Passkeys vs. Fatiga de MFA: Cómo detener ataques BEC en enero de 2026
Escuchar este artículo
Loading...- Por qué la fatiga de MFA y el phishing de tokens de sesión siguen ganando contra la MFA tradicional
- Ataques de fatiga de MFA (bombardeo de notificaciones push)
- Phishing de tokens de sesión (robo de cookies)
- Por qué los atacantes de BEC apuntan primero al correo electrónico
- Passkeys (FIDO2/WebAuthn) y autenticación resistente al phishing para prevenir BEC
- Qué hace que las passkeys sean resistentes al phishing
- Passkeys vs. códigos de autenticador y SMS
- Dónde encajan las llaves de seguridad FIDO2
- Passkeys en Microsoft 365 y seguridad de Entra ID: guía práctica
- Qué habilitar primero en la seguridad de Entra ID
- Pasos comunes de endurecimiento (hardening) contra BEC para buzones de Microsoft 365
- Passkeys en Google Workspace: reducción de tomas de control de cuentas y riesgo de BEC
- Dónde ayudan más las passkeys de Google Workspace
- No ignore la higiene del endpoint
- Plan de implementación para usuarios domésticos y pequeñas empresas (lista de verificación 2026)
- Fase 1: Inventario de cuentas y riesgos
- Fase 2: Confirmar preparación de dispositivos
- Fase 3: Comenzar con un grupo piloto
- Fase 4: Implementar llaves de seguridad FIDO2 para usuarios críticos
- Fase 5: Definir opciones de recuperación antes de aplicar cambios
- Fase 6: Manual de seguridad para fuerza laboral remota
- Prevención de BEC más allá del inicio de sesión: controles de buzón y pagos que importan
- Fundamentos de auditoría del buzón
- Procedimientos de verificación de pagos
- Cómo ayuda Fix My PC Store en Palm Beach County y a nivel nacional
- ¿Necesita soporte experto para su computadora?
En 2026, las passkeys se están convirtiendo rápidamente en la forma más práctica de detener las tomas de control de cuentas que derivan en business email compromise (BEC). Este cambio ocurre por una razón sencilla: los atacantes se han vuelto muy buenos para evadir la autenticación multifactor (MFA) tradicional mediante avisos de fatiga de MFA y phishing de tokens de sesión. Si su buzón de Microsoft 365 o Google Workspace es secuestrado, el atacante puede suplantar a la dirección, redirigir facturas y cambiar reglas de forma silenciosa para mantener el fraude en marcha.
Esta guía explica cómo los grupos modernos de BEC evaden la MFA heredada, por qué las passkeys (FIDO2/WebAuthn) son resistentes al phishing y cómo los usuarios domésticos y las pequeñas empresas pueden implementarlas de forma segura, incluyendo preparación de dispositivos, opciones de recuperación y seguridad para fuerza laboral remota. Fix My PC Store apoya a clientes en todo Palm Beach County y a nivel nacional mediante soporte remoto de TI para la seguridad de cuentas.
Por qué la fatiga de MFA y el phishing de tokens de sesión siguen ganando contra la MFA tradicional
La MFA fue una gran mejora frente a las contraseñas por sí solas, pero muchas implementaciones aún dependen de factores que los atacantes pueden manipular. En enero de 2026, dos patrones siguen siendo comunes en investigaciones de BEC:
Ataques de fatiga de MFA (bombardeo de notificaciones push)
Los atacantes activan repetidamente solicitudes de inicio de sesión en el teléfono de la víctima hasta que el usuario toca Aprobar solo para que se detenga, o porque cree que es un inicio de sesión legítimo. Esto es especialmente efectivo cuando el atacante programa los avisos durante horas de alta carga, fuera de horario o cuando el usuario está viajando.
Phishing de tokens de sesión (robo de cookies)
Incluso si un usuario no aprueba una solicitud de MFA, los atacantes pueden robar tokens de sesión mediante páginas de phishing, extensiones maliciosas del navegador o malware en un endpoint. Una vez capturado el token, el atacante puede acceder al correo sin volver a introducir MFA hasta que la sesión expire o sea revocada.
Por qué los atacantes de BEC apuntan primero al correo electrónico
El correo electrónico es el plano de control para restablecimientos, aprobaciones, facturas, comunicaciones con proveedores y acceso a otros servicios. Tras la toma de control, los atacantes suelen:
- Crear reglas de bandeja de entrada para ocultar respuestas, facturas o alertas de seguridad.
- Agregar reenvío a direcciones externas.
- Enviar solicitudes de redirección de pagos a contabilidad o a clientes.
- Usar el buzón comprometido para hacer phishing a otros empleados.
Si sospecha un compromiso, a menudo se convierte en un problema combinado de cuenta y endpoint. Nuestro servicio de eliminación de malware y virus ayuda a eliminar malware que roba tokens, y nuestro servicio de recuperación de datos puede ayudar cuando aparecen ransomware o cargas destructivas junto con la toma de control.
Passkeys (FIDO2/WebAuthn) y autenticación resistente al phishing para prevenir BEC
Las passkeys se basan en los estándares FIDO2/WebAuthn y están diseñadas para ser una autenticación resistente al phishing. En lugar de escribir una contraseña en un sitio web, su dispositivo demuestra la posesión de una clave privada almacenada de forma segura en el dispositivo o en una llave de seguridad de hardware.
Qué hace que las passkeys sean resistentes al phishing
- Vinculación al origen: WebAuthn vincula la autenticación al sitio legítimo. Una página de inicio de sesión falsa no puede completar el desafío criptográfico para el dominio real.
- Sin secretos reutilizables: No hay una contraseña que se pueda reutilizar, adivinar o rociar (password spraying).
- Protección respaldada por hardware: En muchos dispositivos modernos, las claves están protegidas por hardware seguro y se desbloquean con biometría o un PIN del dispositivo.
Passkeys vs. códigos de autenticador y SMS
Los códigos de apps autenticadoras y los SMS son mejores que las contraseñas por sí solas, pero aún pueden ser objeto de phishing o ingeniería social. Las passkeys reducen la probabilidad de que un usuario sea engañado para entregar algo que un atacante pueda reutilizar.
Dónde encajan las llaves de seguridad FIDO2
Las llaves de seguridad FIDO2 (USB-A, USB-C, NFC) son una opción sólida para ejecutivos, equipos de finanzas y administradores. Pueden usarse como passkeys y son ideales para:
- Roles de alto riesgo que aprueban pagos o gestionan proveedores
- Estaciones de trabajo compartidas donde no desea credenciales almacenadas localmente
- Usuarios de fuerza laboral remota que viajan e inician sesión desde múltiples dispositivos
Passkeys en Microsoft 365 y seguridad de Entra ID: guía práctica
En Microsoft 365, las passkeys se implementan mediante Microsoft Entra ID (antes Azure AD) usando métodos FIDO2/WebAuthn. El objetivo es reducir la dependencia de contraseñas y disminuir la tasa de éxito de los ataques de fatiga de MFA.
Qué habilitar primero en la seguridad de Entra ID
- Métodos resistentes al phishing: Priorice passkeys y llaves de seguridad FIDO2 para usuarios de alto riesgo.
- Políticas de inicio de sesión más estrictas: Exija métodos más fuertes para roles administrativos y buzones de finanzas.
- Reducir aprobaciones push: Limite o refuerce las aprobaciones basadas en push cuando sea posible para reducir el riesgo de fatiga.
Microsoft ofrece orientación oficial sobre métodos de inicio de sesión y compatibilidad con llaves de seguridad. Ver: documentación de Microsoft Support.
Pasos comunes de endurecimiento (hardening) contra BEC para buzones de Microsoft 365
- Revise regularmente las reglas del buzón y la configuración de reenvío.
- Use cuentas de administrador separadas que no se utilicen para el correo diario.
- Habilite alertas de inicios de sesión sospechosos y creación de reglas de bandeja de entrada cuando esté disponible.
- Asegúrese de que los endpoints estén limpios para reducir el riesgo de robo de tokens.
Si su PC con Windows 10 o Windows 11 se comporta de forma sospechosa o muestra ventanas emergentes del navegador, no lo trate como si fuera solo un problema de correo. Un endpoint comprometido puede robar sesiones. Nuestro servicio de reparación de computadoras y solución de problemas puede ayudar a estabilizar sistemas y eliminar la causa raíz.
Passkeys en Google Workspace: reducción de tomas de control de cuentas y riesgo de BEC
Las passkeys de Google Workspace también se basan en FIDO2/WebAuthn y pueden reducir significativamente el phishing exitoso. Los administradores de Workspace pueden recomendar o exigir métodos más fuertes para usuarios de alto riesgo, mientras que las personas pueden adoptar passkeys para sus cuentas de Google cuando sea compatible.
Dónde ayudan más las passkeys de Google Workspace
- Detener páginas de inicio de sesión imitadas (lookalike) usadas en estafas de facturas de proveedores
- Reducir el riesgo por reutilización de contraseñas entre cuentas personales y empresariales
- Proteger a usuarios remotos que inician sesión desde hoteles, Wi‑Fi compartido y dispositivos móviles
No ignore la higiene del endpoint
Las passkeys reducen el riesgo de phishing, pero no eliminan automáticamente el malware de un dispositivo. Los ladrones de tokens, infostealers y extensiones maliciosas aún pueden causar daños. Para una línea base práctica de seguridad, consulte: recursos de seguridad de Malwarebytes.
Plan de implementación para usuarios domésticos y pequeñas empresas (lista de verificación 2026)
Una implementación exitosa de passkeys se trata menos de activar un interruptor y más de asegurar que usuarios, dispositivos y rutas de recuperación estén listos. Use este plan por fases para reducir bloqueos y mantener alta la productividad.
Fase 1: Inventario de cuentas y riesgos
- Liste todos los usuarios de Microsoft 365 y Google Workspace.
- Identifique roles de alto riesgo: propietario, finanzas, RR. HH., administradores de TI, cualquier persona que pueda cambiar datos bancarios.
- Documente buzones compartidos críticos y flujos de trabajo de pago a proveedores.
Fase 2: Confirmar preparación de dispositivos
- Verifique que los usuarios tengan un dispositivo compatible con passkeys (teléfonos modernos, navegadores modernos o llaves de seguridad FIDO2).
- Asegúrese de que los sistemas Windows 10 y Windows 11 estén completamente actualizados.
- Estandarice navegadores cuando sea posible y elimine extensiones desconocidas.
Fase 3: Comenzar con un grupo piloto
- Incorpore primero de 2 a 5 usuarios, idealmente incluyendo un usuario de alto riesgo y un usuario típico.
- Pruebe el inicio de sesión desde los dispositivos principales y un dispositivo de respaldo.
- Valide que los usuarios aún puedan acceder al correo y a las apps principales sin fricción.
Fase 4: Implementar llaves de seguridad FIDO2 para usuarios críticos
- Entregue dos llaves por usuario crítico (principal y de respaldo).
- Etiquete y almacene las llaves de respaldo de forma segura.
- Capacite a los usuarios sobre cómo reconocer avisos legítimos y cómo reportar inicios de sesión sospechosos.
Fase 5: Definir opciones de recuperación antes de aplicar cambios
La recuperación es donde muchas implementaciones fallan. Planifique para teléfonos perdidos, laptops dañadas y rotación de empleados:
- Mantenga al menos dos métodos de autenticación por usuario (por ejemplo, passkey más un método de respaldo permitido por su organización).
- Mantenga procedimientos seguros de recuperación por parte de administradores con verificación de identidad.
- Documente pasos de emergencia para cuentas de finanzas y liderazgo.
Fase 6: Manual de seguridad para fuerza laboral remota
- Exija bloqueo de pantalla, cifrado del dispositivo cuando esté disponible y PINs de dispositivo robustos.
- Reduzca inicios de sesión compartidos. Cada usuario debe tener su propia cuenta.
- Use soporte remoto para verificar configuraciones, eliminar extensiones riesgosas y revisar presencia de malware.
Si su equipo está distribuido, Fix My PC Store puede ayudar a reforzar cuentas a nivel nacional mediante servicios de soporte remoto seguro, mientras continúa atendiendo a clientes en sitio en todo Palm Beach County.
Prevención de BEC más allá del inicio de sesión: controles de buzón y pagos que importan
Las passkeys ayudan a detener la toma de control inicial, pero la prevención de BEC también debe reducir el impacto si alguien logra entrar.
Fundamentos de auditoría del buzón
- Verifique nuevas reglas de bandeja de entrada, reenvío y acceso delegado.
- Revise el historial de inicios de sesión para ubicaciones y dispositivos desconocidos.
- Asegúrese de que las notificaciones de seguridad lleguen a más de una persona en cuentas críticas.
Procedimientos de verificación de pagos
- Exija verificación fuera de banda para cambios de datos bancarios (llame a un número conocido, no al de la firma del correo).
- Use aprobación de dos personas para transferencias bancarias (wire transfers) cuando sea posible.
- Capacite al personal para tratar cambios urgentes de facturas como sospechosos por defecto.
Cómo ayuda Fix My PC Store en Palm Beach County y a nivel nacional
Fix My PC Store tiene sede en West Palm Beach, Florida, y ayudamos regularmente a clientes en todo Palm Beach County, incluyendo comunidades cercanas como Palm Beach Gardens, Jupiter, Lake Worth Beach, Boynton Beach, Royal Palm Beach, Wellington y Delray Beach. También asistimos a clientes remotos en todo Estados Unidos.
Nuestros servicios enfocados en seguridad que respaldan la adopción de passkeys y la respuesta ante BEC incluyen:
- Soporte remoto para configuración segura de cuentas y endurecimiento de dispositivos
- Eliminación de virus y malware para reducir el riesgo de robo de tokens de sesión
- Reparación de computadoras para sistemas inestables que afectan la autenticación y la seguridad
- Recuperación de datos si un incidente provoca pérdida de archivos o sistemas dañados
¿Necesita soporte experto para su computadora?
Obtenga ayuda profesional de los especialistas en reparación de computadoras de confianza de Palm Beach County.
Obtenga ayuda hoy