadas. Los expertos en seguridad entrevistados por ABC News calificaron el ataque de "poco sofisticado", señalando que su éxito se debió enteramente a la ausencia de MFA. En un contraste sorprendente, HostPlus, otro gran fondo, reportó cero pérdidas financieras por la misma campaña, específicamente porque ya había implementado la MFA para las cuentas de los miembros. Esta comparación en el mundo real proporcionó una evidencia inequívoca del valor protector de la MFA.
Antes de la filtración, los clientes de AustralianSuper habían solicitado explícitamente la MFA como opción de seguridad, pero se les informó de que no estaba disponible. Tras el incidente, el fondo bloqueó inmediatamente las cuentas afectadas y aceleró el despliegue de la MFA. La carta posterior de APRA a todos los presidentes de las juntas directivas de los fondos de pensiones dejó clara la expectativa regulatoria: implementar la MFA era ahora una obligación urgente, no una consideración a futuro.
Los mandatos posteriores a las violaciones también surgen de campañas de phishing que comprometen las credenciales de la organización. En marzo de 2020, Service NSW, un portal de servicios del gobierno estatal, sufrió un ataque de phishing que expuso 736 GB de datos, comprometiendo información personal de aproximadamente 103.000 clientes. Los investigadores identificaron la ausencia de MFA en las cuentas de correo electrónico del personal como un contribuyente clave a la gravedad de la violación. En respuesta, Service NSW implementó la MFA en todos los sistemas de correo electrónico externos y, para agosto de 2021, la había habilitado en el 95 % de los sistemas de cara al exterior, respaldada por una inversión en seguridad de 5 millones de dólares australianos. Tras la filtración de datos separada de la empresa de telecomunicaciones Optus en 2022, Service NSW amplió aún más sus esfuerzos, realizando pruebas piloto y luego haciendo obligatoria la MFA para todos los titulares de cuentas MyServiceNSW para 2026.
Estos incidentes ilustran un patrón crítico: las filtraciones crean presión política y operativa que pasa por alto los ciclos de planificación gradual típicos del cumplimiento proactivo. La pregunta pasa de "¿Deberíamos obligar al uso de MFA?" a "¿Con qué rapidez podemos implementarla?". Este plazo comprimido a menudo agrava la experiencia del usuario y los desafíos operativos que se examinan más adelante en este artículo, haciendo que la elección del método MFA y el diseño de la implementación sean aún más trascendentes.
La imposición de la MFA a toda una base de usuarios descubre una serie de retos prácticos que a menudo se subestiman durante la planificación inicial. Estos problemas afectan a la experiencia del usuario, a la postura de seguridad y a los costes operativos.
Cuando la inscripción es obligatoria, una mala experiencia de usuario ya no es solo una molestia, sino que se convierte en un obstáculo directo a las operaciones del negocio. Las organizaciones suelen elegir entre dos estrategias: inscripción forzada, que requiere la configuración de la MFA en el siguiente inicio de sesión, o inscripción progresiva, que solicita a los usuarios a lo largo del tiempo. Si bien la inscripción forzada logra el cumplimiento más rápido, corre el riesgo de generar mayor frustración y abandono por parte de los usuarios si el proceso no es fluido. El éxito depende de la adhesión a las mejores prácticas de UX, como ofrecer múltiples métodos de autenticación, proporcionar instrucciones sumamente claras y garantizar la accesibilidad para todos los usuarios, por ejemplo, proporcionando una clave secreta basada en texto junto con un código QR para las aplicaciones de autenticación.
Una vez que la MFA está activa en una cuenta, perder un segundo factor significa quedarse completamente bloqueado. En un mundo obligatorio, esto no es un incidente aislado para unos pocos usuarios preocupados por la seguridad; se convierte en un desafío generalizado y crítico para toda la base de usuarios y los equipos de soporte que los atienden. Esto convierte la recuperación de cuentas en el mayor desafío de todos.
Lo que está en juego económicamente es mucho: un solo restablecimiento de contraseña o MFA dirigido por el servicio de asistencia técnica puede costar a una empresa un promedio de 70 dólares estadounidenses. Para una organización con cientos de miles de usuarios, incluso un pequeño porcentaje que necesite recuperación puede traducirse en millones de dólares en costes operativos y pérdida de productividad.
Las organizaciones se enfrentan a un difícil equilibrio entre seguridad, costo y comodidad:
Recuperación liderada por el centro de soporte técnico: Un agente de soporte puede verificar la identidad del usuario mediante una videollamada u otros medios. Es un proceso seguro y verificado por un ser humano, pero es prohibitivamente caro y lento de escalar, lo que lo hace insostenible para la mayoría de las empresas.
Recuperación basada en correo electrónico/SMS: Este es el método más común debido a su bajo coste y la familiaridad del usuario. Sin embargo, también es una vulnerabilidad de seguridad crítica. Si un atacante ya ha comprometido la cuenta de correo electrónico de un usuario, un precursor común de otros ataques, puede interceptar fácilmente el código de recuperación y eludir la MFA por completo. Este método anula en la práctica los beneficios de seguridad que se suponía iba a proporcionar el mandato.
Códigos de respaldo preinscritos: A los usuarios se les entrega un conjunto de códigos de respaldo de un solo uso durante la inscripción. Aunque es más seguro que la recuperación por correo electrónico, este enfoque añade fricción a la configuración inicial. Además, los usuarios frecuentemente no guardan estos códigos de forma segura o los pierden, lo que finalmente les lleva de vuelta al mismo problema de bloqueo.
Verificación con ID por selfie: Este método de alta seguridad requiere que el usuario se haga un selfie en directo y una foto de un documento de identidad emitido por el gobierno (como el permiso de conducir o el pasaporte). Los sistemas basados en IA cotejan entonces el rostro con el documento de identidad para confirmar la identidad. Aunque es habitual en la banca y los servicios financieros, donde la identidad se verifica durante la incorporación, plantea problemas de privacidad para algunos usuarios y les obliga a tener a mano su documento de identidad físico.
Credenciales y monederos digitales: Una opción emergente y de futuro implica el uso de credenciales digitales verificables almacenadas en un monedero digital. Un usuario podría presentar una credencial de un emisor de confianza (como un gobierno o banco) para demostrar su identidad sin pasar por un flujo de recuperación específico del servicio. Este método se encuentra todavía en sus primeras fases, pero apunta a un futuro de verificación de la identidad más portátil y controlada por el usuario.
Un punto de fallo frecuente y crítico en cualquier sistema de MFA es el ciclo de vida del dispositivo. Cuando un usuario adquiere un nuevo teléfono, la continuidad de su método de autenticación es primordial.
SMS: Este método es relativamente portátil, ya que un número de teléfono se puede transferir a un nuevo dispositivo mediante una nueva tarjeta SIM. Sin embargo, este mismo proceso es el vector de ataque explotado en los ataques de intercambio de SIM, donde un estafador convence a un operador de telefonía móvil de portar el número de la víctima a una SIM que controla.
Aplicaciones de autenticación (TOTP): Esta es una fuente importante de fricción para los usuarios. A menos que el usuario haya habilitado proactivamente una función de copia de seguridad en la nube dentro de su aplicación de autenticación (una función que no es universal y no siempre se usa), las claves secretas que generan los códigos se pierden con el dispositivo antiguo. Esto obliga al usuario a pasar por un proceso de recuperación de cuentas completo, y a menudo doloroso, para cada uno de los servicios que había asegurado.
Notificaciones automáticas: De forma similar a las aplicaciones TOTP, la MFA basada en notificaciones push (o push) está vinculada a la instalación de una aplicación específica en un dispositivo registrado. Un teléfono nuevo requiere un nuevo registro, desencadenando los mismos problemas de recuperación.
Cuando una organización impone la MFA y ofrece la posibilidad de elegir entre varios métodos, surge un patrón predecible: más del 95 % de los usuarios se decantan por lo más conocido y lo que perciben como más fácil, que a menudo son las contraseñas de un solo uso (OTP) basadas en SMS. Este comportamiento crea una paradoja. Un CISO puede obligar al uso de MFA para mejorar la seguridad. Sin embargo, si muchos usuarios continúan dependiendo de un método susceptible al phishing como el SMS, la organización puede lograr el 100 % de cumplimiento sin mejorar sustancialmente sus defensas contra los ataques sofisticados.
Las filtraciones de los fondos de pensiones australianos de marzo de 2025 aportaron pruebas crudas y reales de este problema. En ese incidente, la ausencia de cualquier MFA fue la vulnerabilidad decisiva. Sin embargo, la lección general se extiende más allá de la dualidad de "MFA o no MFA" a la calidad de la MFA implementada. Las organizaciones que ofrecen únicamente MFA basada en SMS como su opción principal o única, siguen siendo vulnerables al phishing, a la ingeniería social y a los ataques de intercambio de SIM. Los atacantes en el caso australiano explotaron credenciales débiles; si esas cuentas hubieran estado "protegidas" solo por OTP por SMS, los atacantes con acceso a cuentas de correo electrónico comprometidas podrían haber interceptado los flujos de restablecimiento de contraseñas y provocado intercambios de SIM para saltarse ese factor también.
En reconocimiento de esto, plataformas como Microsoft han introducido la "MFA preferida por el sistema", que orienta activamente a los usuarios hacia opciones más seguras como las aplicaciones de autenticación, en lugar de SMS o llamadas de voz. Esto pone de relieve una lección fundamental: limitarse a exigir la MFA no es suficiente. El tipo de MFA es profundamente importante, y las organizaciones deben alejar activamente a los usuarios de los factores más débiles y vulnerables al phishing.
La decisión de exigir la MFA tiene un impacto directo y cuantificable en los recursos operativos. Desencadena inevitablemente un aumento de los tickets de asistencia técnica relacionados con problemas de inscripción, autenticadores perdidos y solicitudes de recuperación. Las investigaciones de Gartner indican que entre el 30 y el 50 % de todas las llamadas de asistencia informática se refieren ya a problemas relacionados con contraseñas; la MFA obligatoria, sobre todo cuando va unida a engorrosos flujos de recuperación, agrava significativamente esta carga. Esto se traduce en costes directos que los directores de tecnología (CTO) y los gestores de proyectos deben prever. Además, el propio servicio de asistencia técnica se convierte en un objetivo principal para los ataques de ingeniería social, en los que los atacantes se hacen pasar por usuarios frustrados y bloqueados para engañar a los agentes de asistencia técnica y hacer que restablezcan los factores de MFA en su nombre.
Examinar implementaciones a gran escala y en el mundo real de la MFA obligatoria proporciona lecciones invaluables sobre lo que funciona y lo que crea una fricción significativa. Al analizar las experiencias tanto de los despliegues normativos proactivos como la PSD2 en Europa, como de los mandatos reactivos posteriores a incidentes en el sector financiero de Australia, podemos extraer varias verdades universales.
La fricción inicial es inevitable, pero manejable: El despliegue de la SCA europea demostró que forzar un cambio importante en el comportamiento del usuario, incluso por seguridad, perjudicará inicialmente a las tasas de conversión. Sin embargo, también demostró que, con procesos perfeccionados y habituación del usuario, estos efectos negativos pueden mitigarse con el tiempo. La clave es anticiparse a esta fricción y diseñar el flujo más ágil y fácil de usar posible desde el principio.
La elección del usuario es un arma de doble filo: Cuando se les dan opciones, los usuarios eligen sistemáticamente el camino de menor resistencia, lo que a menudo significa seleccionar métodos MFA conocidos pero menos seguros, como los SMS. Esto conduce a un estado de "teatro del cumplimiento", en el que la organización cumple la letra del mandato, pero no su espíritu, y sigue siendo vulnerable al phishing. Los ataques a los fondos de pensiones australianos de marzo de 2025 demostraron este principio a la inversa: las organizaciones sin ningún tipo de MFA sufrieron pérdidas significativas, mientras que las que tenían implantada al menos una MFA básica (como HostPlus) impidieron el robo financiero. Sin embargo, la lección va más allá; las implementaciones débiles de MFA basadas únicamente en SMS siguen siendo vulnerables a atacantes decididos que pueden explotar los intercambios de SIM y la ingeniería social. Una estrategia exitosa debe guiar activamente a los usuarios hacia opciones más sólidas y resistentes al phishing.
La recuperación se convierte en el talón de Aquiles: En un mundo obligatorio, la recuperación de cuentas pasa de ser un caso aislado a convertirse en la principal carga operativa y en una vulnerabilidad de seguridad crítica. Confiar en el correo electrónico o el SMS para la recuperación socava todo el modelo de seguridad, mientras que la recuperación dirigida por el servicio de asistencia técnica es financieramente insostenible. Un proceso de recuperación sólido, seguro y fácil de usar no es una idea de última hora, sino un requisito básico de cualquier mandato exitoso.
Los mandatos posteriores a filtraciones comprimen los plazos y amplifican el riesgo: Cuando los mandatos se desencadenan por un incidente de seguridad en lugar de por una iniciativa de cumplimiento planificada, el plazo de implementación se comprime drásticamente. El sector australiano de los fondos de jubilación pasó de "clientes solicitando MFA" a "reguladores esperando un despliegue inmediato" pocas semanas después de la filtración. Este calendario acelerado deja menos margen para las pruebas de usuarios, los despliegues por fases y el perfeccionamiento iterativo, por lo que la elección de la tecnología y el diseño de la experiencia del usuario son aún más decisivos. Las organizaciones que implantan proactivamente la MFA antes de una infracción gozan del lujo de una planificación minuciosa; las que se ven obligadas a reaccionar tras un incidente, no.
Las implementaciones por fases reducen drásticamente los riesgos: Intentar un despliegue masivo ("big bang") para toda una base de usuarios es una estrategia de alto riesgo. Un enfoque más prudente, de probada eficacia en grandes despliegues empresariales, consiste en poner a prueba el nuevo sistema con grupos de usuarios más pequeños y no críticos. Esto permite al equipo del proyecto identificar y resolver errores, perfeccionar la experiencia del usuario y recopilar comentarios en un entorno controlado antes de una implementación a gran escala.
Una plataforma de identidad centralizada es un poderoso facilitador: Las organizaciones que disponen de una plataforma centralizada de gestión de identidades y accesos (IAM) o de inicio de sesión único (SSO) están mucho mejor posicionadas para un despliegue sin problemas. Un sistema central de identidad permite la aplicación rápida y uniforme de nuevas políticas de autenticación en cientos o miles de aplicaciones, lo que reduce significativamente la complejidad y el coste del proyecto.
Suscríbete a nuestro Substack de passkeys para recibir las últimas noticias.
Las claves de acceso (passkeys), creadas sobre el estándar WebAuthn de la Alianza FIDO, no son solo una mejora incremental sobre la MFA heredada. Su arquitectura subyacente, basada en la criptografía de clave pública, está diseñada específicamente para resolver los problemas más dolorosos y persistentes que crean los mandatos de MFA.
Resolver la pesadilla de la recuperación: El mayor desafío de la MFA obligatoria es la recuperación de la cuenta. Las claves de acceso abordan esto directamente. Una clave de acceso es una credencial criptográfica que se puede sincronizar en los dispositivos del usuario a través de su ecosistema de plataforma (como iCloud Keychain de Apple o Google Password Manager). Si un usuario pierde su teléfono, la clave de acceso sigue estando disponible en su portátil o tableta. Esto reduce drásticamente la frecuencia de los bloqueos y disminuye la dependencia de canales de recuperación inseguros como el correo electrónico o las costosas intervenciones del servicio de asistencia técnica.
Resolver el problema del ciclo de vida de los dispositivos: Debido a que las claves de acceso se sincronizan, la experiencia de obtener un nuevo dispositivo pasa de ser un punto de alta fricción a una transición perfecta. Cuando un usuario inicia sesión en su cuenta de Google o Apple en un teléfono nuevo, sus claves de acceso se restauran automáticamente y están listas para usarse. Esto elimina el doloroso proceso de reinscripción, aplicación por aplicación, que requieren las aplicaciones de autenticación tradicionales, vinculadas al dispositivo.
Resolver la paradoja de las preferencias del usuario: Las claves de acceso resuelven el clásico compromiso entre seguridad y comodidad. El método de autenticación más seguro disponible, la criptografía de clave pública resistente al phishing, es también el más rápido y fácil para el usuario. Un solo gesto biométrico o un PIN del dispositivo es todo lo que se requiere. No hay ningún incentivo para que un usuario elija una opción más débil y menos segura, porque la opción más fuerte es también la más conveniente.
Resolver la vulnerabilidad al phishing: Las claves de acceso son resistentes al phishing por diseño. El par de claves criptográficas creado durante el registro está vinculado al origen específico del sitio web o aplicación (por ejemplo, corbado.com). No se puede engañar a un usuario para que utilice su clave de acceso en un sitio de phishing de aspecto similar (por ejemplo, corbado.scam.com) porque el navegador y el sistema operativo reconocerán la falta de coincidencia del origen y se negarán a realizar la autenticación. Esto proporciona una garantía fundamental de seguridad que no puede ofrecer ningún método basado en secretos compartidos (como contraseñas o OTP).
Resolver la fatiga de MFA: Una acción única y sencilla por parte del usuario, como un escaneo de Face ID o el contacto de la huella dactilar, demuestra de forma simultánea la posesión de la clave criptográfica en el dispositivo ("algo que se tiene") y la inherencia mediante la biometría ("algo que se es"). El usuario lo percibe como un solo paso sin esfuerzo, pero criptográficamente satisface el requisito de la autenticación multifactor. Esto permite a las organizaciones cumplir normas estrictas de cumplimiento normativo sin añadir los pasos adicionales y la carga cognitiva que conlleva la MFA heredada.
La transición de la MFA heredada a una estrategia centrada en las claves de acceso requiere un enfoque deliberado de múltiples etapas que aborde la tecnología, la experiencia del usuario y los objetivos del negocio.
Antes de que pueda obligar a utilizar claves de acceso, debe comprender la capacidad técnica de su base de usuarios para adoptarlas. Este es un primer paso fundamental para calibrar la viabilidad y el calendario de un despliegue.
Analizar el panorama de sus dispositivos: Utilice las herramientas de análisis web existentes para recopilar datos sobre los sistemas operativos (versiones de iOS, Android, Windows) y los navegadores que prefieren sus usuarios.
Desplegar una herramienta de preparación de claves de acceso: Para obtener datos más precisos, un recurso de datos liviano como State of Passkeys proporciona información sobre el porcentaje de usuarios cuyos dispositivos son compatibles con autenticadores de plataforma (como Face ID, Touch ID y Windows Hello) y mejoras cruciales de la UX como la interfaz condicional (Conditional UI), que permite el autocompletado de claves de acceso. Estos datos son esenciales para construir un modelo de adopción realista.
La transición a las claves de acceso será gradual, no instantánea. Una estrategia eficaz requiere un sistema híbrido que fomente las claves de acceso como método principal y preferido, al tiempo que proporciona un mecanismo de respaldo seguro para los usuarios con dispositivos incompatibles o para los que aún no se han inscrito.
Elegir un patrón de integración:
Identificador primero: El usuario introduce su correo electrónico o nombre de usuario. A continuación, el sistema comprueba si hay registrada una clave de acceso para ese identificador y, de ser así, inicia el flujo de inicio de sesión con clave de acceso. En caso contrario, recurre sin problemas a una contraseña o a otro método seguro. Este enfoque ofrece la mejor experiencia de usuario y suele traducirse en mayores tasas de adopción.
Botón dedicado para claves de acceso: Se coloca un botón "Iniciar sesión con clave de acceso" junto al formulario de inicio de sesión tradicional. Es más fácil de implementar, pero recae sobre el usuario la responsabilidad de seleccionar el nuevo método, lo que puede resultar en un uso menor.
Asegurarse de que los mecanismos de respaldo sean seguros: Su mecanismo de respaldo no debe socavar sus objetivos de seguridad. Evite recurrir a métodos inseguros como los OTP por SMS. Una alternativa más fuerte es utilizar un código de un solo uso sensible al tiempo o un enlace mágico enviado a la dirección de correo electrónico verificada del usuario, lo que sirve como factor de posesión para una sesión específica.
La comunicación eficaz es primordial para un despliegue sin problemas. El objetivo es presentar las claves de acceso no como otra molestia de seguridad, sino como una mejora significativa de la experiencia del usuario.
Mensajes basados en beneficios: Utilice un lenguaje claro y sencillo que se centre en los beneficios para el usuario: "Inicie sesión más rápido y de forma más segura", "Diga adiós a las contraseñas olvidadas" y "Su huella dactilar es ahora su clave". Utilice sistemáticamente el icono oficial de claves de acceso FIDO para crear reconocimiento.
Estrategia de implementación por fases:
Comience con la adopción de tipo "Pull": Inicialmente, ofrezca la creación de claves de acceso como una opción dentro de la página de Configuración de la cuenta del usuario. Esto permite a los pioneros y a los usuarios con conocimientos técnicos optar por ellas sin interrumpir el flujo de todos los demás.
Pase a la adopción de tipo "Push": Una vez que el sistema sea estable, comience a incitar proactivamente a los usuarios a que creen una clave de acceso inmediatamente después de que inicien sesión con éxito con su antigua contraseña. Esto capta a los usuarios cuando ya tienen una "mentalidad de autenticación".
Intégrelo en la incorporación de usuarios: Por último, haga que la creación de claves de acceso sea una opción principal y recomendada en las altas de todos los nuevos usuarios.
Un enfoque basado en datos es esencial para validar la inversión en claves de acceso y para optimizar continuamente la experiencia. Todos los equipos deben realizar un seguimiento de las métricas relevantes para sus funciones.
Métricas de adopción y compromiso:
Tasa de creación de claves de acceso: El porcentaje de usuarios elegibles que crean una clave de acceso.
Tasa de uso de claves de acceso: El porcentaje de inicios de sesión totales que se realizan con una clave de acceso.
Tiempo hasta la primera acción clave: La rapidez con la que los nuevos usuarios realizan una acción crítica tras adoptar las claves de acceso.
Métricas operativas y de negocio:
Reducción de tickets de restablecimiento de contraseñas: Una medida directa de la reducción de los costes del centro de asistencia.
Reducción de los costes de los OTP por SMS: Ahorro de costes tangible derivado de la eliminación de un factor heredado.
Tasa de éxito del inicio de sesión: Comparación de la tasa de éxito de los inicios de sesión con clave de acceso frente a los inicios de sesión con contraseña/MFA.
Disminución de los incidentes de robo de cuentas: La medida definitiva de la eficacia de la seguridad.
Las tablas siguientes proporcionan un resumen conciso, comparando métodos de autenticación y asignando las soluciones de claves de acceso directamente a los puntos débiles comunes de la empresa.
| Método | Resistencia al phishing | Fricción del usuario (Inicio de sesión) | Complejidad de la recuperación | Portabilidad del dispositivo | Coste operativo (Centro de soporte/SMS) |
|---|---|---|---|---|---|
| Solo contraseña (SFA) | Muy baja: Muy vulnerable al phishing y al relleno de credenciales. | Media: Propensa al olvido de contraseñas, requiriendo restablecimientos. | Media: Depende de una recuperación insegura por correo electrónico. | Alta: Portátil, pero también lo son los riesgos. | Alto: Principal motivo de llamadas al soporte técnico. |
| OTP por SMS obligatorio | Baja: Vulnerable a los ataques de phishing, ingeniería social e intercambio de SIM. | Alta: Requiere esperar y escribir un código. | Media: Depende del acceso al número de teléfono. | Alta: El número es portátil, pero también lo es el riesgo de intercambio de SIM. | Muy alto: Tarifas de SMS más tickets de soporte por bloqueo. |
| App TOTP obligatoria | Media: Protege frente a ataques remotos a la contraseña, pero no al phishing en tiempo real. | Alta: Requiere abrir una aplicación separada y escribir un código. | Muy alta: La pérdida del dispositivo a menudo significa bloqueo y una recuperación compleja. | Baja: Las claves están vinculadas al dispositivo a menos que se haga una copia de seguridad manual. | Alto: Impulsado por los tickets de pérdida de dispositivo y recuperación. |
| Notificaciones automáticas obligatorias | Baja: Altamente vulnerables a la fatiga de MFA y a los ataques de bombardeo push (push bombing). | Baja: Un simple toque para aprobar, pero puede ser perjudicial. | Muy alta: Vinculado a un dispositivo específico; la pérdida del dispositivo requiere un proceso de recuperación completo y complejo. | Baja: Las claves están vinculadas a la instalación de la aplicación y no se transfieren a un nuevo dispositivo automáticamente. | Alto: Genera tickets de soporte por pérdida de dispositivo y ataques de fatiga de MFA. |
| Claves de acceso obligatorias | Muy alta: Resistentes al phishing por diseño debido a la vinculación de origen. | Muy baja: Un solo y rápido gesto biométrico o PIN. | Baja: Sincronizadas en los dispositivos del usuario a través del proveedor de la plataforma. | Muy alta: Disponibles de forma natural en los nuevos dispositivos mediante la sincronización en la nube. | Muy bajo: Reduce drásticamente los bloqueos y elimina los costes de los SMS. |
Cómo las claves de acceso ofrecen soluciones a los problemas de la MFA obligatoria
| Persona | Principal problema de la MFA obligatoria | Cómo proporcionan la solución las claves de acceso |
|---|---|---|
| Gerente de Producto | La elevada fricción en los procesos de inicio de sesión y recuperación daña la experiencia del usuario, reduce el compromiso y disminuye las tasas de conversión. | Las claves de acceso ofrecen un inicio de sesión biométrico con un solo toque que es significativamente más rápido que las contraseñas. Al eliminar prácticamente los bloqueos de cuenta, suprimen una fuente importante de frustración y abandono de los usuarios. |
| CTO / Jefe de Ingeniería | El elevado coste operativo de los tickets de soporte para los restablecimientos de contraseñas y MFA, sumado a los costes recurrentes de los OTP por SMS, pone a prueba los presupuestos y los recursos informáticos. | La sincronización de las claves de acceso en todos los dispositivos reduce drásticamente las situaciones de bloqueo que generan tickets de soporte. La eliminación de los OTP por SMS proporciona ahorros de costes directos y medibles. |
| CISO / Profesional de Seguridad | Los usuarios, cuando se ven obligados a inscribirse, eligen a menudo el método de MFA más débil y más vulnerable al phishing (como los SMS), lo que socava la mejora de seguridad prevista por el mandato. | Las claves de acceso son resistentes al phishing por diseño. Elevan el nivel de seguridad de todos los usuarios al hacer que la opción más segura sea también la más conveniente, eliminando al usuario de la decisión de seguridad. |
| Gerente de Proyecto | La imprevisibilidad de un despliegue masivo (big bang), sumada a la resistencia al cambio de los usuarios, dificulta la gestión de los plazos del proyecto y la asignación de recursos. | Un despliegue de claves de acceso por fases (empezando por los ajustes y luego preguntando después del inicio de sesión) combinado con una comunicación clara al usuario y orientada a los beneficios, hace que la adopción sea más fluida y predecible, reduciendo el riesgo del proyecto. |
La era de la autenticación multifactor obligatoria ha llegado para quedarse. Aunque nacieron de la necesidad crítica de defenderse contra los ataques basados en credenciales, estos mandatos han creado inadvertidamente un nuevo panorama de desafíos.
Hemos visto que la imposición de la MFA introduce cargas operativas significativas, desde los costes directos de las tarifas de los SMS hasta el aumento de los tickets del centro de soporte por parte de usuarios que tienen problemas con la inscripción y los cambios de dispositivo. Hemos aprendido que, cuando se les da la opción, los usuarios se decantan por métodos conocidos pero susceptibles al phishing, como los SMS, con lo que se logra el cumplimiento normativo sobre el papel, pero se deja a la organización expuesta a ataques en el mundo real. Y lo que es más crítico, hemos establecido que, en un mundo obligatorio, la recuperación de cuentas se convierte en el mayor punto de fallo, una fuente de inmensa frustración para el usuario y un enorme agujero de seguridad cuando no se gestiona adecuadamente.
Los métodos de MFA heredados no pueden resolver estos problemas. Pero las claves de acceso sí. Hemos demostrado que las claves de acceso son la respuesta definitiva, ya que resuelven directamente los problemas interconectados de recuperación, fricción del usuario y seguridad. Su naturaleza sincronizada elimina la mayoría de los escenarios de bloqueo, su facilidad de uso biométrica elimina el incentivo para elegir opciones más débiles, y su diseño criptográfico las hace inmunes al phishing. Finalmente, hemos establecido un plan claro de cuatro pasos, desde la auditoría de preparación hasta la medición del éxito, que proporciona una vía práctica para que cualquier organización haga esta transición estratégica.
Ver este cambio únicamente como un dolor de cabeza para el cumplimiento normativo es desaprovechar la oportunidad estratégica que presenta. Los pioneros de la Autenticación Reforzada de Clientes en la banca europea, a pesar de las dificultades iniciales, acabaron moldeando las expectativas de los usuarios de todo un sector. Hoy, los pioneros de las claves de acceso tienen la misma oportunidad. Al aceptar esta transición, las organizaciones pueden transformar un mandato de seguridad de una obligación pesada a una ventaja competitiva poderosa y duradera. El momento de planificar su paso del mandato al impulso es ahora.
Corbado es la Authentication Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →
La MFA obligatoria convierte la recuperación de cuentas en el principal desafío operativo con cuatro opciones principales: verificación liderada por el centro de soporte (segura pero costosa), recuperación por correo electrónico o SMS (económica pero vulnerable si el correo se ve comprometido), códigos de respaldo preinscritos (a menudo perdidos por los usuarios) y verificación con selfie que requiere una identificación oficial. Cada opción implica una compensación entre seguridad, costo y escalabilidad.
Las contraseñas de un solo uso (OTP) por SMS son vulnerables al phishing en tiempo real, al intercambio de SIM y a la elusión de la recuperación a través de una cuenta de correo electrónico comprometida. Incluso con una inscripción de MFA del 100 %, depender de los SMS significa que una organización cumple con la letra de un mandato pero no con su espíritu. La introducción de Microsoft de la 'MFA preferida por el sistema' reconoce este problema al orientar activamente a los usuarios hacia las aplicaciones de autenticación en lugar de los SMS.
En marzo de 2025, los atacantes utilizaron credenciales robadas para acceder a hasta 600 cuentas de AustralianSuper y extraer 500.000 dólares australianos de los saldos de cuatro miembros. HostPlus, que ya había implementado MFA, reportó cero pérdidas financieras por la misma campaña. Posteriormente, APRA escribió a todos los presidentes de las juntas de fondos de pensiones, convirtiendo la implementación de MFA en una obligación regulatoria urgente en lugar de una consideración futura.
Las claves de acceso se sincronizan a través de ecosistemas de plataformas como iCloud Keychain de Apple y Google Password Manager, restaurándose automáticamente en un nuevo dispositivo sin necesidad de volver a inscribirse por servicio. Las aplicaciones de autenticación TOTP pierden todas las claves secretas cuando se reemplaza un dispositivo, a menos que se haya habilitado manualmente una copia de seguridad en la nube de antemano, lo que convierte el reemplazo de dispositivos en un impulsor principal de los tickets de soporte técnico y los bloqueos de cuentas bajo la MFA obligatoria.
Un enfoque de adopción en tres fases reduce el riesgo de implementación. Primero, ofrezca la creación de claves de acceso como una opción dentro de la Configuración de la cuenta para captar a los primeros usuarios sin interrumpir los flujos existentes. Segundo, solicite a los usuarios que creen una clave de acceso inmediatamente después de un inicio de sesión exitoso con contraseña, cuando ya tienen una mentalidad de autenticación. Tercero, haga de la creación de claves de acceso la recomendación principal durante la incorporación de nuevos usuarios.
Artículos relacionados
Tabla de contenidos