Los ataques basados en la identidad representan el 80 % de las infracciones reportadas, a pesar de que la mayoría de las organizaciones utilizan MFA. Esta brecha deja a las instituciones financieras vulnerables a ataques, fallos de cumplimiento y pérdidas financieras, especialmente con la entrada en vigor del mandato actualizado del NYDFS en 2025.
En un seminario web reciente , el veterano CISO Selim Aissi y el estratega de identidad de Secret Double Octopus, Don Shin, exploraron por qué la MFA tradicional está fallando y cómo las soluciones modernas resistentes al phishing pueden ayudar a cerrar la brecha.
“Lo que estamos haciendo no está funcionando”
El problema: el phishing ha superado a la MFA tradicional
La identidad es el principal objetivo de los ciberataques, y el phishing sigue siendo el arma principal. Entonces, ¿por qué la MFA no lo ha detenido? Aissi señala la rápida innovación del atacante.
“He visto muchos ataques de phishing y he observado muchos ataques a la autenticación multifactor (MFA) y al flujo de autenticación mediante diferentes técnicas de ingeniería social”, dijo. “No solo phishing por correo electrónico, sino también vishing, SMS y otras técnicas de ingeniería social como llamar al equipo de soporte y solicitar un cambio de número de teléfono”.
A pesar de los mayores esfuerzos de formación y concienciación, los resultados se han estancado.
“Muchos de mis colegas de la comunidad CISO están buscando razones por las que las cosas no mejoran”, añadió Aissi.
Una razón podría ser que el entrenamiento no es tan efectivo como esperábamos, o quizás la frecuencia de las simulaciones de phishing no es suficiente. Por lo tanto, en lugar de ver que la tasa de clics baja al 1-2%, seguimos viendo tasas del 5-10%.
Y ahora, la amenaza está evolucionando. «Los adversarios están aprovechando muy bien la IA en estos momentos», advirtió, citando herramientas como Deepfake AI, Fraud GPT, Worm GPT y Phishing Frenzy, que han acelerado la sofisticación de los ataques en los últimos 12 a 18 meses.
NYDFS sube el listón
La Sección 500.12 enmendada del NYDFS (NY Departament of Financial Services) ahora exige: “Se utilizará autenticación multifactor para cualquier persona que acceda a cualquier sistema de información de una entidad cubierta”.
Este simple cambio tiene amplias implicaciones: se acabaron las excepciones. Ahora todos los usuarios, puntos de acceso y ubicaciones deben estar protegidos, incluyendo el acceso de terceros y las cuentas de servicio privilegiadas.
¿El problema? No todos los MFA son iguales. La mayoría de las soluciones de MFA presentan tres deficiencias clave:
- Fricción del usuario: gestión de múltiples contraseñas, autenticadores y flujos de acceso
- Cobertura parcial: Incapacidad para proteger sistemas como VPN, RDP o aplicaciones heredadas
- Costo de integración: Implementar MFA en toda la empresa a menudo requiere un gran desarrollo personalizado y recursos.
“Las claves FIDO2 solo funcionan de fábrica con aplicaciones en línea o basadas en navegador”, señaló Shin. “Ampliarlas más allá de eso requiere una inversión considerable de tiempo y recursos”.
Aissi estuvo de acuerdo:
El mayor desafío que hemos visto al implementar MFA es la compatibilidad con los requisitos multiplataforma. Encontrar la solución de MFA adecuada que funcione en todas partes (con la misma experiencia en Mac OS, Windows, Linux, VPN y RDP) ha sido a menudo un desafío para mi equipo y para mí.
Sin una solución unificada, las organizaciones recurren a un enfoque fragmentado: MFA fuerte donde es fácil y contraseñas en todas partes.
Por qué falla la MFA tradicional
El problema principal es simple: la mayoría de las MFA aún dependen de las contraseñas. Las contraseñas se olvidan, se reutilizan, se phishing y, cada vez más, se venden en la dark web. Incluso las defensas multicapa tienen dificultades a medida que el phishing se vuelve más avanzado, especialmente con la IA de por medio.
“ Muchas empresas regidas por el NYDFS también están sujetas a los requisitos del Consejo de Examen de Instituciones Financieras Federales (FFIEC)”, señaló Aissi, que recomienda una MFA resistente al phishing junto con un enfoque en capas basado en el riesgo.
A medida que más reguladores y aseguradores cibernéticos se alinean con la resistencia al phishing como estándar, crece la presión para modernizarse.
¿Qué significa realmente MFA resistente al phishing?
La comunidad de ciberseguridad está de acuerdo en que la MFA moderna debe ser resistente al phishing, pero las definiciones varían.
Según la CISA, la MFA resistente al phishing debe proteger contra la suplantación de identidad, los ataques MITM y la ingeniería social. Esto requiere eliminar las contraseñas y reemplazarlas con factores como credenciales criptográficas, biometría y verificación de proximidad.
“Para lograr una autenticación multifactor resistente al phishing, debemos empezar a pensar de forma diferente”
“ Debemos usar técnicas más robustas que las simples contraseñas y saludos de contraseña, que obviamente se pueden eludir”, explicó Aissi. “La mejor manera de proteger la autenticación es aprovechar las técnicas criptográficas, pero aunque la criptografía de clave pública existe desde principios de los años 70, no se ha utilizado tanto en los flujos de autenticación ” .
Los métodos de autenticación modernos pueden llenar los vacíos que deja la MFA tradicional.
Shin compartió tres casos de uso reales en los que la solución de autenticación Octopus ayudó a las instituciones financieras a modernizar la autenticación, cumplir con los requisitos del NYDFS e implementar MFA resistente al phishing en sus entornos:
1. Acceso de administrador remoto
Un proveedor global de seguros necesitaba proteger el acceso a servidores remotos sin depender de la presencia física de una clave FIDO en el servidor remoto. Gracias a la tecnología propia de Octopus, un agente ligero habilitó la autenticación RDP mediante claves FIDO en el escritorio del administrador local y la verificación criptográfica en el servidor remoto, satisfaciendo así las necesidades de seguridad y usabilidad. Más información.
2. Fuerza de trabajo remota que utiliza VDI
Un prestamista hipotecario utilizó Octopus para extender la autenticación multifactor (MFA) resistente al phishing a empleados remotos que utilizan infraestructura de escritorios virtuales (VDI), combinando credenciales FIDO con notificaciones push seguras, sin necesidad de reentrenamiento ni reempaquetado de la máquina virtual VDI. Leer más.
3. Inicio de sesión universal en el escritorio
Un banco global con más de 80.000 empleados aprovechó Octopus para implementar un inicio de sesión sin contraseña basado en escritorio que permitía el acceso a todas las aplicaciones empresariales con una sesión verificada por proximidad entre el usuario, el ordenador y el autenticador. Esto ofrecía comodidad al usuario y garantía de nivel NIST AAL3. Leer más.
Camino práctico hacia el cumplimiento, sin concesiones
Al trabajar con directorios de identidad existentes y aplicaciones basadas en contraseñas, las soluciones MFA modernas como las de Secret Double Octopus permiten a las organizaciones cumplir con los requisitos del NYDFS de manera rápida y eficiente.
Secret Double Octopus permite a las organizaciones evitar la desinstalación y el reemplazo de sistemas heredados o la inversión en costoso hardware nuevo. En su lugar, se integra en la infraestructura existente para extender la autenticación resistente al phishing a sistemas que normalmente están fuera del alcance de la MFA tradicional, como RDP, VPN, VDI y aplicaciones empresariales heredadas.
Este enfoque ayuda a las organizaciones a acelerar el cumplimiento normativo, eliminar vulnerabilidades relacionadas con las contraseñas, mejorar la experiencia del usuario y reducir la carga del servicio de asistencia.
Si utilizas una autenticación débil, todas las herramientas de ciberseguridad del mundo no te servirán de nada. (Global Cyber Alliance)
3 conclusiones clave
- La MFA resistente al phishing es el nuevo estándar.
El Departamento de Servicios para Familias de Nueva York (NYDFS) y otras normativas están impulsando este cambio, y las organizaciones deben adaptarse. - La MFA basada en contraseñas ya no es suficiente.
El phishing potenciado por IA y la cobertura fragmentada ponen en riesgo la seguridad y el cumplimiento normativo. - Las soluciones eficaces deben:
- Cubrir todos los usuarios, sistemas y casos de uso
- Eliminar las contraseñas por completo
- Integrarse con la infraestructura existente