Bypass de MFA: cómo te saltan el doble factor en 2026
Los ataques de bypass de MFA son técnicas que permiten a un atacante saltarse la autenticación multifactor sin robar tu contraseña ni tu segundo factor de forma directa. En 2026 el método dominante es el phishing en tiempo real con proxies como Evilginx, que interceptan la sesión completa. La defensa que de verdad lo frena es FIDO2 con WebAuthn, porque ata la credencial al dominio real y la vuelve inservible en un sitio falso.
En 30 segundos
- El bypass de MFA no rompe la criptografía: roba la sesión o engaña al usuario en el momento exacto del login.
- Los cinco vectores que funcionan hoy: proxies de phishing en vivo, robo de cookies de sesión, MFA fatigue, SIM swap y man-in-the-middle.
- El SMS y los push son los eslabones débiles. El TOTP zafa un poco más, pero también cae ante un proxy en tiempo real.
- FIDO2 con WebAuthn es resistente a phishing porque la clave está atada al origen (el dominio). En un sitio falso, no firma.
- CISA y el W3C lo señalan como el estándar de referencia para autenticación phishing-resistant.
¿Qué son los ataques de bypass de MFA?
Los ataques de bypass de MFA son métodos para acceder a una cuenta protegida con autenticación multifactor sin necesidad de comprometer cada factor por separado. En vez de adivinar tu contraseña y después tu código, el atacante se mete en el medio del proceso o te convence de que apruebes vos mismo el acceso.
Acá está el malentendido más común: mucha gente cree que activar el segundo factor te vuelve intocable. No es así.
Ponele que recibís un mail que parece de Microsoft 365 pidiéndote que revises un documento compartido. Hacés clic, te lleva a una página idéntica a la de Microsoft, ponés tu usuario, tu contraseña y hasta el código del autenticador. Lo que no sabés es que esa página es un proxy: reenvía todo en vivo al sitio real, y mientras vos pensás que entraste, el atacante se quedó con tu cookie de sesión ya autenticada. Tu MFA funcionó. Pero el atacante entró de todos modos.
Por eso en 2026 el bypass de MFA se considera una de las amenazas críticas de identidad. Los ataques tipo Adversary-in-the-Middle (AiTM) se automatizaron tanto que cualquiera con un kit comprado puede montar uno. No hace falta ser un genio del exploit.
Tipos principales de ataques MFA que funcionan hoy
No todos los bypass son iguales. Estos son los cinco que ves en incidentes reales, ordenados más o menos por qué tan seguido aparecen. Esto se conecta con lo que analizamos en proteger pipelines contra accesos no autorizados.
1. Proxies de phishing en tiempo real (Evilginx)
Es el rey actual. Herramientas como Evilginx levantan un servidor que se hace pasar por el login legítimo y reenvía cada paso en vivo. El usuario completa la MFA de verdad, pero el atacante captura los tokens y la cookie de sesión. Resultado: entra sin volver a pedir el segundo factor.
2. Robo de cookies y tokens de sesión
Una vez que iniciaste sesión, el sistema te entrega un token que dice “esta persona ya se autenticó”. Si un atacante roba ese token (con malware en tu máquina, una extensión maliciosa o el proxy del punto anterior), lo importa en su navegador y queda adentro. No necesita ni tu clave ni tu MFA, porque la sesión ya estaba abierta.
3. MFA fatigue (bombardeo de notificaciones)
Acá no hay magia técnica, hay psicología. El atacante ya tiene tu contraseña y dispara notificaciones push una y otra vez. A la notificación número veinte, de noche, medio dormido, alguien toca “Aprobar” para que pare. Así entraron a Uber en 2022: un contratista terminó aprobando un push después del acoso constante. Funcionó porque el factor humano se cansa.
4. SIM swap
El atacante convence a la operadora de portar tu número a un chip que él controla, muchas veces con ingeniería social al call center. Desde ese momento, todos los códigos que llegan por SMS le llegan a él. Por eso el 2FA por mensaje de texto es el más frágil de todos.
5. Man-in-the-middle (MITM)
La categoría madre de la que cuelgan los proxies de phishing. El atacante se ubica entre vos y el servidor, ve pasar todo y se queda con lo que necesita. Cuando el canal no valida bien el origen, la MFA tradicional no tiene cómo darse cuenta de que hay un intruso escuchando.
Por qué el MFA tradicional sigue siendo vulnerable
Ojo con esto, porque es el punto clave: el problema no es la MFA en sí. Es el tipo de MFA. Más contexto en autenticación en herramientas DevOps.
Las notificaciones push son cómodas, pero dependen de que vos digas que sí. Y “decir que sí” se puede manipular con fatiga o con una notificación que llega justo cuando esperabas otra cosa. El SMS arrastra dos debilidades: el SIM swap y la interceptación del mensaje. Y los códigos TOTP, esos de seis dígitos que rotan cada 30 segundos, parecen sólidos hasta que aparece un proxy en tiempo real: vos tipeás el código, el proxy lo reenvía al instante, y listo.
El denominador común salta a la vista. Ninguno de estos métodos sabe a quién le estás entregando el factor. Le pasás el código a quien te lo pida, sea el banco o un sitio trucho clavado a un dominio parecido. Esa es la grieta que el phishing explota.
FIDO2 y la autenticación resistente a phishing
Acá viene lo bueno. FIDO2 es la segunda generación de los estándares abiertos de la FIDO Alliance para autenticación sin contraseña, y su gran diferencia es que la credencial está atada al origen, o sea al dominio real. Si el sitio no es el legítimo, la firma directamente no se produce.
¿Por qué importa tanto eso? Porque mata de raíz al proxy de phishing. Aunque el usuario caiga en la página falsa, el dispositivo se niega a firmar para un dominio que no coincide. El atacante puede tener tu pantalla replicada al pixel y aun así no consigue nada, porque el dispositivo rechaza la firma para un dominio falso.
FIDO2 usa criptografía de clave pública en lugar de secretos compartidos. No hay un código que viaje y que alguien pueda interceptar. Por eso tanto el W3C como CISA lo ubican como el estándar de referencia para autenticación phishing-resistant. No es marketing: es que técnicamente le saca el oxígeno al vector más usado.
¿Qué es WebAuthn y cómo funciona?
WebAuthn (Web Authentication) es la API de navegador, estandarizada por el W3C, que hace posible FIDO2 en la web. Es la pieza que conecta tu sitio con la llave de seguridad, la huella o el PIN del dispositivo. Sobre eso hablamos en estándares de seguridad internacionales.
El flujo, sin tecnicismos de más:
- Registro: el dispositivo genera un par de claves. La privada se queda adentro y nunca sale. La pública se la queda el servidor.
- Desafío: cuando querés entrar, el servidor manda un challenge aleatorio.
- Firma: tu dispositivo firma ese challenge con la clave privada, después de que demuestres que sos vos (biometría, PIN o tocar la llave física).
- Validación: el servidor verifica la firma con la clave pública que ya tenía. Si cierra, entrás.
La clave privada nunca viaja. Eso es lo que cambia todo. No hay secreto que robar en tránsito, no hay código que reenviar a un sitio falso. Y como la firma incluye el origen, una credencial creada para tu-banco.com no sirve en tu-banc0.com.
FIDO vs FIDO2: diferencias clave para arquitectos de seguridad
Conviene no confundirlos. FIDO fue el conjunto original de estándares de la FIDO Alliance para reemplazar contraseñas; incluía U2F, pensado como segundo factor. FIDO2 es la evolución que suma WebAuthn como estándar web abierto y habilita el login sin contraseña de punta a punta. Es evolución, no reemplazo brusco.
| Aspecto | FIDO (U2F) | FIDO2 |
|---|---|---|
| Rol principal | Segundo factor (2FA) | Autenticación sin contraseña completa |
| Componente web | U2F API | WebAuthn (estándar W3C) |
| Login sin password | No, complementa la contraseña | Sí, puede prescindir de ella |
| Resistente a phishing | Sí, atado al origen | Sí, atado al origen |
| Métodos de verificación | Llave física | Biometría, PIN o llave física |
¿Cuándo cada uno? Si ya tenés U2F desplegado como segundo factor, te sirve y es phishing-resistant. Pero si arrancás de cero en 2026, andá directo a FIDO2: la misma protección, más flexibilidad y el camino abierto hacia passwordless.
Cómo implementar FIDO2 en tu sitio (guía práctica)
La buena noticia para los developers: el soporte ya viene de fábrica. Chrome, Edge, Firefox y Safari implementan WebAuthn en Windows, macOS, Linux, iOS y Android. No tenés que pelear con compatibilidad como hace unos años.
Los pasos básicos del lado del servidor:
- Registro del usuario: tu backend pide al navegador que cree una credencial y guardás la clave pública asociada a esa cuenta.
- Generación del desafío: en cada login, el servidor emite un challenge único y aleatorio.
- Autenticación: el navegador llama a WebAuthn, el usuario confirma con su factor local y devuelve la firma.
- Validación: verificás la firma contra la clave pública guardada y chequeás que el origen coincida.
No reinventes la rueda con la criptografía. Hay bibliotecas WebAuthn maduras para casi todos los lenguajes que manejan el armado de challenges y la validación de firmas por vos. Si tu plataforma corre en un VPS o servidor propio, asegurate de tener HTTPS bien configurado (WebAuthn lo exige) y un dominio estable; para hosting y dominios en Argentina podés mirar donweb.com. El origin tiene que ser consistente, porque de eso depende toda la protección.
Migración desde MFA tradicional: mejores prácticas para 2026
Nadie migra diez mil usuarios de un día para el otro. Y está bien que así sea.
El roll-out gradual es la única estrategia que no te explota en la cara: ofrecés FIDO2 como opción, dejás los métodos viejos activos en paralelo, y vas empujando la adopción por etapas, primero el equipo de IT, después áreas sensibles, al final todos. Mantené compatibilidad backwards mientras la gente se acostumbra, porque si forzás el cambio sin red, el primer usuario que pierda su llave te llena el helpdesk.
Invertí en educación. Una llave de seguridad o el login con huella le resulta raro a quien vivió toda su vida con contraseñas. Un instructivo corto y un par de videos cortan la mitad de los tickets de soporte. En ejecutar agentes en infraestructura propia profundizamos sobre esto.
Un punto local que conviene tener presente: en Argentina, la Ley 25.326 de Protección de Datos Personales y las exigencias de sectores regulados empujan hacia controles de acceso más fuertes. Adoptar autenticación phishing-resistant no es solo seguridad, también te ordena del lado del cumplimiento. Probá en un entorno de staging antes de tocar producción y medí cómo baja la carga de reseteos de contraseña, que suele ser el ahorro más visible.
Errores comunes al defenderse del bypass de MFA
- Creer que cualquier MFA alcanza. El SMS y los push frenan ataques básicos, pero caen ante un proxy en tiempo real. Si tu modelo de amenaza incluye phishing dirigido, necesitás phishing-resistant sí o sí.
- Dejar SMS como método de respaldo “por las dudas”. Ese fallback es justo la puerta que el atacante busca. Si dejás SMS habilitado como recuperación, mantenés la vulnerabilidad que querías cerrar.
- No proteger las sesiones después del login. De nada sirve un login blindado si después el token de sesión vive eterno y sin controles. Acortá tiempos de vida y revalidá ante acciones sensibles.
- Olvidarse del proceso de recuperación de cuenta. Muchos bypass no atacan el login, atacan el “olvidé mi acceso”. Si ahí pedís solo un mail o un SMS, tiraste abajo todo el esfuerzo anterior.
Preguntas Frecuentes
¿Cómo pueden los atacantes eludir la autenticación multifactor?
Los atacantes eluden la MFA sin romper la criptografía: usan proxies de phishing en tiempo real que reenvían tus credenciales y capturan la cookie de sesión, roban tokens ya autenticados, o aplican fatiga de notificaciones para que apruebes vos mismo el acceso. También recurren a SIM swap para interceptar códigos por SMS.
¿Qué es FIDO2 y cómo protege contra phishing?
FIDO2 es el estándar abierto de la FIDO Alliance para autenticación sin contraseña basado en criptografía de clave pública. Protege contra phishing porque ata la credencial al dominio real: si el sitio es falso, el dispositivo no firma. Aunque caigas en una página clonada, la autenticación no se completa.
¿Cuáles son los tipos principales de ataques MFA?
Los cinco principales son: proxies de phishing en tiempo real (como Evilginx), robo de cookies y tokens de sesión, MFA fatigue o bombardeo de notificaciones, SIM swap para interceptar SMS, y man-in-the-middle. Los proxies de phishing son hoy el método más frecuente por su nivel de automatización.
¿Cómo implemento WebAuthn en mi sitio web?
Necesitás cuatro pasos del lado del servidor: registrar la credencial guardando la clave pública del usuario, emitir un desafío aleatorio en cada login, recibir la firma que genera el navegador vía la API WebAuthn, y validar esa firma contra la clave pública. Usá bibliotecas WebAuthn ya existentes y HTTPS obligatorio.
¿Es seguro el SMS 2FA o necesito FIDO2?
El SMS 2FA es el método más débil porque es vulnerable a SIM swap y a interceptación del mensaje. Sirve más que no tener nada, pero no resiste phishing dirigido. Si manejás datos sensibles o accesos críticos, FIDO2 es la opción recomendada por CISA y el W3C frente al SMS.
Conclusión
Lo que cambió en 2026 es que el bypass de MFA dejó de ser cosa de atacantes sofisticados. Con kits que automatizan el phishing en tiempo real, el segundo factor por SMS o push ya no alcanza para proteger cuentas que importan.
La salida concreta tiene nombre: FIDO2 con WebAuthn. Al atar la credencial al dominio real, le saca de la mesa al phishing, que es el vector que mueve la mayoría de los incidentes. Empezá hoy: activá FIDO2 como opción, sacá el SMS de los métodos de recuperación, y planificá una migración gradual con foco en educar a tus usuarios. No hace falta cambiarlo todo de golpe, pero sí arrancar. El que sigue confiando solo en push y SMS está jugando con una defensa que los atacantes ya aprendieron a saltar.
Fuentes
- MFA Bypass Attacks and Phishing-Resistant Authentication – explicación técnica de FIDO2 y WebAuthn
- Breachsense – panorama de ataques de bypass de MFA
- Obsidian Security – ataques basados en tokens de sesión
- Vectra AI – anatomía de un ataque de bypass de MFA
- Security Magazine – brechas de identidad que explotan los atacantes
![[FREE] I built a deeper WordPress security auditing plugin for my own sites, then released it as 100% GPL - ilustracion](https://donweb.news/wp-content/uploads/2026/04/auditoria-seguridad-wordpress-guia-2026-hero-768x429.jpg)
