El jefe de seguridad que eximió a los directivos del MFA
Resumen rápido
Un responsable de seguridad decidió no aplicar la autenticación multifactor a los altos cargos de su organización, argumentando que supondría demasiada fricción para ellos. El incidente pone de manifiesto un patrón peligroso: los ejecutivos quedan fuera de los controles de seguridad que sí se imponen al resto de la plantilla. Este doble rasero convierte precisamente a las cuentas con más privilegios en el eslabón más débil.
Cuando el responsable de seguridad se convierte en el mayor riesgo
Uno de los principios más básicos de la seguridad corporativa es que los controles deben aplicarse de forma consistente, independientemente del rango o del cargo. Sin embargo, un caso reciente ilustra exactamente el efecto contrario: el propio responsable de seguridad de una organización optó por excluir a los directivos de la obligatoriedad del MFA, considerando que el proceso resultaría excesivamente engorroso para ellos.
El resultado es predecible: las cuentas con mayor nivel de acceso y privilegios quedaron sin una de las capas de protección más eficaces frente al robo de credenciales, justo cuando los actores de amenazas priorizan comprometer este tipo de perfiles de alto valor.
El doble rasero como vulnerabilidad estructural
La lógica de "una norma para los empleados y otra para los jefes" no es solo un problema de equidad interna; es una decisión técnica con consecuencias directas sobre la superficie de ataque. Las cuentas ejecutivas acumulan acceso a sistemas críticos, datos financieros sensibles y capacidad de aprobación de transferencias o cambios de configuración. Dejarlas sin MFA equivale a dejar la puerta trasera del edificio sin cerradura mientras se refuerza la entrada principal.
Los ataques de phishing dirigido (spear phishing) y el business email compromise (BEC) se orientan habitualmente hacia perfiles C-suite precisamente porque el acceso que ofrecen es de mayor valor. Prescindir del MFA en estas cuentas simplifica enormemente el trabajo de cualquier atacante que consiga unas credenciales válidas mediante ingeniería social o una filtración.
Fricción útil frente a comodidad peligrosa
El argumento de que el MFA genera "demasiada seguridad" —es decir, demasiada fricción— es uno de los más recurrentes en organizaciones que nunca han sufrido un incidente grave. La adopción de métodos de segundo factor modernos, como las passkeys o las aplicaciones de autenticación push, ha reducido drásticamente la fricción percibida. En cualquier caso, la incomodidad puntual de un segundo paso de verificación es insignificante frente al coste operativo, reputacional y regulatorio de una brecha que comience por una cuenta ejecutiva comprometida.
Las regulaciones como NIS2, el ENS o el RGPD no contemplan excepciones por rango jerárquico. Una auditoría que detecte este tipo de exclusiones intencionadas puede derivar en sanciones y, en el peor de los casos, en responsabilidad personal para quien tomó la decisión.
Lecciones para equipos de seguridad
- Política uniforme, sin excepciones de rango: la política de acceso debe aplicarse de forma homogénea. Si existen necesidades especiales, la solución es adaptar el método de autenticación, no eliminarlo.
- Documentar y escalar las excepciones: cualquier desviación de los controles estándar debe quedar documentada, aprobada por instancias superiores y revisada periódicamente.
- Auditar con regularidad la cobertura de MFA: los paneles de identidad deben ofrecer visibilidad sobre qué cuentas tienen el MFA activado y con qué método, priorizando las de mayor privilegio.
- Formación específica para directivos: reducir la fricción percibida pasa por acompañar a los ejecutivos en la adopción de los controles, no por suprimirlos.
¿Estás cubierto en DefensOps?
Aunque este incidente no está asociado a un CVE concreto, el riesgo que representa —cuentas privilegiadas sin autenticación robusta— es perfectamente detectable mediante correlación de eventos de autenticación.
El motor de correlación de DefensOps (plan Essential) permite identificar patrones anómalos de inicio de sesión, accesos sin segundo factor en cuentas de alto privilegio y comportamientos fuera de la norma baseline, generando alertas antes de que una cuenta comprometida sea explotada en profundidad.
¿Quieres saber si tu organización tiene puntos ciegos como el descrito?
👉 Consulta los planes y solicita una demo en DefensOps
Fuente: The Register – Security boss thought MFA would be too much security
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
- Cobertura genérica vía motor de correlación · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.