IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud Operations

MFA y acceso condicional en M365: la configuración que detiene casi todo el phishing

09/07/2026 4 min de lectura Rubén Espinoza

Si solo pudieras hacer una cosa por la seguridad de tu Microsoft 365, la respuesta es fácil y casi todos la posponen: activar MFA. Microsoft ha reportado que la autenticación multifactor bloquea la enorme mayoría de los ataques de compromiso de cuenta. Es, sin discusión, la medida de mejor relación esfuerzo-protección que existe. Pero "activar MFA" tiene más matices de los que parece —y el acceso condicional es lo que convierte una casilla marcada en una defensa de verdad—.

Por qué MFA detiene tanto

La mayoría de los ataques masivos no son sofisticados: se basan en credenciales robadas —por phishing, por filtraciones de otros sitios donde el usuario repitió contraseña, por fuerza bruta—. El atacante prueba usuario y contraseña, y si funcionan, entra. MFA rompe justo ese modelo: aunque tenga la contraseña correcta, le falta el segundo factor —una aprobación en el teléfono, un código, una llave física—. Como esa es la vía de entrada de la abrumadora mayoría de los ataques automatizados, MFA los apaga en bloque. Poco esfuerzo, retorno enorme.

No todos los segundos factores son iguales

Aquí está el primer matiz que casi nadie explica. Hay una jerarquía de resistencia:

  • SMS: mejor que nada, pero el más débil —vulnerable al SIM swap (que el atacante clone tu número) y a la interceptación—.
  • App autenticadora (código o notificación push): sólido para el grueso de las amenazas y lo más común.
  • MFA resistente a phishing (FIDO2, passkeys, llaves físicas): la cima, porque está atada al dominio real y no se puede "entregar" a un sitio falso.

Para cuentas críticas —administradores, dirección, finanzas— vale la pena empujar hacia el escalón resistente a phishing, no conformarse con SMS.

Acceso condicional: seguridad con contexto

MFA por sí sola es binaria: pide segundo factor siempre, o no. El acceso condicional la vuelve inteligente al decidir cuándo y cómo según el contexto del inicio de sesión:

  • Ubicación: exigir MFA fuera de la red de oficina, o bloquear accesos desde países donde no operas.
  • Dispositivo: permitir el acceso a datos sensibles solo desde equipos gestionados y en cumplimiento —aquí es donde Intune y el acceso condicional se dan la mano—.
  • Riesgo: si el sistema detecta un inicio de sesión anómalo (viaje imposible, IP de mala reputación), elevar el requisito o bloquear.
  • Sesión: limitar qué se puede hacer —por ejemplo, ver pero no descargar— en contextos de riesgo.

El objetivo del acceso condicional no es endurecer por endurecer, sino aplicar fricción donde el riesgo la justifica y quitarla donde no —para que la gente no busque atajos, el mismo equilibrio del mínimo privilegio—.

Cómo se despliega sin dejar a nadie fuera

El miedo legítimo al activar todo esto es bloquear a la propia empresa. Se maneja con oficio:

  • Cuentas break-glass: dos cuentas de administrador de emergencia, excluidas de las políticas y con credenciales resguardadas, para no quedar fuera de tu propio tenant si una regla sale mal.
  • Modo report-only: las políticas de acceso condicional se pueden correr primero en modo "solo reporte", que registra qué habría bloqueado sin bloquear de verdad —así afinas antes de hacerlas cumplir—.
  • Despliegue por fases: por grupos, empezando por un piloto, no todo el tenant de golpe.

El matiz honesto: no es el 100%

Aquí no exageramos, y el título lo promete. MFA detiene la enorme mayoría, no todo. Las vías que la sortean existen y conviene conocerlas: el phishing en tiempo real / adversary-in-the-middle (una página falsa que reenvía tu login y roba la sesión ya autenticada), el robo de tokens de un equipo comprometido, la fatiga de MFA (bombardear al usuario con notificaciones hasta que aprueba una por hartazgo) y el SIM swap contra SMS. Ninguna anula el valor de MFA —siguen siendo ataques minoritarios y más costosos—, pero explican por qué MFA es el comienzo, no el final: se complementa con MFA resistente a phishing donde importa, acceso condicional, protección de datos y un respaldo para cuando algo, pese a todo, entre.

La pregunta que conviene hacerse

La pregunta no es "¿tengo contraseñas fuertes?", sino ¿está MFA activo para el 100% de las cuentas —con factor resistente a phishing en las críticas— y tengo acceso condicional afinando el resto? Si MFA no está en todas las cuentas, ese es el pendiente de seguridad más urgente y más barato que existe. Diseñarlo y desplegarlo sin bloquear a nadie es parte de nuestra administración de Microsoft 365.

#mfa #acceso condicional #microsoft 365 #phishing #seguridad

Preguntas frecuentes

¿Qué tan efectivo es MFA contra el phishing?

Muy efectivo: Microsoft ha reportado que MFA bloquea la enorme mayoría de los ataques de compromiso de cuenta, porque casi todos se basan en credenciales robadas. No es el 100% —técnicas como el phishing en tiempo real (adversary-in-the-middle), el robo de sesión o la fatiga de MFA pueden sortearla—, pero como una sola medida es la de mejor relación esfuerzo-protección disponible.

¿Todos los métodos de MFA protegen igual?

No. El SMS es el más débil (vulnerable a SIM swap e interceptación); la app autenticadora es sólida para el grueso de las amenazas; y la MFA resistente a phishing (FIDO2, passkeys, llaves físicas) es la más fuerte porque está atada al dominio real y no se puede entregar a un sitio falso. Para cuentas críticas conviene el escalón resistente a phishing.

¿Qué es el acceso condicional en Microsoft 365?

Son reglas que deciden cómo permitir un inicio de sesión según el contexto: ubicación, dispositivo (gestionado o no), nivel de riesgo detectado y tipo de sesión. Permite, por ejemplo, exigir MFA solo fuera de la oficina, bloquear accesos desde países donde no operas o pedir un equipo en cumplimiento para datos sensibles. Afina la seguridad sin frenar el trabajo legítimo.

¿Cómo activo MFA y acceso condicional sin bloquear a mi propia empresa?

Con cuentas break-glass (administradores de emergencia excluidos de las políticas y con credenciales resguardadas), usando el modo report-only para ver qué bloquearían las políticas antes de hacerlas cumplir, y desplegando por fases con un grupo piloto. Así se afina la configuración sin riesgo de quedar fuera del propio tenant.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud Operations

Etiquetado y gobierno de costos: saber qué área gasta qué en la nube
La factura de nube que se disparó: cómo hacemos el análisis forense de costos
Instancias reservadas y savings plans: cuándo comprometerse y cuándo no