Si solo pudieras hacer una cosa por la seguridad de tu Microsoft 365, la respuesta es fácil y casi todos la posponen: activar MFA. Microsoft ha reportado que la autenticación multifactor bloquea la enorme mayoría de los ataques de compromiso de cuenta. Es, sin discusión, la medida de mejor relación esfuerzo-protección que existe. Pero "activar MFA" tiene más matices de los que parece —y el acceso condicional es lo que convierte una casilla marcada en una defensa de verdad—.
Por qué MFA detiene tanto
La mayoría de los ataques masivos no son sofisticados: se basan en credenciales robadas —por phishing, por filtraciones de otros sitios donde el usuario repitió contraseña, por fuerza bruta—. El atacante prueba usuario y contraseña, y si funcionan, entra. MFA rompe justo ese modelo: aunque tenga la contraseña correcta, le falta el segundo factor —una aprobación en el teléfono, un código, una llave física—. Como esa es la vía de entrada de la abrumadora mayoría de los ataques automatizados, MFA los apaga en bloque. Poco esfuerzo, retorno enorme.
No todos los segundos factores son iguales
Aquí está el primer matiz que casi nadie explica. Hay una jerarquía de resistencia:
- SMS: mejor que nada, pero el más débil —vulnerable al SIM swap (que el atacante clone tu número) y a la interceptación—.
- App autenticadora (código o notificación push): sólido para el grueso de las amenazas y lo más común.
- MFA resistente a phishing (FIDO2, passkeys, llaves físicas): la cima, porque está atada al dominio real y no se puede "entregar" a un sitio falso.
Para cuentas críticas —administradores, dirección, finanzas— vale la pena empujar hacia el escalón resistente a phishing, no conformarse con SMS.
Acceso condicional: seguridad con contexto
MFA por sí sola es binaria: pide segundo factor siempre, o no. El acceso condicional la vuelve inteligente al decidir cuándo y cómo según el contexto del inicio de sesión:
- Ubicación: exigir MFA fuera de la red de oficina, o bloquear accesos desde países donde no operas.
- Dispositivo: permitir el acceso a datos sensibles solo desde equipos gestionados y en cumplimiento —aquí es donde Intune y el acceso condicional se dan la mano—.
- Riesgo: si el sistema detecta un inicio de sesión anómalo (viaje imposible, IP de mala reputación), elevar el requisito o bloquear.
- Sesión: limitar qué se puede hacer —por ejemplo, ver pero no descargar— en contextos de riesgo.
El objetivo del acceso condicional no es endurecer por endurecer, sino aplicar fricción donde el riesgo la justifica y quitarla donde no —para que la gente no busque atajos, el mismo equilibrio del mínimo privilegio—.
Cómo se despliega sin dejar a nadie fuera
El miedo legítimo al activar todo esto es bloquear a la propia empresa. Se maneja con oficio:
- Cuentas break-glass: dos cuentas de administrador de emergencia, excluidas de las políticas y con credenciales resguardadas, para no quedar fuera de tu propio tenant si una regla sale mal.
- Modo report-only: las políticas de acceso condicional se pueden correr primero en modo "solo reporte", que registra qué habría bloqueado sin bloquear de verdad —así afinas antes de hacerlas cumplir—.
- Despliegue por fases: por grupos, empezando por un piloto, no todo el tenant de golpe.
El matiz honesto: no es el 100%
Aquí no exageramos, y el título lo promete. MFA detiene la enorme mayoría, no todo. Las vías que la sortean existen y conviene conocerlas: el phishing en tiempo real / adversary-in-the-middle (una página falsa que reenvía tu login y roba la sesión ya autenticada), el robo de tokens de un equipo comprometido, la fatiga de MFA (bombardear al usuario con notificaciones hasta que aprueba una por hartazgo) y el SIM swap contra SMS. Ninguna anula el valor de MFA —siguen siendo ataques minoritarios y más costosos—, pero explican por qué MFA es el comienzo, no el final: se complementa con MFA resistente a phishing donde importa, acceso condicional, protección de datos y un respaldo para cuando algo, pese a todo, entre.
La pregunta que conviene hacerse
La pregunta no es "¿tengo contraseñas fuertes?", sino ¿está MFA activo para el 100% de las cuentas —con factor resistente a phishing en las críticas— y tengo acceso condicional afinando el resto? Si MFA no está en todas las cuentas, ese es el pendiente de seguridad más urgente y más barato que existe. Diseñarlo y desplegarlo sin bloquear a nadie es parte de nuestra administración de Microsoft 365.