Al igual que aquel joven de Krypton, la autenticación multifactor (MFA) llegó para rescatarnos de los ataques de phishing, las contraseñas robadas y las malas prácticas de ciberseguridad. Pero, como en toda buena historia de superhéroes, cuanto más tiempo permaneció, más grietas comenzaron a aparecer.
Hoy en día, la MFA no es solo una línea de defensa; también es una fuente de frustración, complacencia y, en algunos casos, de nuevas vulnerabilidades. Los profesionales de la seguridad lo saben, los usuarios lo sienten y los atacantes están aprendiendo a explotarlo. ¿La verdad que no queremos aceptar? Estamos sufriendo fatiga de MFA, y fingir lo contrario solo empeora el problema.
La psicología detrás de la fatiga de la MFA
La mayor amenaza para la MFA no es el hacker, sino el comportamiento humano. Cada vez que un usuario recibe una nueva solicitud de autenticación, otro código para copiar o una aplicación más que abrir, se acumula una pequeña fricción cognitiva. Con el tiempo, esa fricción se convierte en fatiga y, antes de que te des cuenta, las compañías de seguros cibernéticos están sudando frío. Es el mismo agotamiento mental que lleva a las personas a ignorar el cinturón de seguridad o a posponer las actualizaciones de software, no porque no les importe la seguridad, sino porque la vigilancia constante termina desgastándolas.
Cuando las medidas de seguridad se perciben como excesivas o incómodas, los usuarios comienzan a buscar atajos. Reutilizan dispositivos, omiten verificaciones o aprueban solicitudes automáticamente. Los atacantes han aprendido a convertir este comportamiento en un arma. El prompt bombing, en el que los usuarios son inundados con solicitudes de inicio de sesión hasta que hacen clic en “aprobar” por frustración, funciona precisamente porque la fatiga de la MFA reduce nuestras defensas.
La ironía es que la MFA fue diseñada para protegernos de los malos hábitos relacionados con contraseñas débiles o reutilizadas, pero ahora está fomentando su propia versión de pereza digital. Las organizaciones quedan atrapadas entre aplicar controles más estrictos y no alienar a su fuerza laboral. La solución no son más alertas, sino alertas más inteligentes.
Cuando la protección se convierte en una debilidad
La fortaleza de la MFA depende de la confianza entre el usuario y el sistema. Cuando esa confianza se erosiona, incluso los mejores protocolos pueden volverse en contra. Los atacantes explotan la presión psicológica de las alertas constantes, engañando a los usuarios para que aprueben accesos que no deberían. La conocida brecha de Uber en 2022 es un ejemplo clásico: los atacantes bombardearon a un empleado con solicitudes de MFA hasta que cedió. Un solo toque después, la red quedó comprometida.
Este no es un problema aislado. El auge de la MFA basada en notificaciones push ha creado una falsa sensación de comodidad que a menudo eclipsa la seguridad. La fatiga por notificaciones push conduce a un comportamiento condicionado, en el que los usuarios tocan “sí” sin leer los detalles. Es una vulnerabilidad humana disfrazada de salvaguarda tecnológica. Y cuanto más fluida hacemos la autenticación, más invisible se vuelve el peligro.
Los equipos de seguridad no pueden simplemente “capacitar más”. Las campañas de concienciación son útiles, pero no solucionan fallos sistémicos de diseño. Si la seguridad exige que los usuarios permanezcan en alerta las 24 horas del día, los 7 días de la semana, entonces ya está fallando. La respuesta está en hacer que la MFA sea más inteligente, consciente del contexto y menos dependiente de la interacción constante del usuario.
El auge de una MFA más inteligente: contexto y adaptación
La próxima generación de MFA no trata de añadir más factores, sino de incorporar mejor el contexto. La MFA adaptativa, por ejemplo, utiliza analítica de comportamiento y reconocimiento de dispositivos para decidir cuándo desafiar a un usuario. Si inicias sesión desde tu portátil habitual, en tu red doméstica y a tu hora normal, no hay necesidad de añadir fricción adicional. Pero si te conectas desde un dispositivo nuevo en otro país, ahí es cuando la MFA debe intervenir.
La autenticación contextual reduce las solicitudes innecesarias y, al mismo tiempo, mantiene bajo control la actividad de alto riesgo. Trata la seguridad como un termostato, ajustándose según los cambios del entorno en lugar de mantenerse siempre al máximo. ¿El resultado? Menos interrupciones, mayor confianza y menos fatiga.
Este enfoque también encaja con la arquitectura de confianza cero (zero trust), que verifica continuamente a los usuarios en lugar de asumir la confianza tras un único inicio de sesión. Esta combinación reduce la necesidad de solicitudes excesivas de MFA sin perder una supervisión sólida. No se trata de eliminar la MFA; sigue habiendo aplicaciones significativas en las que debe implementarse. Pero la cuestión sobre su uso no es el cuándo, sino el cómo.
Por qué la experiencia de usuario (UX) importa más que nunca
Rara vez pensamos en la ciberseguridad como un problema de experiencia de usuario, pero eso es precisamente lo que pone de manifiesto la fatiga de la MFA. La interfaz entre las personas y los sistemas de seguridad determina si los usuarios cumplen o se rebelan. Cada paso adicional en un proceso de inicio de sesión se siente como un impuesto a la atención y, en el entorno laboral moderno —repleto de alertas, correos y reuniones—, ese impuesto se vuelve pesado.
Los mejores sistemas de MFA hacen que los usuarios se sientan protegidos, no castigados. La biometría, el inicio de sesión único (SSO) y las passkeys son avances que reducen la fricción sin sacrificar la seguridad. Convierten la autenticación en algo intuitivo en lugar de intrusivo. Sin embargo, demasiadas empresas siguen incorporando la MFA a sistemas heredados como un añadido de último momento, dejando a los usuarios lidiando con múltiples tokens y contraseñas.
Un enfoque más centrado en las personas trata la usabilidad como una característica de seguridad. Reconoce que las personas, no las políticas, son el eslabón más débil… y también la defensa más fuerte. Cuando la MFA se integra de forma fluida en el flujo de trabajo, la fatiga pasa a un segundo plano. Cuando no lo hace, el agotamiento se convierte en una puerta trasera para los atacantes.
El rol de la educación y la cultura
Incluso las herramientas de autenticación más avanzadas fallan sin una cultura de seguridad sólida, especialmente en sectores como el financiero. La educación debe ir más allá de las listas de verificación de cumplimiento y centrarse en la concientización conductual. Los empleados deben comprender no solo cómo usar la MFA, sino por qué los atacantes la tienen como objetivo y cómo la fatiga puede ser explotada. Otro enfoque eficaz es crear una matriz de habilidades y analizar qué miembros del equipo cuentan con las competencias adecuadas para cada situación (phishing, respuesta ante desastres, etc.).
Pero la educación no puede funcionar de forma aislada. La cultura de seguridad comienza desde la alta dirección: basta con observar lo que promueven líderes de la industria como Microsoft. Cuando el liderazgo da el ejemplo con buenas prácticas de seguridad y cuando las políticas de TI respetan el tiempo y la comodidad de los usuarios, los empleados siguen ese modelo. El objetivo no es volver a las personas paranoicas, sino hacerlas conscientes.
Las organizaciones que tratan la ciberseguridad como una responsabilidad compartida, y no como una carga exclusiva del área de TI, logran un mayor compromiso y sufren menos brechas de seguridad. La fatiga de la MFA es, en última instancia, un síntoma de una desconexión: entre la tecnología y el usuario, entre la seguridad y el flujo de trabajo. Cerrar esa brecha requiere tanta empatía como experiencia.
Conclusión
La fatiga de la MFA no es un problema del usuario, sino un fallo de diseño. Hemos construido sistemas que dependen de la atención humana constante en una era de distracciones permanentes. Cuantas más alertas enviamos, más insensibles nos volvemos a su importancia. Los atacantes lo saben y explotan la fatiga, la familiaridad y nuestro instinto de simplemente “terminar rápido”.
El camino a seguir está en sistemas más inteligentes y adaptativos que equilibren la protección con la usabilidad. La MFA no debería sentirse como una carga, sino como una manifestación tangible de la confianza. La fea verdad es que la fatiga es real, pero también es solucionable. El futuro de la autenticación pertenecerá a quienes logren que la seguridad sea sencilla, no agotadora.
Nota: Este artículo del blog fue escrito por un colaborador invitado con el objetivo de ofrecer una mayor variedad de contenido a nuestros lectores. Las opiniones expresadas en este artículo del autor invitado son exclusivamente del colaborador y no reflejan necesariamente las de GlobalSign.
