Ataques de Fatiga MFA: qué son, por qué amenazan a tu empresa y cómo puedes protegerte

El uso de la autenticación multifactor (MFA) se ha convertido en un estándar de seguridad ampliamente adoptado en entornos corporativos, especialmente ante el auge del trabajo remoto y el incremento del acceso a sistemas críticos desde ubicaciones externas. Las organizaciones han visto en el MFA una barrera eficaz frente al robo de contraseñas, uno de los vectores de ataque más comunes. 

A

demás, este tipo de autenticación se ha normalizado en la vida cotidiana de los usuarios: ya no sorprende que el acceso a un correo, una red social o una aplicación financiera requiera una verificación adicional. Esta familiaridad con el proceso ha generado una percepción de rutina que, paradójicamente, puede convertirse en una debilidad cuando se abusa del canal de autenticación. 

Sin embargo, esta confianza no es absoluta. En los últimos años, los atacantes han desarrollado nuevas técnicas de ingeniería social para eludir incluso mecanismos de seguridad avanzados como el MFA. Una de las más preocupantes es el llamado «MFA Fatigue», o fatiga de autenticación, un tipo de ataque que genera un acceso no autorizado sin necesidad de vulnerar directamente los sistemas técnicos. 

¿Qué es un ataque de MFA Fatigue? 

Un ataque de fatiga de autenticación multifactor, también conocido como «bombardeo de solicitudes MFA» (MFA prompt bombing), es una técnica de ingeniería social que explota el uso de la autenticación multifactor mediante notificaciones emergentes (push). En lugar de intentar vulnerar directamente un sistema, el atacante se centra en la conducta del usuario final para obtener acceso no autorizado. 

Este ataque ocurre típicamente cuando un atacante ya ha conseguido las credenciales válidas de una víctima (por ejemplo, mediante phishing o una filtración previa). A continuación, inicia múltiples intentos de acceso que desencadenan una avalancha de notificaciones de autenticación en el dispositivo del usuario, como solicitudes push en una app de seguridad. El objetivo es provocar cansancio, confusión o frustración, hasta que la víctima aprueba una de las notificaciones por error o simplemente para detener las interrupciones. 

Este fenómeno se conoce como «fatiga de autenticación» porque aprovecha el carácter repetitivo y cotidiano del MFA para debilitar la vigilancia del usuario. En un entorno donde las personas están acostumbradas a aprobar notificaciones casi sin pensarlo, la insistencia del atacante termina por vencer la resistencia humana, abriendo una puerta que, desde el punto de vista técnico, permanece cerrada. 

Casos reales: del ataque a Uber a una nueva tendencia global 

• Uber (2022): Un atacante utilizó técnicas de ingeniería social y bombardeó a un empleado con solicitudes push hasta que este aprobó una, lo que permitió el acceso a sistemas internos.  

• Microsoft (2023): Cuentas corporativas fueron objeto de múltiples ataques mediante abuso de notificaciones push, en campañas vinculadas al grupo de amenazas Storm-0558.  

• Cisco (2023): Reportes de Cisco Talos indicaron que algunos accesos iniciales se lograron mediante MFA prompt abuse antes de una fase de movimiento lateral en la red.  

• Okta (2024): Diversos incidentes estuvieron relacionados con credenciales comprometidas y el uso de MFA fatigue como técnica de entrada, afectando a proveedores de identidad federada.  

En todos los casos, el acceso inicial se produjo debido al error humano inducido por insistencia, no por una falla técnica directa en los sistemas de autenticación 

Por qué esto debería importar a tu empresa 

Para las organizaciones, los ataques de fatiga de autenticación representan mucho más que una simple molestia técnica: son un riesgo directo para la continuidad del negocio, la reputación corporativa y el cumplimiento normativo. 

En primer lugar, el entorno de trabajo moderno está altamente interconectado y expuesto. Las empresas utilizan cada vez más herramientas SaaS, acceso remoto, dispositivos personales y entornos híbridos, lo que amplía la superficie de ataque. En este contexto, un solo acceso indebido puede tener un efecto dominó dentro de la infraestructura corporativa. 

Además, los efectos de una intrusión por MFA Fatigue pueden ser difíciles de detectar: el atacante entra con credenciales válidas, lo que puede pasar inadvertido por los sistemas de control convencionales. Esto retrasa la detección del incidente y aumenta su impacto. 

También hay un fuerte componente normativo: muchas empresas deben cumplir con estándares conocidos como SOC 2, ISO 27001, NIS2 o el RGPD. Un incidente causado por negligencia en la autenticación puede derivar en sanciones o en la obligación de notificar brechas a clientes y autoridades. 

Finalmente, está el factor humano. Las empresas no siempre capacitan suficientemente a sus usuarios sobre los riesgos de aprobar notificaciones desconocidas. Esta falta de concienciación refuerza el éxito de este tipo de ataques. 

Por todo esto, las organizaciones necesitan abordar el problema desde una estrategia integral: no basta con implementar MFA, hay que reforzarlo con controles adaptativos, monitoreo inteligente y una cultura de seguridad que responsabilice y proteja a los usuarios. 

Cómo protegerse de los ataques de MFA “prompt bombing” 

Protegerse frente a los ataques de MFA Fatigue implica actuar en dos niveles: el individual (usuarios finales) y el organizacional (configuraciones de seguridad, políticas, tecnología). 

Recomendaciones para usuarios: 

• Nunca aprobar una notificación de acceso si no se está intentando iniciar sesión. 

• Reportar inmediatamente cualquier comportamiento inusual o múltiples notificaciones no solicitadas. 

• Activar el registro de actividad en los servicios que lo permitan para verificar accesos recientes. 

• Usar aplicaciones de autenticación basadas en códigos temporales (TOTP) o claves físicas siempre que sea posible. 

Recomendaciones para organizaciones: 

• Evitar el uso exclusivo de MFA basado en notificaciones push. Reforzar con métodos como TOTP, biometría o claves FIDO2. 

• Configurar límites de intentos o bloqueos temporales tras varios rechazos consecutivos de MFA. 

• Utilizar políticas de acceso adaptativo: por ejemplo, solicitar MFA adicional si la IP es desconocida o el dispositivo no está registrado. 

• Integrar soluciones de monitoreo que detecten patrones anómalos como múltiples solicitudes rechazadas en un corto período. 

• Formar de manera continua a los empleados en la identificación de señales de ataque y en el uso responsable de los mecanismos de autenticación. 

Estas medidas no solo reducen la probabilidad de éxito de un ataque, sino que también refuerzan la confianza del equipo en las defensas implementadas y permiten una reacción más rápida ante incidentes. 

TrustCloud actúa como un aliado estratégico en el diseño e implementación de estrategias de autenticación robustas y personalizadas, adaptadas al nivel de riesgo, madurez y necesidades específicas de cada organización. 

¿Quieres saber cómo TrustCloud puede ayudarte a fortalecer tu estrategia de autenticación? Contacta con nuestro equipo de expertos 

Buenas prácticas y herramientas recomendadas 

La prevención de ataques de MFA Fatigue no solo depende de políticas y concienciación, sino también de la elección y configuración adecuada de las herramientas tecnológicas. 

Comparativa de métodos de autenticación multifactor: 

• Notificación push: cómoda, pero vulnerable a fatiga si se abusa de ella. 

• TOTP (códigos temporales): más seguro al requerir acción manual y sincronización temporal. 

• FIDO2 / claves físicas: excelente protección contra ataques remotos; ideal para entornos de alta seguridad. 

• Biometría: conveniente, aunque debe combinarse con factores adicionales en contextos críticos. 

Políticas clave a implementar: 

• Autenticación escalonada según el nivel de sensibilidad del recurso. 

• Supervisión de eventos anómalos en las solicitudes de autenticación. 

• Educación continua del personal con simulacros y campañas de concienciación. 

Seleccionar una solución MFA adecuada, configurarla de forma estratégica y reforzarla con tecnología de monitoreo y respuesta es esencial para minimizar el riesgo de MFA Fatigue en cualquier organización. 

Contacta con TrustCloud y descubre cómo convertir la autenticación multifactor en una verdadera barrera contra amenazas emergentes