Tipos de autenticación multifactor: factores, métodos y ejemplos

En los últimos años hemos pasado de vivir con unas pocas contraseñas a gestionar decenas de cuentas online. Y claro, las claves se repiten, se filtran y acaban en manos de quien no debería. Por eso, la autenticación multifactor (MFA) ha dejado de ser algo “para bancos y grandes empresas” y se ha convertido en una medida básica para casi cualquier servicio digital.

La idea es sencilla: en lugar de confiar solo en una contraseña, se combinan varios factores independientes para comprobar que realmente eres tú. Veremos qué tipos de factores existen, qué métodos concretos se usan hoy en día, cómo funciona la MFA por dentro, qué papel tiene la biometría, la autenticación basada en riesgo o las llaves de seguridad, y qué ventajas e inconvenientes tiene para personas y organizaciones.

Qué es la autenticación multifactor y por qué se ha vuelto imprescindible

La autenticación multifactor, o MFA, es un mecanismo de seguridad que exige dos o más pruebas distintas de identidad antes de permitir el acceso a una cuenta, aplicación, red corporativa o cualquier otro recurso digital. Tradicionalmente bastaba con un nombre de usuario y una contraseña, pero esa combinación es cada vez más fácil de romper mediante fugas de datos, phishing o fuerza bruta.

Con MFA, además de la contraseña, el sistema solicita otro tipo de evidencia: un código temporal, la confirmación en una app, una huella dactilar, una llave de seguridad física o incluso la ubicación desde la que te conectas. La clave está en que estos factores sean de naturaleza diferente, de manera que comprometer uno no sirva para saltarse el resto.

En muchos servicios encontrarás la MFA bajo nombres como “verificación en dos pasos”, “doble factor” o “2FA”. En sentido estricto, 2FA es un caso concreto de MFA que utiliza exactamente dos factores, mientras que MFA puede incluir tres o más. Pero a efectos prácticos, todos estos mecanismos persiguen lo mismo: que robar una contraseña no sea suficiente para tomar el control de una cuenta.

Tipos de factores de autenticación utilizados en MFA

Cuando hablamos de autenticación multifactor no nos referimos solo a “poner más pasos porque sí”. Cada factor pertenece a una categoría distinta y aporta un nivel de seguridad complementario. Tradicionalmente se reconocen tres grandes grupos, a los que hoy se añaden otros dos cada vez más relevantes.

El primero es el factor de conocimiento: algo que el usuario sabe y que, en teoría, solo debería conocer él. Aquí entran las contraseñas, los PIN, los patrones de desbloqueo o las respuestas a preguntas de seguridad.

El segundo es el factor de posesión: algo que el usuario tiene físicamente en su poder. Puede ser un teléfono móvil, una tarjeta con chip, un token que genera claves de un solo uso o una llave de seguridad USB compatible con FIDO.

El tercero es el factor de inherencia: algo que el usuario es, es decir, rasgos biométricos o patrones de comportamiento. Hablamos de huellas dactilares, reconocimiento facial, escáner de iris, reconocimiento de voz o incluso la forma de teclear.

En los últimos años han cobrado fuerza otros dos factores adicionales: dónde estás y qué haces mientras usas el sistema. La ubicación (basada en IP o GPS) y la biometría del comportamiento se usan en modelos adaptativos, donde el nivel de exigencia cambia según el riesgo de cada intento de acceso.

Los cuatro grandes tipos de autenticación multifactor

A partir de esas categorías básicas, podemos hablar de cuatro grandes tipos de autenticación dentro de un esquema MFA, que muchas soluciones combinan según el contexto y el nivel de riesgo:

1. Autenticación basada en el conocimiento

Este tipo de autenticación se centra en información que el usuario recuerda y que no debería ser fácilmente deducible. Además de la típica contraseña, entran aquí los PIN numéricos de cuatro o seis dígitos y las preguntas de seguridad.

Las preguntas secretas (“¿nombre de tu primera mascota?”, “¿ciudad de nacimiento?”) son un ejemplo clásico, pero están cada vez más cuestionadas porque muchas respuestas se pueden averiguar con una simple búsqueda en redes sociales. Una práctica recomendable es introducir respuestas falsas pero memorables, para que no puedan asociarse a tu vida real.

2. Autenticación basada en la posesión

En este caso la verificación se apoya en un objeto o activo digital que solo debería estar bajo control del usuario. Un ejemplo cotidiano es el código que llega por SMS cuando accedes a la banca online o cambias la contraseña de un servicio.

Esta categoría incluye móviles, tokens de seguridad físicos, tarjetas inteligentes, certificados digitales, cuentas de correo empleadas como segundo canal o apps de autenticación que generan códigos temporales. El sistema asume que, si puedes leer el código o confirmar una notificación en ese dispositivo, es porque lo posees realmente.

3. Autenticación basada en la inherencia (biometría)

La autenticación de inherencia utiliza características físicas o de comportamiento que te identifican como individuo. Los móviles modernos han normalizado el uso del lector de huellas y el reconocimiento facial para desbloquear el dispositivo o autorizar pagos.

En entornos más avanzados se emplean también escáneres de iris, reconocimiento de voz o análisis de la forma en que escribes en el teclado. Lo potente de la biometría es que no necesitas recordar nada ni cargar con un dispositivo extra, pero a cambio surgen retos importantes de privacidad y protección de datos.

4. Autenticación basada en la ubicación y el contexto

En arquitecturas de “confianza cero” y MFA adaptativa, la ubicación y el contexto se consideran también tipos de autenticación. El sistema evalúa desde dónde te conectas, con qué dispositivo, a qué hora y con qué patrón de comportamiento, y ajusta los requisitos según el riesgo.

Por ejemplo, iniciar sesión desde el mismo portátil y la misma ciudad de siempre puede requerir solo un factor biométrico, mientras que un acceso desde otro país o desde una red WiFi pública puede obligar a introducir un código adicional o incluso bloquear la petición. Este enfoque reduce la fricción para el usuario habitual y endurece el acceso cuando algo “huele raro”.

Ejemplos de métodos de autenticación multifactor más utilizados

Sobre esos factores se construyen distintos métodos prácticos de MFA que vemos a diario. Cada uno tiene un equilibrio distinto entre seguridad, comodidad y coste, y lo habitual es combinar varios.

Contraseñas de un solo uso basadas en tiempo (TOTP)

Las TOTP son códigos, generalmente de seis dígitos, que solo son válidos durante unos pocos segundos (30-60 de forma típica). Se generan en una app de autenticación o en un gestor de contraseñas que soporte este estándar.

El proceso es simple: tras introducir tu usuario y contraseña, abres la app, copias el código que se muestra en ese momento y lo introduces en el servicio. Como tanto el servidor como tu app comparten una clave secreta inicial, pueden generar el mismo código para cada ventana de tiempo sin necesidad de conectarse entre sí.

Este método es muy robusto porque el código no viaja por canales inseguros y caduca en segundos. Para robarlo, un atacante tendría que comprometer el dispositivo en el que generas los códigos o tenerlo físicamente en su poder.

Códigos de un solo uso enviados por SMS

Es quizá la forma más extendida de segundo factor: introduces tu contraseña y recibes un código por mensaje de texto en el móvil. Lo escribes en la web o la app y el sistema te deja pasar.

La gran ventaja es su sencillez: no necesitas instalar nada extra y casi todo el mundo tiene un teléfono capaz de recibir SMS. Por eso sigue siendo muy popular, sobre todo en servicios masivos.

El problema es que es uno de los métodos menos seguros. Los números de teléfono son relativamente fáciles de averiguar y existen ataques de duplicado de SIM, interceptación de SMS o ingeniería social a operadores que permiten a un delincuente recibir esos códigos en tu lugar. Aun así, es preferible usar SMS a no habilitar ninguna MFA cuando no haya otra opción.

Códigos de verificación por correo electrónico

Algunos servicios optan por enviar el código temporal a tu dirección de correo. Funciona de manera similar al SMS, y presenta los mismos riesgos: si alguien consigue las credenciales de tu email principal, podrá interceptar también los códigos.

Por eso, si usas MFA basada en correo, es crítico que el acceso a tu bandeja de entrada esté protegido con una contraseña única y con MFA propia y que sepas cómo saber si un email es phishing. El email suele ser la llave de recuperación de casi todas tus cuentas.

Listas de códigos de un solo uso generados previamente

En algunos bancos y servicios más antiguos se sigue utilizando una lista de códigos únicos impresa o guardada como documento. Cada vez que realizas una operación, la aplicación te pide “el código número X” y lo tachas de la lista.

Desde el punto de vista de la seguridad, es un sistema aceptable porque los códigos se entregan de forma offline y no pueden interceptarse en tránsito. El gran punto débil es el almacenamiento: si alguien roba esa lista, tiene en la mano todas tus futuras autorizaciones.

Aplicaciones de autenticación dedicadas

Las apps de autenticación se han convertido en la opción favorita de muchos expertos porque ofrecen un excelente compromiso entre seguridad y comodidad. Google Authenticator, Microsoft Authenticator, Authy o las funciones integradas en ciertos gestores de contraseñas generan TOTP o muestran notificaciones push para aprobar accesos.

En el caso de las notificaciones push, cuando intentas iniciar sesión recibes un aviso en el móvil con un botón para aprobar o rechazar. Es cómodo, pero también ha dado lugar a ataques de “fatiga MFA”: el atacante repite intentos de login hasta que la víctima, harta de recibir pop-ups, acepta uno por error.

Tokens y llaves de seguridad de hardware (FIDO U2F / FIDO2)

Los tokens físicos son dispositivos específicos cuya única misión es probar tu identidad ante el servicio con un nivel muy alto de seguridad. Algunos tienen pantalla y generan códigos, otros se conectan al puerto USB, NFC o Bluetooth y trabajan de forma transparente.

Las llaves basadas en FIDO U2F o FIDO2 (como YubiKey o Google Titan) van un paso más allá: no solo autentican al usuario, también verifican que el servicio sea legítimo. Gracias a la criptografía de clave pública, tu llave solo responde a retos generados por el sitio real, lo que prácticamente elimina el riesgo de phishing clásico.

Desde la perspectiva del usuario, el flujo es muy simple: insertas la llave o la acercas al móvil y tocas el sensor. En segundo plano se produce un intercambio criptográfico que el atacante no puede reproducir aunque tenga tu contraseña.

Autenticación biométrica (huella, rostro, iris, voz)

La biometría se ha popularizado a través de móviles y portátiles, donde sirve tanto para desbloquear el dispositivo como para autorizar pagos o acceder a aplicaciones sensibles. En muchos casos se usa como factor local que habilita el acceso a claves almacenadas en el propio equipo.

Una ventaja importante es la usabilidad: apoyas el dedo, miras a la cámara o hablas al micrófono y listo. No hay que recordar códigos ni cargar con dispositivos extra. Las implementaciones modernas incluyen detección de vida para evitar que una foto, un molde de silicona o una grabación de voz cuelen como usuario real.

El gran problema es que los datos biométricos no se pueden “resetear” si se filtran. Si alguien roba tu plantilla de huella o tu modelo de rostro, no puedes cambiar de dedos ni de cara. Por eso, en muchos sistemas se almacena esta información de forma cifrada y solo en el dispositivo, sin enviarla al servidor.

Autenticación por ubicación y comportamiento

De forma silenciosa, muchos servicios ya usan elementos de tu ubicación y de tu comportamiento como señales adicionales de autenticación. Si un intento de acceso llega de un país donde nunca has estado, en plena madrugada y desde un navegador nuevo, es probable que se active un desafío adicional.

Estas soluciones se apoyan en inteligencia artificial y machine learning para aprender los patrones normales de cada usuario y asignar puntuaciones de riesgo a los accesos. Si el riesgo es bajo, bastará con usuario y contraseña; si es medio, se pedirá un segundo factor, y si es alto, se denegará el acceso directamente.

Diferencias entre 2FA, MFA, SSO y otros términos relacionados

En el mundo de la autenticación es fácil hacerse un lío con tanta sigla. Conviene tener claro qué significa cada cosa para elegir el enfoque adecuado según el nivel de protección que necesitas.

La autenticación de dos factores (2FA) es un caso concreto de MFA que exige exactamente dos tipos de prueba distintos. Un ejemplo clásico es contraseña más código TOTP, o contraseña más confirmación por SMS.

La autenticación multifactor (MFA) es un término más amplio que incluye cualquier combinación de dos o más factores de categorías diferentes. Es decir, toda 2FA es MFA, pero no toda MFA se limita a dos pasos.

El inicio de sesión único (SSO) es otra pieza del puzle: permite acceder a varias aplicaciones con un solo login centralizado. Suele combinarse con MFA para asegurar esa puerta principal; una vez dentro, el usuario se mueve entre servicios sin volver a introducir credenciales cada vez.

También se habla de autenticación en banda (cuando el segundo factor se verifica en el mismo canal que la contraseña) y fuera de banda (cuando se utiliza un segundo canal, como el móvil). En general se considera más seguro separar canales, siempre que el segundo no sea fácilmente atacable.

Autenticación adaptativa y basada en riesgo

La MFA tradicional trata a todos los intentos de acceso por igual, pero en la práctica no todos los logins tienen el mismo nivel de riesgo. No es lo mismo entrar desde tu portátil de siempre para leer el correo que intentar cambiar datos de pago desde un navegador nuevo en otro continente.

La autenticación adaptativa o basada en riesgo introduce un paso extra de inteligencia: analiza contexto y comportamiento para decidir qué factores pedir en cada momento. Para ello se tienen en cuenta variables como la IP de origen, la geolocalización, el dispositivo, el sistema operativo, la franja horaria, el historial de intentos fallidos o el rol del usuario.

Las soluciones más avanzadas aplican algoritmos de machine learning que construyen un perfil normal de cada cuenta y detectan patrones sospechosos. A cada evento se le asigna una puntuación de riesgo y, según esa puntuación, se permite el acceso, se pide MFA adicional o se bloquea.

De esta manera, se consigue un buen equilibrio entre seguridad y experiencia de usuario: el sistema solo se “pone pesado” cuando hay señales claras de peligro, reduciendo el cansancio de MFA y mejorando la adopción.

Biometría del comportamiento y autenticación continua

Más allá de verificar quién eres en el momento del login, cada vez cobra más importancia la autenticación continua a lo largo de toda la sesión. Aquí entra en juego la biometría del comportamiento: analizar cómo escribes, cómo mueves el ratón o cómo interactúas con el dispositivo.

Si en mitad de una sesión el sistema detecta que la manera de teclear o de desplazarte por la pantalla se aleja mucho de tu patrón habitual, puede interpretar que alguien ha tomado el control del equipo y activar mecanismos de defensa y revisar accesos y modificaciones de archivos.

Este enfoque tiene una ventaja interesante: añade seguridad sin pedir nada extra al usuario la mayor parte del tiempo. Solo cuando el comportamiento cambia de forma significativa se detiene la sesión o se requieren factores adicionales.

Normativa y autenticación reforzada: el caso de PSD2 y la SCA

En sectores regulados, como el financiero o el sanitario, la MFA no es solo una buena idea; es un requisito legal o de cumplimiento. Un ejemplo claro en Europa es la Directiva PSD2, que introdujo la Autenticación Reforzada de Cliente (SCA) para pagos electrónicos.

La SCA exige que las operaciones sensibles se validen con al menos dos factores de distintas categorías (saber, tener, ser). Eso ha hecho que millones de usuarios europeos se acostumbren a recibir códigos en sus móviles o a confirmar pagos con biometría al comprar online.

Además de PSD2, normas como RGPD, HIPAA o PCI DSS valoran positivamente o directamente exigen el uso de MFA para proteger datos personales, sanitarios o de tarjetas. Para las empresas, implantar MFA ayuda a reducir el riesgo de sanciones y a demostrar diligencia en caso de incidente.

Ventajas e inconvenientes de la autenticación multifactor

La MFA se ha convertido en un estándar por méritos propios, pero no es una bala de plata ni está exenta de peajes. Conviene conocer bien sus fortalezas y sus limitaciones.

Entre las ventajas destaca la reducción drástica del riesgo de acceso no autorizado: incluso si una contraseña se filtra en una brecha o se roba mediante phishing, el atacante necesita superar factores adicionales. Eso frena muchos ataques automatizados y eleva el coste de los dirigidos.

También ayuda a mitigar el impacto del robo de credenciales reutilizadas: los ataques de “credential stuffing”, que prueban contraseñas filtradas en múltiples servicios, fallan si esos servicios requieren MFA. Además, refuerza la confianza de clientes y empleados al percibir que sus datos se tratan con seriedad.

En el lado negativo, la MFA introduce cierta fricción: más pasos, más probabilidad de que alguien se líe, pierda un token o se quede bloqueado temporalmente. Requiere inversión en licencias, integración y soporte, y no todos los sistemas heredados se llevan bien con los métodos más modernos.

Por otra parte, no todos los factores son igual de resistentes al phishing o a la ingeniería social. Los códigos por SMS o correo siguen siendo capturables mediante sitios falsos, malware o técnicas de engaño. Solo métodos como las llaves FIDO2 o las passkeys bien implementadas ofrecen protección fuerte contra este tipo de ataques.

Buenas prácticas para implantar MFA en empresas y usuarios

Para que la autenticación multifactor realmente marque la diferencia, es importante diseñar bien la estrategia y no limitarse a “activar lo primero que haya”. Algunas recomendaciones básicas ayudan a sacar partido sin arruinar la experiencia de uso.

En una organización conviene empezar por identificar las cuentas y aplicaciones de mayor criticidad (administradores, acceso remoto seguro, sistemas de pago, datos sensibles) y hacer obligatoria la MFA para esos casos. A partir de ahí se puede extender al resto de usuarios de forma gradual.

Es recomendable ofrecer varios métodos de segundo factor para que cada persona pueda elegir el que mejor se adapte a su contexto: app de autenticación, llave de seguridad, biometría, etc. Siempre que sea posible, se deben priorizar factores resistentes al phishing frente a SMS o correo.

También es clave definir procedimientos seguros de recuperación de cuentas. De poco sirve una MFA férrea si, ante la pérdida de un móvil, el usuario puede saltársela respondiendo a preguntas triviales o con un enlace poco protegido.

Por último, la formación hace mucho: explicar con claridad por qué se adopta MFA, cómo funciona cada método y qué señales indican un posible fraude aumenta la aceptación y reduce los errores que los atacantes intentan explotar.

Con todo lo anterior sobre la mesa, se entiende mejor por qué la autenticación multifactor se ha convertido en una pieza central de la ciberseguridad moderna: al combinar algo que sabes, algo que tienes, algo que eres y el contexto en el que te conectas, eleva enormemente el listón para cualquier atacante, ofrece margen para cumplir regulaciones exigentes y, bien diseñada, permite mantener un equilibrio razonable entre protección y comodidad tanto para usuarios individuales como para empresas.