Volver al Blog
Ataques de fatiga de MFA en 2026: cómo las pymes detienen el spam de notificaciones push

Ataques de fatiga de MFA en 2026: cómo las pymes detienen el spam de notificaciones push

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store4/29/2026

TL;DR: Los atacantes están bombardeando a sus empleados con notificaciones push de MFA hasta que alguien toca "Aprobar" por pura molestia. Se llama ataque de fatiga de MFA, y es una de las formas más comunes en que las pequeñas empresas sufren una brecha en 2026. El MFA básico basado en push ya no es suficiente. Esto es lo que realmente funciona.

¿Qué es un ataque de fatiga de MFA (y por qué debería importarle)?

Mire, recuerdo cuando lograr que la gente usara cualquier tipo de autenticación multifactor era como sacarse una muela. En mis tiempos, se consideraba que una contraseña fuerte era suficiente. (No lo era, pero no lo sabíamos.) Así que cuando llegó el MFA basado en push —ya sabe, la pequeña notificación de "Aprobar" o "Denegar" en el teléfono— se sintió como un milagro. Fácil. Simple. Lo bastante seguro.

Bueno, los delincuentes también se dieron cuenta.

Un ataque de fatiga de MFA —también llamado MFA bombing o spam de notificaciones push— es vergonzosamente simple. Funciona así: un atacante ya tiene el nombre de usuario y la contraseña de su empleado (comprados en un volcado de la dark web, por phishing, lo que sea). Intenta iniciar sesión. Su sistema de MFA hace su trabajo y envía una notificación push al teléfono del empleado. El empleado toca "Denegar". Bien.

Entonces el atacante lo intenta otra vez. Y otra. Y otra. A las 2 a. m. Durante el almuerzo. En una reunión. Veinte, treinta, cincuenta veces seguidas. Al final, alguien —cansado, molesto, medio dormido o simplemente queriendo que pare la vibración— toca "Aprobar".

Y así, el atacante entra. Eso es un fallo de mfa fatigue attack prevention en su forma más pura. No es un hack sofisticado. Es el equivalente digital de un niño preguntando "¿Ya llegamos?" hasta que usted cede.

Veo este problema exacto cada vez más en nuestra tienda. Pequeñas empresas en todo Palm Beach County, desde West Palm Beach hasta Boca Raton y Jupiter, creen que están seguras porque activaron MFA. Tienen la mitad de razón. Dieron un buen paso. Pero en 2026, ya no es la meta.

Por qué el MFA básico basado en push ya no es suficiente para las pymes

Se lo digo sin rodeos. Si su empresa todavía usa notificaciones push simples de aprobar o denegar como su único método de MFA, está conduciendo un auto con cinturón de seguridad pero sin airbags. ¿Mejor que nada? Claro. Pero sigue siendo vulnerable exactamente al tipo de choque que ocurre todos los días en 2026.

El blog de investigación de amenazas de Malwarebytes ha estado siguiendo el aumento de los ataques de bombing de autenticación multifactor, y las cifras son preocupantes. A los atacantes les encanta esta técnica porque no requiere ninguna sofisticación técnica una vez que tienen credenciales. Y las credenciales son baratas. Las brechas de datos han volcado miles de millones de combinaciones de usuario y contraseña en internet. Sus empleados reutilizan contraseñas (no me mire así: sé que lo hacen). Así que el atacante ya pasó la primera barrera.

La notificación push se suponía que era la segunda barrera. Pero una barrera que se abre cuando usted molesta lo suficiente a alguien no es gran barrera, ¿verdad?

Esto es lo que realmente pasa cuando se ignora: una sola notificación push aprobada le da al atacante acceso al correo, almacenamiento en la nube, herramientas internas, datos de clientes y registros financieros. He ayudado a empresas a lidiar con las consecuencias de brechas así, y créame: la recuperación de datos después de una brecha es mucho más costosa y dolorosa que la prevención.

Cómo detener los ataques de fatiga de MFA: pasos prácticos para pequeñas empresas

Bien, basta de fatalismo. Esto es lo que debe hacer. Y no, no necesita un presupuesto de seguridad de seis cifras. Necesita dejar de usar la configuración predeterminada y empezar a hacer algunos cambios inteligentes.

1. Active la coincidencia de números de inmediato

Esta es la victoria más fácil, y sinceramente no entiendo por qué todas las empresas no lo han hecho ya. La coincidencia de números significa que cuando un intento de inicio de sesión dispara un push de MFA, el teléfono del usuario no solo muestra "Aprobar" o "Denegar". Muestra un aviso pidiéndole que escriba un número que aparece en la pantalla de inicio de sesión.

Así que si el atacante dispara el push, el empleado ve "Ingrese el número que aparece en su pantalla"… pero no está mirando ninguna pantalla. No intentó iniciar sesión. No hay ningún número que ingresar. Ataque neutralizado desde el inicio.

Microsoft Entra ID (antes Azure AD) tiene esta función disponible, y la documentación de Microsoft sobre coincidencia de números para MFA le guía para habilitarla. Si usa Microsoft 365 para su empresa (y la mayoría en Palm Beach County lo hace), no hay excusa para no tener esto activado. Toma minutos.

2. Implemente limitación de intentos y políticas de bloqueo

Hay algo que me desespera. La mayoría de los sistemas de MFA se pueden configurar para limitar cuántas notificaciones push se envían en un periodo determinado. Después de tres o cinco intentos denegados, el sistema debería bloquear intentos adicionales y alertar a su administrador.

¿Pero la configuración predeterminada? Totalmente abierta. Sin límites. Es como tener una alarma de auto que suena pero nunca llama a la policía. Defina un umbral: yo diría que tres pushes denegados en diez minutos deberían activar un bloqueo y una alerta. Esto es authentication fatigue mitigation básico y no cuesta nada.

3. Migre a MFA resistente al phishing con llaves de seguridad FIDO2

Aquí es donde se pone bueno. Si de verdad quiere cerrar la puerta a los ataques de MFA por spam de notificaciones push, las llaves de seguridad de hardware FIDO2 son el estándar de oro. Son dispositivos físicos —parecen pequeñas memorias USB— que se conectan a la computadora o se acercan al teléfono para autenticarse.

No hay notificación que spamear. No hay botón que tocar por accidente. El atacante tendría que tener físicamente la llave en la mano, lo cual es mucho más difícil de lograr desde un sótano en otro país.

Sí, cuestan dinero. Una YubiKey ronda los $25-$50 por llave. Para una oficina de 10 personas, eso es como máximo $500 por las llaves, más algo de tiempo de configuración. Compárelo con el costo promedio de una brecha de datos para una pequeña empresa, y es como quejarse del precio de un cerrojo después de que alguien le pateó la puerta.

Como mínimo, ponga llaves FIDO2 en las cuentas de administrador y en cualquier persona con acceso a datos sensibles. No tiene que implementarlo para todos el primer día, pero sus objetivos de alto valor lo necesitan desde ayer.

4. Configure políticas de acceso condicional

El acceso condicional es una forma elegante de decir "solo permita que la gente inicie sesión bajo condiciones que tengan sentido". Si alguien intenta acceder al Microsoft 365 de su empresa desde un país con el que no hace negocios a las 3 a. m., bloquéelo. Si un intento de inicio de sesión proviene de un dispositivo no reconocido, exija verificación adicional o bloquéelo por completo.

Esto no detiene los ataques de fatiga de MFA directamente, pero reduce drásticamente la superficie de ataque. Si el atacante ni siquiera puede llegar al punto de disparar una notificación push porque su IP o ubicación está bloqueada, todo el ataque se desmorona antes de empezar.

Nuestro equipo de servicios de ciberseguridad configura estas políticas para empresas en West Palm Beach, Lake Worth y el resto de Palm Beach County. No es un trabajo glamuroso, pero es el tipo de solución aburrida-pero-efectiva que realmente lo mantiene seguro.

5. Capacite a sus empleados (sí, otra vez)

Lo sé, lo sé. Hicieron una capacitación de seguridad el año pasado. Todos la vieron y lo olvidaron antes del almuerzo. Pero aquí está el punto: la smb mfa security in 2026 depende de que su gente conozca una regla simple.

Si usted no acaba de intentar iniciar sesión y recibe un aviso de MFA, deniéguelo y avise a su personal de TI de inmediato.

Eso es todo. Esa es toda la capacitación. Escríbalo en una nota adhesiva. Póngalo en cada monitor. Hágalo el protector de pantalla. No me importa cómo lo haga, pero asegúrese de que cada persona en su oficina sepa que un push de MFA inesperado es un ataque en curso, no un fallo.

Y ya que estamos, recuérdeles que dejen de reutilizar contraseñas. Usen un gestor de contraseñas. Lo vengo diciendo desde la época del dial-up, y lo seguiré diciendo hasta que me jubile o hasta la muerte térmica del universo, lo que ocurra primero.

Qué hacer si ya le ocurrió

Si alguien en su oficina ya aprobó una notificación push sospechosa, no entre en pánico, pero actúe rápido. Cambie de inmediato la contraseña de la cuenta comprometida. Revoque todas las sesiones activas. Revise si hay reglas de reenvío configuradas en el correo (a los atacantes les encanta reenviar silenciosamente copias de todo el correo entrante hacia ellos). Revise los registros de acceso en busca de cualquier cosa inusual.

Si no está seguro de qué buscar, para eso estamos. Nuestro equipo realiza eliminación de virus y limpieza de malware para empresas que han sido comprometidas, y podemos ayudarle a determinar a qué se accedió y qué debe asegurarse.

Y por favor, por el amor de todo lo que importa: asegúrese de tener copias de seguridad adecuadas implementadas. Si un atacante entra y decide desplegar ransomware después de aprovechar ese push de MFA aprobado, sus backups son su última línea de defensa. Sin backup no hay poder de negociación. Solo está esperando que los delincuentes se sientan generosos. (Spoiler: no lo están.)

Deje de depender de la configuración predeterminada

Aquí va mi última queja sobre este tema. El mayor problema que veo en las pequeñas empresas con la seguridad no es que no les importe. A la mayoría sí les importa, y mucho. El problema es que configuran algo —MFA, antivirus, un firewall— y luego asumen que la configuración predeterminada es suficiente.

No lo es. Nunca lo ha sido. Cuando yo configuraba equipos con Windows XP (no se ría, esas cosas duraban para siempre), la configuración predeterminada era un desastre de seguridad. Nada ha cambiado. Los valores predeterminados están diseñados para la comodidad, no para la protección. Cada contramedida que he listado arriba —coincidencia de números, limitación de intentos, acceso condicional, llaves FIDO2— requiere ir más allá de lo predeterminado.

No necesita el stack de seguridad más sofisticado y caro del mercado. Necesita lo básico, bien configurado, y un equipo que sepa no tocar "Aprobar" en una notificación que no esperaba. Eso es mfa fatigue attack prevention en pocas palabras.

¿Le preocupa su seguridad?

Obtenga eliminación profesional de virus, auditorías de seguridad y protección de datos con los expertos en ciberseguridad de Palm Beach County.

Asegure su sistema

También Te Puede Interesar