Por qué el 2FA no siempre protege

Lo que DORA, NIS2 y el RGPD exigen detrás del segundo factor.

En septiembre de 2022, un atacante consiguió credenciales válidas de un trabajador externo de Uber y empezó a enviar notificaciones push de aprobación de inicio de sesión. Una por minuto, durante más de una hora. El empleado terminó pulsando aceptar para que las notificaciones pararan. Esa pulsación abrió la puerta a sistemas internos que incluían el panel de administración de AWS, repositorios de código fuente y el tablero de gestión de vulnerabilidades. La investigación posterior atribuyó el ataque al grupo Lapsus$. Cuatro meses antes, Cisco había sufrido un patrón casi idéntico contra un empleado que aprobó la notificación tras un acoso similar combinado con ingeniería social por canal de voz. El segundo factor de autenticación, presentado durante años como la defensa que cierra el agujero de la contraseña, falló por diseño en ambos casos.

La autenticación multifactor dejó de ser recomendación de buenas prácticas para convertirse en obligación normativa concreta. El artículo 9.4.c del Reglamento DORA exige a las entidades financieras mecanismos sólidos de autenticación para el acceso a sistemas críticos, con vigencia plena desde enero de 2025. El artículo 21.2.j de la Directiva NIS2 menciona la autenticación multifactor explícitamente entre las medidas de gestión de riesgos exigibles a entidades esenciales e importantes. Para servicios de pago en la Unión Europea, el Reglamento Delegado UE 2018/389 desarrolla la Strong Customer Authentication de PSD2 con tres requisitos acumulativos. Independencia entre factores, dinamismo del código y vinculación con la operación concreta. Cumplir con la letra del reglamento no equivale a estar protegido frente a la amenaza real. La eficacia técnica del control se evalúa por separado.

No todos los segundos factores resisten lo mismo. El SMS sigue presente en muchas implementaciones a pesar de que NIST SP 800-63B lo restringió desde la revisión de 2017. La razón está en el SIM swapping documentado por la FBI con pérdidas superiores a 72 millones de dólares solo en 2022, y en vulnerabilidades de la red de señalización SS7 que permiten interceptar mensajes sin acceso físico al dispositivo. El TOTP basado en aplicación autenticadora resiste el SIM swap pero sigue siendo vulnerable a phishing en tiempo real, donde un sitio fraudulento captura el código y lo retransmite al sitio legítimo antes de que expire. Los push approval sin number matching son la vía exacta del MFA fatigue que afectó a Uber y a Cisco. WebAuthn y los passkeys basados en FIDO2 incorporan resistencia estructural al phishing porque vinculan criptográficamente la autenticación al dominio del relying party. Si el dominio no coincide, la firma no se emite. NIST clasifica todo esto en niveles AAL1, AAL2 y AAL3, y solo el tercero contempla autenticadores resistentes a la suplantación del verificador.

La fricción con la experiencia de usuario aparece desde la primera implementación. El propio Reglamento Delegado UE 2018/389 reconoció el problema al introducir en su artículo 18 excepciones para operaciones de bajo importe, beneficiarios de confianza y transacciones de bajo riesgo evaluado por el proveedor. La fricción mal calibrada empuja al usuario hacia comportamientos peores. Aprobar sin leer, registrar el dispositivo personal sin segregación, compartir códigos por canales no controlados. El Microsoft Digital Defense Report de 2023 reportó que menos del 38% de las organizaciones medianas tenían autenticación multifactor habilitada, y entre las que sí, los métodos débiles seguían siendo mayoritarios.

La diferencia entre tener 2FA y tener autenticación resistente a phishing es regulatoriamente material. El principio de seguridad del artículo 32 del RGPD se evalúa por adecuación al riesgo, no por presencia formal de un control. La AEPD ha publicado guías que distinguen niveles de autenticación según la sensibilidad del tratamiento. Una entidad que documenta autenticación multifactor por SMS para acceso a historia clínica electrónica no cumple igual que una que despliega passkeys y registra el evento de autenticación con campos suficientes para auditoría posterior. La prueba del cumplimiento, bajo el artículo 5.2 del RGPD, recae sobre el responsable del tratamiento. Tener una casilla marcada en el cuestionario interno no acredita por sí solo que el control opera.

El miedo al 2FA, donde existe, suele venir de implementaciones que confunden añadir un paso con añadir seguridad. El usuario percibe como obstáculo cualquier fricción que no parece protegerlo. La organización que elige por defecto el método más barato paga cumplimiento sin recibir protección real. Los marcos europeos vigentes ya no toleran esa ambigüedad. Para una entidad alcanzada por DORA, NIS2 o el RGPD reforzado en sectores sensibles, la pregunta a documentar dejó de ser si existe segundo factor. Es cuál se usa, contra qué amenazas resiste y cómo se prueba que el control opera como se afirma.

Fecha: 12 de mayo de 2026

Escrito por: Mariano E. Torres Ponce