Volver al Blog
Fatiga por notificaciones push de MFA en Microsoft Authenticator en 2026: detenga el spam

Fatiga por notificaciones push de MFA en Microsoft Authenticator en 2026: detenga el spam

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store1/18/2026

Estamos en 2026 y todavía veo a personas perfectamente inteligentes tocar Aprobar en Microsoft Authenticator como si estuvieran posponiendo una alarma. Eso, exactamente, es la fatiga por notificaciones push de MFA en Microsoft Authenticator, y es una de las formas más fáciles para que los atacantes entren a su cuenta de Microsoft 365 sin “hackear” nada sofisticado. Simplemente lo fastidian hasta que usted cede.

En mis tiempos, había que esperar a que el dial-up chillara antes de que pasara algo malo. Ahora lo malo aparece como un mensajito educado en su teléfono a las 10:43 PM mientras se está cepillando los dientes. Y la gente igual lo aprueba. ¿Por qué? Porque los humanos están cansados, ocupados y son optimistas. A los atacantes les encanta esa combinación.

Esta publicación es para empresas del condado de Palm Beach (West Palm, Palm Beach Gardens, Boca, Wellington, Lake Worth, todo el circo) y para nuestros clientes remotos a nivel nacional que tienen usuarios regados por todas partes. El trabajo remoto está bien. El trabajo remoto con hábitos descuidados de MFA es como dejar el carro encendido afuera de Publix con las llaves puestas porque “solo será un minuto”.

¿Qué es la fatiga por notificaciones push de MFA en Microsoft Authenticator (y por qué todavía funciona en 2026)?

La fatiga por notificaciones push de MFA (también llamada bombardeo de solicitudes de MFA) ocurre cuando un atacante provoca solicitudes repetidas de inicio de sesión en su app de Microsoft Authenticator. No intentan ser más listos que la app. Intentan aguantar más que su paciencia.

Cómo suele desarrollarse la estafa

  • El atacante obtiene su contraseña (phishing, reutilización de contraseñas, una filtración antigua, usted poniendo la contraseña con el nombre de su perro, etc.).
  • Intentan iniciar sesión en Microsoft 365 repetidamente.
  • Su teléfono se enciende con solicitudes de aprobación una y otra vez.
  • Usted toca Aprobar solo para que se detenga, o porque piensa que “el sistema está raro”.
  • Entran, y ahora tiene una toma de control de la cuenta de Microsoft 365 y un posible desastre de compromiso del correo empresarial.

Y no, “Pero yo tengo MFA” no es un campo de fuerza mágico si usted aprueba la solicitud del atacante. Eso es como tener un cerrojo y luego darle la llave a un desconocido porque tocó lo suficientemente fuerte.

Por qué los empleados no detectan las señales de advertencia

  • Sobrecarga de notificaciones: los teléfonos vibran todo el día. La gente deja de leer.
  • Asumen que fue TI: “Quizá la computadora se actualizó”. (No se actualizó.)
  • Están en una reunión: y quieren que deje de vibrar.
  • Están medio dormidos: el atacante lo sabe. Les encantan los intentos de madrugada.

Señales de advertencia de bombardeo de solicitudes de MFA que su equipo sigue ignorando

Veo este mismo problema tres veces por semana. El usuario jura que “no hizo nada”. Luego revisamos los registros y, qué casualidad, hay una aprobación de MFA exitosa justo después de 14 solicitudes denegadas.

Banderas rojas en el teléfono

  • Recibe una solicitud de MFA cuando no está iniciando sesión.
  • Recibe múltiples solicitudes seguidas.
  • La solicitud muestra un inicio de sesión desde una ubicación o dispositivo desconocido.
  • Ocurre en horarios raros (noche, madrugada, fines de semana).

Banderas rojas en Microsoft 365 (lo que los administradores deberían notar)

  • Fallos repetidos de inicio de sesión seguidos por un éxito.
  • Nuevos registros de dispositivos o nuevos métodos de MFA agregados.
  • Reglas de buzón creadas (reenvío automático, eliminar por palabras clave, ocultar alertas).
  • Inicios de sesión desde países o proveedores de hosting inesperados.

Si está pensando “Somos demasiado pequeños para que nos ataquen”, felicidades: acaba de decir lo mismo que dice cada víctima. A los atacantes no les importa si usted es una oficina de 5 personas en Palm Beach Gardens o una empresa de 500 personas distribuida por todo el país. Les importa si usted paga facturas y tiene una dirección de correo que se ve confiable.

Coincidencia de números en Microsoft Authenticator: la solución aburrida que funciona

Primero, lo que no debe hacer: no siga usando las solicitudes de “tocar aprobar” y espere que la gente mágicamente sea más cuidadosa. Eso es como decirles a adolescentes que tengan cuidado con una videocasetera. Igual van a meter la cinta al revés cuando usted no esté mirando.

La coincidencia de números en Microsoft Authenticator obliga al usuario a escribir un número que aparece en la pantalla de inicio de sesión. Esto ayuda a detener aprobaciones accidentales porque el usuario tiene que participar activamente y realmente mirar el intento de inicio de sesión.

Por qué la coincidencia de números ayuda contra la fatiga por notificaciones push

  • Rompe el hábito de “solo tocar para que se quite”.
  • Agrega fricción donde la necesita: en inicios de sesión sospechosos.
  • Reduce aprobaciones exitosas de usuarios distraídos.

Qué decirles a los empleados (guion simple)

  • Si usted no inició el inicio de sesión, presione Denegar.
  • Si recibe más de una solicitud, deténgase y llame a TI.
  • Nunca apruebe una solicitud para “que desaparezca”. Ese es literalmente el ataque.

Para la guía de configuración de Microsoft, empiece aquí: Soporte de Microsoft: configurar una app de autenticación para la verificación en dos pasos.

Acceso condicional de Entra ID: detenga inicios de sesión maliciosos antes de que lleguen al usuario

Ahora llegamos a la parte en la que los adultos les quitan las llaves a los niños. Si usa Microsoft 365 para empresas, debería usar Acceso condicional de Entra ID (antes Azure AD Conditional Access) cuando la licencia lo permita. Porque la mejor solicitud de MFA es la que nunca se envía.

Políticas prácticas de Acceso condicional que implementamos (sin romper el trabajo remoto)

  • Bloquear autenticación heredada (protocolos antiguos que omiten los flujos modernos de MFA).
  • Exigir MFA para todos los usuarios, con reglas más estrictas para administradores.
  • Exigir dispositivos compatibles o administrados para aplicaciones sensibles cuando sea posible.
  • Controles basados en ubicación: permitir regiones conocidas, desafiar o bloquear patrones de viaje imposible.
  • Reglas de inicio de sesión basadas en riesgo (cuando estén disponibles): elevar la autenticación o bloquear inicios de sesión de alto riesgo.

Mire, no voy a endulzarlo: si su tenant no tiene una estrategia de Acceso condicional, básicamente está manejando la seguridad de su correo como si fuera Windows XP detrás de un router de oferta. Puede que “funcione” hasta el día en que deje de funcionar.

Reglas geográficas y de riesgo: lo que hacen y lo que no hacen

Las reglas geográficas ayudan, pero no son magia. La gente viaja. Existen VPN. Los atacantes rebotan entre ubicaciones. El objetivo es reducir el ruido y bloquear la basura obvia, manteniendo el trabajo remoto legítimo en movimiento.

Los controles basados en riesgo ayudan cuando Microsoft marca inicios de sesión sospechosos. Aun así necesita capacitación de usuarios y buenas políticas, porque los atacantes son persistentes y los usuarios son, bueno, usuarios.

Toma de control de cuenta de Microsoft 365 y BEC: lo que realmente pasa después de una mala aprobación

Esto es lo que realmente ocurre cuando se ignora este tema. Un empleado aprueba una solicitud. El atacante entra a Microsoft 365. Luego se va de compras.

Movimientos comunes del atacante después de una solicitud de MFA aprobada

  • Buscan en el correo “invoice”, “wire”, “ACH”, “payment”, “bank”, “quickbooks”.
  • Crean reglas de buzón para ocultar respuestas o reenviar mensajes hacia afuera.
  • Suplantan a personal y solicitan cambios de pago.
  • Atacan a proveedores y clientes usando su dominio de confianza.

Así es como la prevención del compromiso del correo empresarial se convierte en una conversación de dinero en lugar de una conversación de TI. Si quiere la visión general de Microsoft sobre BEC, lea: Seguridad de Microsoft: qué es el compromiso del correo empresarial (BEC).

Y sí, las pequeñas empresas también reciben ataques

A los atacantes les encantan las pequeñas y medianas empresas porque a menudo tienen controles más débiles y procesos de pago más rápidos. El encargado de contabilidad está ocupado. El dueño está viajando. El correo de “nueva información bancaria” parece creíble. El dinero sale. Todos entran en pánico.

Alertas y monitoreo de administradores: detecte el bombardeo de solicitudes antes de que sea un desastre

Si su plan de seguridad es “Nos daremos cuenta cuando alguien se queje”, usted no tiene un plan de seguridad. Tiene un plan de esperanza y oración. Esos nunca funcionaron, ni siquiera cuando cambiábamos casetes en el estacionamiento.

Alertas que vale la pena activar

  • Múltiples intentos fallidos de inicio de sesión para un usuario en una ventana corta.
  • Ubicaciones inusuales de inicio de sesión para un usuario.
  • Cambios en métodos de MFA (nuevo dispositivo, nuevo número de teléfono, etc.).
  • Reenvío de buzón habilitado o reglas sospechosas de bandeja de entrada creadas.
  • Cambios de roles de administrador e inicios de sesión de cuentas privilegiadas.

Qué hacer en el momento en que empieza el bombardeo de solicitudes

  • No apruebe nada. Deniegue las solicitudes.
  • Cambie la contraseña desde un dispositivo conocido y limpio.
  • Revoque sesiones para expulsar sesiones existentes del atacante.
  • Revise los registros de inicio de sesión y las reglas del buzón.
  • Confirme los métodos de MFA y elimine cualquier cosa sospechosa.

Si sospecha que ya ocurrió una toma de control de cuenta, no se haga el héroe. Busque ayuda. Es la misma razón por la que no sigue manejando cuando la luz del motor está parpadeando. Puede hacerlo, pero no le va a gustar la factura.

Capacitación de usuarios que no hace que a la gente se le pongan los ojos vidriosos

No le estoy pidiendo que convierta a su personal en ninjas de ciberseguridad (por favor no diga “ninja” delante de mí). Quiero que hagan tres cosas de forma consistente. Aburrido, pero funciona.

Las tres reglas

  1. Ninguna solicitud sorpresa se aprueba.
  2. Múltiples solicitudes equivalen a un incidente. Repórtelo.
  3. Vaya más despacio con solicitudes de dinero. Verifique cambios de pago por un canal alterno (llame a un número conocido).

Entrene para el mundo real

Hágalo cuando la gente esté ocupada, porque ahí es cuando los atacarán. Un recordatorio rápido trimestral supera a una presentación de 90 minutos que todos olvidan antes del almuerzo.

Cómo ayuda Fix My PC Store: soporte de TI en Palm Beach y soporte remoto de TI a nivel nacional

Hacemos este tipo de limpieza y endurecimiento de seguridad para oficinas locales en todo el condado de Palm Beach y para equipos remotos en todo el país. La mitad del tiempo, ni siquiera necesitamos tocar físicamente sus computadoras. Podemos revisar sus patrones de inicio de sesión de Microsoft 365, ajustar políticas y orientar a los usuarios sin convertir su jornada laboral en un proyecto de ciencias.

Lo que podemos implementar de forma remota (stack típico)

  • Habilitar y validar la coincidencia de números en Microsoft Authenticator cuando corresponda.
  • Diseñar e implementar políticas de Acceso condicional de Entra ID que se ajusten a su negocio.
  • Configurar alertas y rutinas de revisión para anomalías de inicio de sesión y abuso de reglas de buzón.
  • Ayudar con la higiene de endpoints y la limpieza cuando haya actividad sospechosa.

Y sí, también hacemos el “TI regular”

Las tomas de control de cuentas a menudo aparecen junto con otros problemas: endpoints infectados, extensiones de navegador dudosas y quejas de “mi computadora está lenta” que resultan ser adware. Si necesita ayuda presencial, empiece aquí: servicios de reparación de computadoras. Si hay malware involucrado, use nuestro servicio de eliminación de virus y limpieza. Si alguien hizo clic primero y preguntó después y ahora faltan archivos, quizá necesite ayuda profesional de recuperación de datos. Y si su equipo está distribuido, lo atendemos mediante soporte remoto de TI a nivel nacional.

Lista rápida: detenga la fatiga por notificaciones push de MFA sin afectar la productividad

  • Active la coincidencia de números y asegúrese de que los usuarios la entiendan.
  • Use Acceso condicional para reducir solicitudes basura y bloquear inicios de sesión riesgosos.
  • Proteja las cuentas de administrador con reglas más estrictas que las de usuarios normales.
  • Monitoree los inicios de sesión y genere alertas ante patrones de spam de MFA.
  • Capacite al personal con tres reglas simples que realmente recordarán.

Si no hace nada más: dígale a su equipo esta frase y repítala hasta que se les quede: Si usted no inició el inicio de sesión, lo deniega. No después. No tras “solo uno más”. Deniegue.

¿Necesita soporte experto para su computadora?

Obtenga ayuda profesional de los especialistas en reparación de computadoras de confianza del condado de Palm Beach.

Obtenga ayuda hoy

También Te Puede Interesar