El 81% de las brechas usa contraseñas robadas o débiles. La solución cuesta casi cero y la mayoría de las empresas mexicanas sigue sin activarla. Hablemos del candado más barato y más ignorado de la ciberseguridad: la autenticación multifactor.
Te tengo una mala noticia. Si tu equipo usa el mismo correo para trabajo y para registrarse en tiendas, foros y apps, hay una probabilidad alta de que su contraseña ya ande circulando en alguna filtración. No porque tu empresa fuera hackeada, sino porque alguna de esas otras plataformas lo fue, y la gente reusa contraseñas.
Según el DBIR de Verizon, alrededor del 81% de las brechas relacionadas con hackeo involucran contraseñas robadas o débiles. Es el vector número uno. Y lo frustrante es que la defensa principal —la autenticación multifactor (MFA)— es de lo más barato que existe en ciberseguridad y la mayoría todavía no la activa.
"Pensábamos que estábamos bien porque teníamos antivirus. El atacante no necesitó ningún virus: entró con la contraseña del correo de un vendedor, que era la misma que usaba en todos lados. Desde ahí mandó facturas falsas a nuestros clientes." — Director, comercializadora en CDMX
La autenticación multifactor exige dos pruebas distintas de que eres tú: algo que sabes (contraseña) más algo que tienes (tu celular, una llave física) o algo que eres (huella). Aunque un atacante robe la contraseña, sin el segundo factor no entra.
El número que lo resume todo: Microsoft reportó que el MFA bloquea más del 99% de los ataques automatizados de toma de cuentas. Pocas medidas de seguridad ofrecen esa relación entre lo que cuestan (prácticamente nada) y lo que evitan (un desastre).
Y aquí viene un matiz que casi nadie aclara. El MFA por SMS —ese código que te llega por mensaje— es mejor que nada, pero es el más débil: los códigos se interceptan y existe el fraude de "SIM swapping". Mucho mejor:
El MFA es el segundo candado. Pero el primero —la contraseña— también hay que arreglarlo, y "pídele a tu gente que use contraseñas más fuertes" no funciona. Nadie memoriza 40 contraseñas únicas. Por eso reusan.
La solución real es un gestor de contraseñas: una bóveda cifrada donde el sistema genera y guarda una contraseña distinta, larga y aleatoria para cada servicio. El usuario solo recuerda una contraseña maestra. De golpe desaparecen el reúso, los post-its bajo el teclado y las contraseñas en un Excel llamado "claves.xlsx".
| Medida | Costo | Qué frena |
|---|---|---|
| MFA en app (autenticadora) | Casi cero | +99% de tomas de cuenta automatizadas |
| Llave física FIDO2 | Bajo (por usuario) | Hasta phishing avanzado |
| Gestor de contraseñas | Bajo (por usuario/mes) | Reúso y contraseñas débiles |
| Capacitación anti-phishing | Medio, recurrente | El engaño que la tecnología no ve |
| Costo de una cuenta comprometida | Alto a catastrófico | — |
Ahora, seamos honestos: el MFA y el gestor frenan al bot, no necesariamente al humano astuto. Un atacante puede llamar a tu empleado haciéndose pasar por soporte y pedirle el código del MFA "para resolver un problema". Por eso la capa final es la capacitación: que tu gente sepa que nadie legítimo le va a pedir su código, jamás. Esto se conecta directo con la nueva ola de fraude con deepfakes e IA, donde el engaño suena cada vez más real.
Y todo esto es la base que después te permite ir por algo más formal. Si vas a certificarte, el control de accesos e identidades es una de las primeras cosas que revisa la norma — lo cubrimos en nuestra guía de ISO 27001 para PyMEs. Y recuerda que el MFA es prevención: si igual te pega un ataque, lo que te salva es el respaldo, y la mayoría descubre tarde que su backup no servía.
Lo difícil de esto no es técnico. Activar MFA en tu correo corporativo toma una tarde. Lo difícil es la resistencia: "es que es incómodo", "ya con la contraseña basta". No basta. La incomodidad de teclear un código de seis dígitos dura tres segundos; la de explicarles a tus clientes por qué les llegaron facturas falsas desde tu correo dura meses. En SCRAM activamos MFA, desplegamos el gestor y capacitamos al equipo como un paquete — porque las tres piezas juntas son las que de verdad cierran la puerta.
Referencias:
¿Necesitas ayuda con tecnología?
SCRAM Consulting lleva 27+ años integrando soluciones de tecnología para empresas en México.
Hablar con un experto
Armando Cortés forma parte del equipo de SCRAM Consulting, integradora B2B de soluciones IT empresariales con presencia en México y Estados Unidos desde 1997. Acompaña a empresas mid-market mexicanas en proyectos de infraestructura, ciberseguridad, hardware industrial, soporte 24/7 e integración de IA aplicada al stack operativo del negocio.
Relacionados
¿Qué es un SOC y Necesita Uno tu Empresa? (Explicado sin Tecnicismos)
June 23, 2026
Checklist de Ciberseguridad para PyMEs: 12 Puntos que Puedes Revisar Hoy
June 23, 2026
Ciberseguridad para Empresas en México: La Guía Completa para Protegerte sin Volverte Paranoico
June 23, 2026
Suscríbete al blog
Artículos de tecnología y seguridad cada semana.
Sigue leyendo
¿Qué es un SOC y Necesita Uno tu Empresa? (Explicado sin Tecnicismos)
June 23, 2026 · 7 min
Checklist de Ciberseguridad para PyMEs: 12 Puntos que Puedes Revisar Hoy
June 23, 2026 · 8 min
Ciberseguridad para Empresas en México: La Guía Completa para Protegerte sin Volverte Paranoico
June 23, 2026 · 15 min
