Así te roban tus cuentas aunque uses MFA (y cómo evitarlo)

Reciban un saludo. Hoy les traigo un tema que tienen que conocer sí o sí, porque les puede pasar a ustedes: cómo los ciberdelincuentes roban cuentas incluso cuando usas autenticación multifactor (MFA). Sí, leyeron bien: el MFA es importantísimo, pero no es magia. Vamos a ver cómo lo hacen para que aprendan a protegerse.

Uso ético: esto es con fines educativos y defensivos. El objetivo es que entiendas el ataque para no caer en él.

El MFA ayuda, pero no es invencible

La autenticación multifactor añade una capa extra: además de tu contraseña, pide un segundo factor (un código, una notificación). Frena la inmensa mayoría de ataques… pero los atacantes evolucionaron. Hoy existen técnicas que roban la sesión ya autenticada, saltándose el MFA por completo.

Adversary-in-the-Middle: el phishing que roba la sesión

La técnica estrella se llama Adversary-in-the-Middle (AiTM). Funciona así: el atacante te manda un enlace de phishing que apunta a un proxy que se sitúa entre tú y el sitio real. Tú ves la página legítima (porque es legítima, solo que pasa por su servidor), metes tu usuario, tu contraseña y tu código MFA… y el atacante captura el cookie de sesión que el servidor te devuelve. Con ese cookie, entra a tu cuenta sin necesitar tu contraseña ni tu MFA de nuevo. Herramientas como Evilginx automatizan justo esto.

Cómo protegerte de verdad

  • Usa MFA resistente al phishing: passkeys o llaves de seguridad físicas (FIDO2/WebAuthn). Estas no se pueden interceptar con AiTM porque están atadas al dominio real.
  • Revisa siempre la URL antes de meter credenciales. Un dominio raro o con errores es la señal.
  • Desconfía de la urgencia: los correos que te apuran a “verificar tu cuenta ya” son el clásico anzuelo.
  • Cierra sesión en servicios críticos y revisa las sesiones activas de tus cuentas.

Conclusión

El MFA sigue siendo imprescindible —actívalo en todo—, pero entiende sus límites. La defensa de verdad contra el robo de sesiones es el MFA resistente al phishing (passkeys) y un ojo crítico con los enlaces. Conocer el ataque es el primer paso para no caer.

👉 ¿Quieres entender los ataques desde adentro para defenderte mejor? Te espero en los cursos de Academia SecPro. ¡Nos vemos en el próximo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *