¿Qué es la MFA resistente al phishing?
Su usuario acaba de aprobar su decimoquinta notificación push de MFA a las 2 AM porque las alertas no paraban. El atacante ahora tiene acceso autenticado a su red. Este escenario ocurre regularmente: los ataques de fatiga de MFA aparecen en el 14% de los incidentes de seguridad analizados en el Informe de Investigaciones de Brechas de Datos de Verizon 2025, convirtiendo la fatiga de MFA en el principal método de elusión. La ingeniería social se ha convertido en la principal vulnerabilidad en la autenticación multifactor tradicional.
La MFA resistente al phishing elimina esta vulnerabilidad mediante una arquitectura criptográfica que hace estructuralmente imposible el robo de credenciales. Según el Instituto Nacional de Estándares y Tecnología, la autenticación resistente al phishing requiere "contraseña o biometría + procesos criptográficos de clave asimétrica (PIV, CAC, FIDO2)". La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) designa este enfoque como "el estándar de oro para MFA" e identifica solo dos implementaciones aprobadas: autenticación FIDO/WebAuthn y autenticación basada en PKI.
Los métodos tradicionales de MFA transmiten credenciales que los atacantes pueden interceptar y reutilizar. Los códigos SMS, notificaciones push y contraseñas de un solo uso no están vinculados criptográficamente a los puntos finales de autenticación legítimos. Un atacante puede retransmitirlos entre la víctima y una página de inicio de sesión falsa dentro de su ventana de validez. La MFA resistente al phishing utiliza criptografía asimétrica donde las claves privadas nunca abandonan el dispositivo autenticador y los desafíos de autenticación se vinculan criptográficamente a dominios específicos. Cuando intenta autenticarse en un sitio de phishing, el autenticador no puede producir una firma válida porque el dominio no coincide. La autenticación falla antes de que cualquier interacción del usuario pueda comprometer la seguridad.
Entender la definición es una cosa. Ver por qué importa requiere observar la escala de los ataques basados en credenciales que hoy apuntan a las organizaciones.
Cómo se relaciona la MFA resistente al phishing con la ciberseguridad
El Centro de Quejas de Delitos en Internet del FBI recibió 193,407 denuncias de phishing en 2024, lo que representa una actividad cibercriminal sustancial reportada al principal mecanismo de denuncia del gobierno federal. El abuso de credenciales estuvo presente en el 90% de las brechas confirmadas de aplicaciones web en los últimos 18 meses según el análisis de Verizon.
Los incidentes del mundo real muestran por qué la MFA tradicional falla ante atacantes determinados. En septiembre de 2022, Uber sufrió una brecha cuando un atacante bombardeó a un empleado con notificaciones push de MFA hasta que el empleado aprobó una. El atacante obtuvo acceso a sistemas internos, incluidos Slack, Google Workspace e informes de vulnerabilidades. En mayo de 2022, Cisco reveló una brecha donde los atacantes usaron phishing por voz para convencer a un empleado de aceptar notificaciones push de MFA después de robar credenciales VPN. El resultado fue acceso no autorizado a sistemas internos y exfiltración de datos.
La inteligencia de amenazas de CISA identifica que adversarios, incluido el grupo Scattered Spider, utilizan técnicas de interceptación y retransmisión de credenciales para obtener acceso a la red. La MFA tradicional solo proporciona protección limitada contra estos métodos. La MFA resistente al phishing detiene tanto el robo de credenciales fuera de línea como el phishing en tiempo real porque cada solicitud de autenticación requiere nuevos desafíos criptográficos que los atacantes no pueden falsificar sin la clave privada en el dispositivo autenticador.
Los equipos de operaciones de seguridad que monitorean patrones de autenticación también necesitan visibilidad sobre el comportamiento posterior a la autenticación. Plataformas como la Singularity Platform correlacionan eventos de autenticación con actividad en los endpoints para detectar cuándo los atacantes pasan a movimiento lateral o escalamiento de privilegios después de que los usuarios legítimos se autentican. Pero antes de incorporar el monitoreo, debe comprender los componentes que hacen que la autenticación resistente al phishing funcione.
Componentes clave de la MFA resistente al phishing
La MFA resistente al phishing se basa en un modelo de credenciales fundamentalmente diferente al de la autenticación tradicional. En lugar de secretos compartidos que ambas partes conocen, utiliza pares de claves asimétricas donde solo el autenticador posee la clave privada.
Cuando se registra en un servicio compatible con FIDO2, su dispositivo cliente genera un par de claves que solo funciona para esa aplicación específica. Su clave privada nunca abandona el dispositivo. El servicio registra su clave pública pero nunca posee material secreto de credenciales. Cada servicio recibe un par de claves único, evitando la correlación de credenciales entre sitios. Los datos biométricos y las claves privadas se almacenan en hardware seguro, protegiendo contra la posible vulnerabilidad del dispositivo.
La autenticación resistente al phishing se basa en tres tipos principales de autenticadores:
- Llaves de seguridad hardware proporcionan claves vinculadas al dispositivo, no exportables y almacenadas en hardware resistente a manipulaciones. Se conectan mediante USB, NFC o Bluetooth. Son ideales para gestión de acceso privilegiado, entornos de estaciones de trabajo compartidas y escenarios de alta seguridad que requieren atestación hardware.
- Autenticadores de plataforma están integrados directamente en sus dispositivos a través de Windows Hello, Apple Touch ID y Face ID. Según la documentación FIDO2 de Microsoft, estos autenticadores utilizan módulos de seguridad hardware: Trusted Platform Modules (TPM) en Windows, Secure Enclaves en dispositivos Apple y almacenes de claves respaldados por hardware en Android. Se autentica mediante capacidades biométricas y claves criptográficas almacenadas en estos módulos protegidos por hardware.
- Passkeys son credenciales FIDO detectables que son resistentes al phishing por diseño. Las passkeys vinculadas a dispositivos se almacenan en módulos de seguridad hardware y no pueden exportarse, proporcionando la mayor garantía de seguridad. Las passkeys sincronizadas se sincronizan en la nube entre sus dispositivos usando cifrado de extremo a extremo, priorizando la conveniencia sin dejar de cumplir la definición criptográfica de autenticación resistente al phishing.
Cada uno de estos componentes participa en una ceremonia de autenticación estructurada que detiene el phishing mediante la vinculación criptográfica de dominios. La siguiente sección explica cómo funciona esa ceremonia paso a paso.
Cómo funciona la MFA resistente al phishing
La ceremonia de autenticación detiene el phishing mediante la vinculación de dominios a nivel de protocolo. Cuando inicia el registro, el sitio web de la parte confiable genera un desafío criptográfico que contiene datos aleatorios únicos para ese registro. Su dispositivo cliente crea un par de claves único específico para ese dominio.
Su autenticador firma el desafío con la clave privada recién creada, y el servidor FIDO almacena la clave pública asociada tanto a su cuenta de usuario como a los metadatos del autenticador. Durante la autenticación, el autenticador solicita verificación biométrica, ingreso de PIN o confirmación de presencia física. El sistema verifica que el dominio coincida con una credencial registrada para ese origen específico. Si está en un sitio de phishing, su autenticador no encontrará una credencial coincidente y la autenticación falla antes de que pueda comprometer la seguridad.
Cada autenticación genera firmas criptográficas únicas que no pueden reutilizarse ni retransmitirse. Esto hace que los ataques de intermediario sean ineficaces. Los atacantes pueden crear sitios proxy idénticos a los servicios legítimos, pero el desafío criptográfico se vincula al dominio de origen específico. El proxy no puede falsificar la firma requerida porque no controla el dominio legítimo ni posee su clave privada.
Esta protección a nivel de protocolo es lo que diferencia la MFA resistente al phishing de los métodos tradicionales en los que la mayoría de las organizaciones aún confía.
MFA resistente al phishing vs. MFA tradicional
La MFA estándar agrega un segundo factor al inicio de sesión basado en contraseña, pero la mayoría de las implementaciones aún dependen de secretos compartidos que los atacantes pueden interceptar. La diferencia entre los enfoques tradicionales y resistentes al phishing radica en si las credenciales pueden ser robadas durante el propio proceso de autenticación.
Cómo fallan los métodos tradicionales de MFA
Las contraseñas de un solo uso por SMS y voz viajan a través de redes de telecomunicaciones donde los atacantes pueden interceptarlas mediante SIM swapping o explotación del protocolo SS7. Las aplicaciones autenticadoras generan códigos basados en tiempo que los usuarios ingresan en los formularios de inicio de sesión, y los proxies de phishing en tiempo real capturan estos códigos cuando los usuarios los introducen en sitios falsos.
Las notificaciones push solicitan a los usuarios aprobar solicitudes de inicio de sesión, pero los ataques de fatiga de MFA bombardean a los usuarios con solicitudes repetidas hasta que aprueban una. Cada uno de estos métodos transmite una credencial reutilizable o depende del juicio del usuario para distinguir solicitudes legítimas de fraudulentas.
Cómo la MFA resistente al phishing cierra la brecha
La MFA resistente al phishing elimina ambos problemas. La autenticación FIDO2/WebAuthn y basada en PKI utiliza criptografía asimétrica donde las claves privadas nunca abandonan el dispositivo autenticador y cada respuesta de autenticación se vincula criptográficamente al dominio solicitante. Ninguna credencial cruza la red para que un atacante la intercepte.
Ninguna decisión del usuario determina si una solicitud es legítima porque el protocolo aplica la verificación de dominio automáticamente. Google reportó cero ataques de phishing exitosos contra sus más de 85,000 empleados tras implementar llaves de seguridad FIDO, y la implementación de MFA resistente al phishing de Microsoft en su fuerza laboral ahora protege el 92% de las cuentas de empleados con estos métodos.
La brecha entre estos enfoques seguirá ampliándose a medida que los atacantes adopten ingeniería social potenciada por IA que hace que la interceptación de credenciales en tiempo real sea más rápida y convincente. Esa brecha creciente es precisamente la razón por la que los reguladores y organismos de estándares ahora exigen métodos resistentes al phishing.
Regulaciones y cumplimiento de la MFA resistente al phishing
Mandatos federales y estándares globales ahora requieren o recomiendan autenticación resistente al phishing, haciendo del cumplimiento un motor principal para la adopción junto con los beneficios de seguridad.
Los marcos clave que impulsan la adopción incluyen:
- El Memorando OMB M-22-09, emitido en enero de 2022 bajo la Orden Ejecutiva 14028, exigió a todas las agencias federales implementar MFA resistente al phishing para el personal de la agencia, contratistas y socios como parte de una estrategia de arquitectura Zero Trust. El memorando establece explícitamente que las agencias deben dejar de admitir métodos de autenticación que no resistan el phishing, incluidos códigos SMS, llamadas de voz, contraseñas de un solo uso y notificaciones push simples. Los sistemas gubernamentales de cara al público también deben ofrecer opciones resistentes al phishing a los usuarios generales.
- El Modelo de Madurez Zero Trust de CISA posiciona la MFA resistente al phishing como un requisito fundamental bajo su pilar de Identidad. En el nivel óptimo de madurez, las organizaciones implementan autenticación resistente al phishing en todos los usuarios y escenarios de acceso.
- La Publicación Especial de NIST 800-63B define el Nivel de Garantía de Autenticación 3 (AAL3) como requerimiento de autenticadores hardware resistentes al phishing con prueba criptográfica de posesión.
Más allá del gobierno federal de EE. UU., estos requisitos influyen en industrias reguladas a nivel global. Instituciones financieras, organizaciones de salud y contratistas de defensa que trabajan con agencias federales deben cumplir los mismos estándares de autenticación. La Directiva NIS2 de la Unión Europea exige controles de autenticación más sólidos para operadores de infraestructuras críticas, y marcos del sector privado como PCI DSS 4.0 ahora recomiendan autenticación resistente al phishing para el acceso administrativo a entornos de datos de titulares de tarjetas.
Las organizaciones que retrasan la adopción enfrentan tanto exposición regulatoria como implicaciones en seguros, ya que los aseguradores cibernéticos exigen cada vez más MFA resistente al phishing para la elegibilidad de pólizas. Más allá del cumplimiento, los propios beneficios de seguridad constituyen un argumento sólido para la adopción.
Beneficios clave de la MFA resistente al phishing
Elimina los ataques de phishing de credenciales. El 36% de los consumidores que experimentaron compromiso de cuentas por credenciales débiles o robadas según la encuesta 2025 de FIDO Alliance obtiene protección mediante la vinculación criptográfica que hace imposible técnicamente el robo de credenciales.
La MFA resistente al phishing proporciona protección contra los ataques que comprometen sistemáticamente la autenticación tradicional:
- Ataques de SIM swapping donde los atacantes convencen a los operadores móviles de transferir el control del número telefónico fallan porque la autenticación se vincula a claves criptográficas en hardware específico, no a números telefónicos.
- Ataques de intermediario que capturan credenciales y tokens de sesión fallan porque cada solicitud de autenticación requiere nuevos desafíos criptográficos específicos del dominio legítimo.
- Ataques de fatiga de MFA que bombardean a los usuarios con solicitudes de aprobación fallan porque la autenticación requiere la posesión física del dispositivo autenticador con verificación de presencia del usuario.
Estos mecanismos de protección ofrecen mejoras de seguridad concretas, pero las organizaciones también deben mantener visibilidad más allá de la capa de autenticación para detectar patrones de acceso anómalos que indiquen compromiso de cuentas mediante métodos de ataque no basados en credenciales. Sin embargo, para obtener estos beneficios, es necesario superar varios desafíos de implementación.
Desafíos en la implementación de la MFA resistente al phishing
Desplegar MFA resistente al phishing en toda una empresa no es un simple cambio de configuración. Las organizaciones enfrentan obstáculos arquitectónicos, operativos y estratégicos que requieren una planificación cuidadosa para superarlos.
Compatibilidad con aplicaciones heredadas
Las aplicaciones heredadas presentan la restricción arquitectónica más significativa. Según la orientación de CISA y FIDO Alliance, FIDO2 y WebAuthn requieren navegadores web y sistemas operativos modernos. Las aplicaciones que utilizan protocolos de autenticación heredados no pueden admitir FIDO2 directamente sin modificaciones arquitectónicas.
Debe mapear los métodos de autenticación a las capacidades de la aplicación: las aplicaciones web modernas admiten FIDO2/WebAuthn nativo, las aplicaciones heredadas pueden requerir autenticación basada en PKI o soluciones de puente de protocolo, y el inicio de sesión del sistema operativo necesita llaves de seguridad FIDO o autenticadores de plataforma. Los sistemas operativos antiguos pueden requerir autenticadores externos como llaves de seguridad FIDO2. La migración completa a FIDO2 puede llevar varios años en entornos TI complejos, requiriendo estrategias de despliegue por fases que prioricen primero a los usuarios y sistemas de mayor valor.
Integración con el ciclo de vida de identidad
La integración con la gestión del ciclo de vida de identidad también requiere una planificación cuidadosa. Debe incorporar el aprovisionamiento y desaprovisionamiento de autenticadores en los flujos de trabajo existentes de IAM para soportar eventos de alta, cambio y baja de usuarios. Su infraestructura de servidor FIDO necesita capacidades de autoservicio para usuarios, control administrativo del ciclo de vida, integración con API gateway y aplicación de políticas alineadas con el modelo centralizado ICAM para despliegues empresariales.
Evolución de las tácticas de los atacantes
Los atacantes se adaptan a las medidas defensivas. Si bien la MFA resistente al phishing elimina el phishing de credenciales y las técnicas tradicionales de elusión de MFA, los atacantes determinados recurren a otros métodos. Aún enfrenta compromiso de endpoints, vulnerabilidades de aplicaciones, ingeniería social dirigida a otros controles de seguridad y ataques a la cadena de suministro. La MFA resistente al phishing proporciona una autenticación sólida pero requiere integración en estrategias más amplias de defensa en profundidad. Incluso considerando estos desafíos, muchas organizaciones debilitan sus propios despliegues por errores evitables.
Errores comunes en la MFA resistente al phishing
Las organizaciones que implementan MFA resistente al phishing aún pueden debilitar su postura de seguridad por descuidos en la implementación. Los errores más perjudiciales reintroducen las mismas vulnerabilidades que la autenticación resistente al phishing fue diseñada para cerrar.
- Mantener opciones de respaldo con métodos no resistentes al phishing crea brechas de seguridad explotables. Las organizaciones implementan FIDO2 para la autenticación principal pero mantienen códigos SMS o notificaciones push como opciones de respaldo. Los atacantes encuentran y apuntan a estos mecanismos de respaldo, forzando a los usuarios a rutas de autenticación menos seguras. Debe eliminar todos los métodos de autenticación heredados una vez completada la implementación de MFA resistente al phishing, bloqueando la autenticación básica, códigos SMS y acceso solo por contraseña.
- Cobertura insuficiente de dispositivos y plataformas crea oportunidades de elusión. La planificación de despliegue que solo se enfoca en dispositivos gestionados corporativamente deja brechas para escenarios BYOD, acceso de contratistas y federación de socios. Los atacantes manipulan los procesos de inicio de sesión para eludir la MFA alegando que los dispositivos no admiten autenticación fuerte. Necesita políticas de aplicación que detengan ataques de degradación de autenticación.
- No integrar los autenticadores con los flujos de trabajo del ciclo de vida de identidad crea carga operativa y brechas de seguridad. Implementar autenticadores sin aprovisionamiento autónomo durante la incorporación o revocación autónoma durante la baja genera credenciales obsoletas. Según el Playbook de Gestión del Ciclo de Vida de Identidad de IDManagement.gov, las organizaciones necesitan orientación sobre "cómo admitir autenticadores resistentes al phishing" dentro de los procesos de alta, cambio y baja. Los procesos manuales para la gestión del ciclo de vida de credenciales no escalan y crean ventanas donde exempleados retienen capacidades de autenticación.
- Planificación insuficiente de recuperación de cuentas crea vulnerabilidades adicionales. Si no exige el registro de múltiples autenticadores durante la inscripción, los usuarios con un solo autenticador quedan bloqueados si pierden su llave de seguridad o reemplazan su teléfono sin migrar las credenciales. Según la guía de despliegue empresarial de FIDO Alliance, exigir el registro de múltiples autenticadores evita el bloqueo de cuentas. Los mecanismos de recuperación deben mantener propiedades resistentes al phishing para evitar crear superficies de ingeniería social.
Cada uno de estos errores comparte un hilo común: introducen brechas que devuelven su postura de autenticación a las mismas debilidades que la MFA resistente al phishing fue diseñada para eliminar. Las siguientes mejores prácticas le ayudan a evitarlos.
Mejores prácticas para la MFA resistente al phishing
Los despliegues exitosos siguen un enfoque estructurado que equilibra las mejoras de seguridad con la preparación operativa. Estas prácticas se basan en la orientación de CISA, las recomendaciones de despliegue empresarial de FIDO Alliance y las implementaciones documentadas en agencias federales.
Construya sobre infraestructura de identidad centralizada
Comience con plataformas centralizadas de Gestión de Identidad, Credenciales y Acceso. La implementación FIDO del Departamento de Agricultura de EE. UU., documentada por CISA como caso de éxito, utilizó plataformas SSO existentes para habilitar métodos de autenticación FIDO. USDA proporcionó autenticación resistente al phishing para usuarios sin tarjetas PIV usando arquitectura centralizada. Logra un despliegue más rápido y mejor experiencia de usuario al construir sobre la infraestructura de identidad existente.
Priorice primero a los usuarios y sistemas de alto valor
Implemente MFA resistente al phishing de inmediato para administradores de sistemas, ejecutivos, abogados, personal de RRHH y alta dirección. Concéntrese en recursos altamente atacados como sistemas de correo electrónico, servidores de archivos, sistemas de acceso remoto y consolas administrativas. Reduce la concentración de riesgo mientras gana experiencia operativa con poblaciones de usuarios limitadas antes de la implementación a nivel empresarial.
Implemente la aplicación por fases
Comience distribuyendo credenciales resistentes al phishing a los usuarios listos para la autenticación sin contraseña en dispositivos gestionados. Progrese hacia la aplicación de políticas que requieran MFA resistente al phishing para el acceso a recursos. Complete la transición exigiendo que todos los usuarios se autentiquen con credenciales resistentes al phishing. Este enfoque escalonado evita interrupciones operativas mientras mantiene mejoras de postura de seguridad en cada fase.
Admite múltiples métodos resistentes al phishing
Planifique estrategias de autenticación híbridas que admitan tanto métodos FIDO2 como basados en PKI. FIDO2 proporciona la mejor experiencia de usuario para aplicaciones en la nube, mientras que la autenticación basada en certificados PKI ofrece infraestructura madura para sistemas heredados con requisitos regulatorios estrictos. Admitir múltiples métodos resistentes al phishing brinda flexibilidad sin comprometer la seguridad al recurrir a opciones no resistentes al phishing.
Exija el registro de múltiples autenticadores
Exija el registro de múltiples autenticadores durante la inscripción inicial para evitar escenarios de bloqueo. Las organizaciones pueden requerir tanto autenticadores de plataforma como llaves de seguridad hardware, o admitir múltiples autenticadores del mismo tipo como credenciales de respaldo. Los procesos de recuperación deben mantener propiedades de seguridad criptográfica mediante mecanismos como autenticadores de respaldo o procedimientos seguros de recuperación de cuentas.
Elimine los métodos de autenticación heredados
Haga cumplir la eliminación completa de los métodos de autenticación heredados una vez que el despliegue esté suficientemente completo. Su motor de políticas bloquea la autenticación básica, códigos SMS, acceso solo por contraseña y notificaciones push tradicionales en todas las aplicaciones. Las auditorías regulares identifican aplicaciones que aún aceptan autenticación heredada y priorizan su migración o desmantelamiento.
Seguir estas prácticas le brinda una base sólida de autenticación, pero la autenticación por sí sola no cubre toda la superficie de ataque. También necesita visibilidad sobre lo que ocurre después de que los usuarios inician sesión con éxito.
Refuerce la MFA resistente al phishing con SentinelOne
La Singularity Platform de SentinelOne proporciona capacidades de detección y respuesta a amenazas de identidad (ITDR) que extienden la seguridad de autenticación a la actividad posterior al inicio de sesión. La plataforma correlaciona eventos de autenticación con el comportamiento en endpoints, actividad de red y acciones de usuario. Purple AI acelera la investigación de anomalías de autenticación mediante consultas en lenguaje natural, reduciendo el volumen de alertas en un 88% y disminuyendo el esfuerzo manual de los equipos de seguridad en el análisis de patrones de autenticación. Obtiene visibilidad sobre anomalías de velocidad de autenticación, escenarios de imposibilidad geográfica, cambios de huella digital de dispositivos y desviaciones en patrones de acceso que sugieren uso indebido de credenciales.
Singularity Identity protege su infraestructura de identidad con defensas en tiempo real para Active Directory y proveedores de identidad en la nube, incluido Entra ID. Cuando las anomalías de comportamiento indican escalamiento inusual de privilegios, intentos de volcado de credenciales o movimiento lateral tras eventos de autenticación, la tecnología Storyline de Singularity Platform reconstruye la narrativa completa del ataque, permitiendo una investigación más rápida y respuesta autónoma.
La MFA resistente al phishing crea una base de autenticación estructuralmente segura. Maximiza esta inversión implementando herramientas de ciberseguridad complementarias que monitorean la actividad posterior a la autenticación, detectan anomalías de comportamiento que indican compromiso y responden de forma autónoma a amenazas que apuntan a vulnerabilidades más allá de la capa de credenciales.
Solicite una demostración con SentinelOne para ver cómo la correlación de eventos de autenticación con el comportamiento en endpoints ofrece visibilidad completa de amenazas.
Reduzca el riesgo de identidad en toda su organización
Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.
DemostraciónPuntos clave
La MFA resistente al phishing elimina el phishing de credenciales mediante criptografía asimétrica y vinculación de dominios que hace estructuralmente imposible el robo de credenciales. CISA designa la autenticación FIDO/WebAuthn y basada en PKI como los únicos métodos resistentes al phishing aprobados.
La MFA tradicional falla sistemáticamente ante ataques modernos, con la fatiga de MFA presente en el 14% de los incidentes y el abuso de credenciales impulsando el 90% de las brechas de aplicaciones web.
Preguntas frecuentes
MFA resistente al phishing es una forma de autenticación multifactor que utiliza criptografía asimétrica y vinculación de dominios para hacer estructuralmente imposible el robo de credenciales. CISA reconoce dos implementaciones: FIDO/WebAuthn y autenticación basada en PKI.
Las claves privadas nunca salen del dispositivo autenticador y cada desafío de autenticación se vincula a un dominio específico. Si un usuario visita un sitio de phishing, el autenticador no puede generar una respuesta válida porque el dominio no coincide.
Las aplicaciones de autenticación generan contraseñas de un solo uso basadas en el tiempo que los usuarios pueden ingresar en sitios de phishing durante ataques de robo de credenciales en tiempo real, lo que permite a los atacantes retransmitir esas credenciales a servicios legítimos.
FIDO2 crea firmas criptográficas vinculadas a dominios específicos. Su autenticador no puede generar firmas válidas para sitios de phishing porque el dominio no coincide con las credenciales registradas. La autenticación falla antes de que pueda realizar cualquier acción que comprometa la seguridad.
La MFA resistente al phishing detiene el robo de credenciales y la evasión de autenticación, pero no protege contra ataques posteriores a la autenticación como el movimiento lateral, la escalada de privilegios y la exfiltración de datos.
Se necesitan análisis de comportamiento, soluciones de seguridad para endpoints y herramientas de monitoreo de identidad para detectar y detener ataques que ocurren después de una autenticación legítima. Una seguridad sólida requiere autenticación resistente al phishing integrada con herramientas para endpoints y capacidades de respuesta autónoma.
Requiera que los usuarios registren múltiples autenticadores durante la inscripción inicial, incluyendo tanto autenticadores de plataforma como llaves de seguridad de hardware. Almacene los autenticadores de respaldo de forma segura y separada de los dispositivos principales.
Implemente procesos de verificación de identidad para escenarios de recuperación que mantengan los requisitos de autenticación resistente al phishing, utilizando métodos de verificación criptográfica en lugar de mecanismos de respaldo. Evite procesos de recuperación que omitan los requisitos de resistencia al phishing mediante códigos SMS, enlaces de correo electrónico o autenticación basada en conocimientos.
Las claves de acceso sincronizadas cumplen con la definición criptográfica de autenticación resistente al phishing mediante criptografía de clave pública y vinculación de dominio, utilizando sincronización en la nube con cifrado de extremo a extremo para el acceso en múltiples dispositivos. Las organizaciones que requieren cumplimiento con el Nivel 3 de Garantía de Autenticación (AAL3) de NIST deben utilizar autenticadores vinculados al dispositivo con atestación de hardware.
Alinee la implementación de autenticadores con los perfiles de riesgo organizacionales: llaves de seguridad de hardware para acceso privilegiado, claves de acceso vinculadas al dispositivo para dispositivos gestionados por la empresa y claves de acceso sincronizadas para el uso general de la fuerza laboral.
Los sistemas heredados presentan desafíos de autenticación que requieren una clara prioridad de modernización. Para aplicaciones que admiten autenticación con certificados PKI, implemente soluciones basadas en tarjetas inteligentes como puente temporal.
Para sistemas que no pueden soportar FIDO2 de forma nativa, implemente puentes de protocolo como medida temporal. Planifique estrategias de modernización a varios años para entornos heredados complejos y elimine todos los métodos de autenticación heredados al finalizar.
