Cómo implementar MFA en tu empresa paso a paso
Guía práctica para activar autenticación multifactor en PYMEs chilenas: Microsoft 365, Google Workspace, apps autenticadoras y cómo manejar la resistencia del equipo.
El impacto más alto con el menor esfuerzo
Microsoft reporta que el MFA bloquea el 99,9% de los ataques automatizados de contraseñas. Es la medida de seguridad individual más efectiva que puedes implementar hoy en tu empresa.
¿Qué es la autenticación multifactor y por qué importa?
Cuando entras a tu correo con usuario y contraseña, estás usando un solo factor de autenticación: algo que sabes. El problema es que las contraseñas se roban, se filtran en brechas de datos o se adivinan. Cada año se comprometen miles de millones de credenciales que terminan a la venta en foros oscuros de internet.
La autenticación multifactor (MFA) agrega un segundo requisito: además de saber tu contraseña, debes demostrar que tienes acceso a algo físico, como tu teléfono. Un atacante que robe tu contraseña no podrá ingresar porque no tiene tu teléfono.
Los tres factores posibles son:
- Algo que sabes: contraseña, PIN, respuesta a pregunta secreta
- Algo que tienes: teléfono (app autenticadora), llave de seguridad física (YubiKey), tarjeta inteligente
- Algo que eres: huella dactilar, reconocimiento facial, iris
MFA combina al menos dos de estos factores. La combinación más común y práctica para PYMEs es contraseña + código de app autenticadora en el teléfono.
¿Por qué el SMS ya no es suficiente?
Seguramente ya conoces la opción de recibir un código por SMS. Si bien es mejor que nada, tiene vulnerabilidades conocidas: el protocolo SS7 que usa la red telefónica puede ser interceptado, y los ataques de SIM swapping (donde un atacante convence a tu operador de traspasar tu número a una SIM que él controla) permiten robar esos códigos. Para cuentas corporativas, siempre prefiere una app autenticadora sobre SMS.
Elige la app autenticadora correcta
Antes de implementar MFA en todos tus servicios, decide qué app autenticadora usará tu empresa. La estandarización facilita el soporte y la capacitación.
| App | Plataformas | Backup en la nube | Para empresas | Precio |
|---|---|---|---|---|
| Microsoft Authenticator | iOS, Android | Sí (cuenta Microsoft) | Excelente para entornos Microsoft 365 | Gratis |
| Google Authenticator | iOS, Android | Sí (cuenta Google, desde 2023) | Bien para Google Workspace | Gratis |
| Authy | iOS, Android, Desktop | Sí (cifrado) | Recomendado para equipos mixtos | Gratis |
| Duo Mobile | iOS, Android | Sí | Muy bueno para empresas, con consola de administración | Gratis hasta 10 usuarios |
| 1Password | Multiplataforma | Sí | Integra contraseñas + MFA, muy conveniente | Desde $5 USD/usuario/mes |
Recomendación para PYMEs chilenas:
- Si usas Microsoft 365: Microsoft Authenticator (integración nativa perfecta)
- Si usas Google Workspace: Google Authenticator o Authy
- Si tienes empleados con varios dispositivos o quieres backup más robusto: Authy
No uses solo SMS si puedes evitarlo
Si tu proveedor permite elegir entre SMS y app autenticadora, elige siempre la app. El SMS es un segundo factor débil ante ataques dirigidos.
Implementación en Microsoft 365
Microsoft 365 es la suite de productividad más usada en PYMEs chilenas. Aquí el proceso completo para activar MFA.
Paso 1: Accede al Centro de Administración
- Ve a admin.microsoft.com con tu cuenta de administrador
- En el menú lateral, selecciona Usuarios > Usuarios activos
- En la parte superior, haz clic en Autenticación multifactor
Paso 2: Activa MFA por grupos (rollout gradual)
No actives MFA para todos a la vez. El cambio genera tickets de soporte y frustración si no hay preparación previa.
Semana 1-2: Actívalo para los administradores de TI y dueños. Semana 3-4: Extiende a gerentes y personas con acceso a datos sensibles. Semana 5-8: Rollout al resto de la empresa.
Para activar por usuario:
- Marca las casillas de los usuarios del primer grupo
- Haz clic en Habilitar en el panel derecho
- Confirma la acción
Paso 3: Configura los métodos permitidos
En el Centro de Administración, ve a Seguridad > Directivas de autenticación. Aquí puedes:
- Deshabilitar el SMS como único método (recomendado)
- Exigir Microsoft Authenticator como método principal
- Configurar períodos de gracia (días que el usuario tiene para registrar su método)
Paso 4: Comunica el cambio a tu equipo
Antes de activar MFA para un grupo, envía un correo con:
- Qué es MFA y por qué la empresa lo está implementando
- Instrucciones simples para instalar Microsoft Authenticator
- Fecha exacta en que se activará para ellos
- A quién llamar si tienen problemas
Paso 5: Gestiona el acceso de administradores
Para administradores, Microsoft recomienda activar también Acceso Condicional (requiere licencias Microsoft 365 Business Premium o superiores) para políticas más sofisticadas como:
- Bloquear acceso desde países donde tu empresa no opera
- Exigir MFA solo cuando el login viene desde fuera de la oficina
- Bloquear dispositivos no administrados
Implementación en Google Workspace
Paso 1: Accede a la Consola de Administración
- Ve a admin.google.com
- Selecciona Seguridad > Autenticación
- Haz clic en Verificación en 2 pasos
Paso 2: Configura la política de la organización
En la sección de Verificación en 2 pasos:
- Selecciona Permitir que los usuarios activen la verificación en 2 pasos (primer paso, sin forzar)
- Después de 2 semanas de adopción voluntaria, cambia a Exigir verificación en 2 pasos
- Establece un período de inscripción: recomendamos 7 días
Paso 3: Elige los métodos permitidos
Google permite varios métodos. Para empresas, configura:
- Google Authenticator o cualquier app TOTP: método principal
- Llaves de seguridad (si tu presupuesto lo permite): el más seguro
- Desactiva SMS y llamadas de voz para cuentas administrativas
Paso 4: Excluye cuentas de servicio
Algunos sistemas automatizados usan cuentas de Google para integraciones. Identifícalas y exclúyelas de la exigencia de MFA, pero aplícales otras medidas como contraseñas fuertes únicas.
Servicios comunes y cómo activar MFA en cada uno
| Servicio | Dónde activar MFA | Métodos disponibles |
|---|---|---|
| Microsoft 365 | admin.microsoft.com > Usuarios > MFA | App, SMS, llamada, token |
| Google Workspace | admin.google.com > Seguridad > 2FA | App, llave física, SMS |
| Banco Estado Empresas | Perfil de usuario > Seguridad | Token físico, SMS |
| Banco de Chile Empresas | Seguridad de cuenta | Token, coordenadas |
| AWS | IAM > Usuarios > Credenciales de seguridad | App, llave física |
| Dropbox Business | Admin Console > Security | App, SMS |
| Slack | admin.slack.com > Authentication | App, SMS |
| GitHub | Settings > Password and authentication | App, llave física, SMS |
| Salesforce | Setup > Identity > MFA | App, llave física |
| HubSpot | Profile & Preferences > Security | App, SMS |
| Zoom | Configuración de cuenta > Seguridad | App, SMS |
| Shopify | Account > Security | App, SMS |
| cPanel/hosting | Panel de control > Seguridad | App |
| NIC.cl | Mi cuenta > Configuración de seguridad | SMS |
Cómo manejar la resistencia al cambio
La resistencia al MFA es predecible y tiene causas legítimas. Tu trabajo es anticiparlas, no ignorarlas.
”Es un paso más y me quita tiempo”
Responde con datos: el tiempo extra es de 5-10 segundos por login. Un empleado inicia sesión 3-4 veces al día. Eso son menos de 60 segundos adicionales al día. Contrástalo con el costo promedio de un incidente de seguridad por credenciales robadas: recuperación de cuentas, pérdida de datos, multas regulatorias.
Además, la mayoría de las apps autenticadoras permiten “recordar este dispositivo por 30 días” en dispositivos de confianza. En la práctica, el MFA solo se pide la primera vez y ocasionalmente.
”No entiendo cómo usarlo”
Prepara una guía de dos páginas con capturas de pantalla. Ofrece una sesión de 20 minutos en equipo para que todos configuren su teléfono juntos. Designa una persona de referencia para dudas durante las primeras dos semanas.
”Mi teléfono es personal y no quiero instalarlo”
Este es un punto válido. Las opciones:
- La empresa provee un segundo dispositivo simple solo para MFA
- Usar una llave de seguridad física (YubiKey, ~$50 USD) que es independiente del teléfono
- Explicar que la app no accede a datos personales del teléfono, solo genera códigos numéricos
”¿Qué pasa si pierdo el teléfono?”
Tener un plan para esto antes de activar MFA es fundamental. Nunca implementes MFA sin un proceso de recuperación definido.
Qué hacer si alguien pierde el teléfono
Este es el escenario más frecuente de soporte post-implementación. El proceso debe estar documentado y ser conocido por todos.
Antes de que ocurra: configuración de respaldo
En Microsoft 365:
- El usuario debe registrar un segundo método de verificación (teléfono de la oficina, correo alternativo)
- El administrador puede generar códigos de acceso temporales (TAP) desde el portal de Azure AD
En Google Workspace:
- Cada usuario debe generar y guardar códigos de respaldo (8 códigos de un solo uso) al momento de activar MFA
- El administrador puede desactivar temporalmente MFA para el usuario afectado
En cualquier servicio:
- Guarda en un lugar seguro (caja fuerte física, gestor de contraseñas de la empresa) los códigos de recuperación que genera cada servicio al activar MFA
Cuando ocurre la pérdida
- El empleado reporta la pérdida al responsable de TI
- El administrador revoca inmediatamente las sesiones activas de esa cuenta (en Microsoft 365: Centro de Administración > Usuario > Cerrar sesión; en Google: Admin > Usuario > Revocar sesiones)
- El administrador genera un código de acceso temporal o desactiva MFA temporalmente
- El empleado accede, registra el nuevo dispositivo
- Se vuelve a activar MFA normalmente
- Se marca remotamente el teléfono perdido como tal (mediante MDM o la función de borrado remoto del dispositivo)
Nunca desactives MFA permanentemente
Si un usuario dice que prefiere trabajar sin MFA “por ahora”, ese no es una opción aceptable. El proceso de recuperación debe ser rápido, no inexistente.
Rollout gradual: cronograma recomendado
Empresa de 1-10 personas
| Semana | Acción |
|---|---|
| 1 | Decide app autenticadora y documenta proceso de recuperación |
| 1 | Activa MFA para el dueño/administrador |
| 2 | Capacitación grupal de 20 minutos y activación para todos |
Empresa de 11-50 personas
| Semana | Acción |
|---|---|
| 1 | Decide app, documenta proceso, capacita a responsable TI |
| 2 | Activa para administradores y dueños |
| 3 | Comunicación a toda la empresa con guía escrita |
| 4-5 | Activación por departamentos con soporte activo |
| 6 | Revisión: quiénes no han completado el proceso |
Métricas de seguridad: cómo medir el impacto del MFA
Después de implementar MFA, monitorea estas métricas:
- Cobertura de MFA: porcentaje de usuarios con MFA activo (meta: 100% en 60 días)
- Intentos bloqueados: en Microsoft 365, ve a Azure AD > Registros de inicio de sesión > filtra por “MFA requerido” y “bloqueado”
- Solicitudes de soporte MFA: número de tickets por pérdida de acceso o teléfono (indica si el proceso de recuperación funciona)
- Cuentas sin MFA con acceso privilegiado: debe ser siempre cero
En Microsoft 365, el reporte de Uso de autenticación (Centro de Administración > Informes > Uso) muestra exactamente quiénes tienen MFA y qué métodos usan.
Próximos pasos tras implementar MFA
El MFA es una capa fundamental, pero no la única. Una vez implementado:
- Revisa contraseñas: implementa un gestor de contraseñas corporativo
- Capacita en phishing: el MFA no protege si el usuario entrega el código a un atacante
- Activa alertas de inicio de sesión inusual: en Microsoft y Google están disponibles sin costo adicional
- Considera Acceso Condicional (Microsoft 365 Business Premium): políticas inteligentes según ubicación y dispositivo
El MFA es el punto de partida, no el destino.