La identidad digital se volvió el principal frente de batalla en materia de ciberseguridad para las empresas. Hoy, la mayoría de los ataques buscan robar credenciales y aprovechar accesos indebidos.
Según ASIS Internacional, la principal organización mundial para profesionales de la seguridad que busca promover la excelencia, el liderazgo y el desarrollo en la industria de la seguridad, en los primeros seis meses de 2025 se comprometieron 1.800 millones de credenciales en todo el mundo, lo que representó un incremento del 800% impulsado por malware diseñado para el robo de información.
A raíz de eso, cerca del 78% de los incidentes analizados estuvieron relacionados con accesos no autorizados mediante el uso de credenciales robadas. Estos datos dejan en claro que proteger las identidades de los usuarios y las cuentas privilegiadas tiene que ser una prioridad absoluta para las empresas.
La autenticación multifactor (MFA, por sus siglas en inglés) se volvió una defensa clave frente a este tipo de amenazas. Según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA), usar MFA hace que una cuenta sea 99% menos vulnerable a un hackeo. Esto ocurre porque, incluso si un atacante consigue una contraseña, difícilmente podrá superar un segundo factor de verificación, como un código enviado al celular o una huella digital.
Por eso, dejar de depender exclusivamente de las contraseñas reduce de forma contundente las brechas de seguridad. No sorprende que los grandes organismos impulsen su uso. Desde 2024, el gobierno de EE.UU. exige MFA resistente al phishing en sus agencias, con el argumento de que se trata de una “necesidad fundamental”, y no de un lujo en materia de seguridad.
Proteger la identidad de forma integral exige varias capas de seguridad: autenticación sólida para todos los usuarios, verificación biométrica avanzada y una gestión de accesos privilegiados (PAM) efectiva para las cuentas más sensibles. Este último punto es clave, ya que los ataques a cuentas con altos privilegios suelen tener consecuencias devastadoras. Estudios recientes de la empresa global Exabeam muestran que el 80% de las brechas de datos involucraron el uso indebido de credenciales privilegiadas comprometidas. Es decir, en cuatro de cada cinco incidentes graves, la entrada fue una cuenta administrativa o con permisos elevados.
Por eso, cualquier estrategia de protección de identidad debe garantizar que esas cuentas estén resguardadas con MFA, controles de acceso basados en el mínimo privilegio y monitoreo permanente. Un ejemplo concreto ocurrió en febrero de 2025: un operador de telecomunicaciones en Europa sufrió el control total de un sistema crítico tras el robo de la contraseña de un empleado. Esa cuenta administrativa no tenía MFA activado. Casos como este muestran que la falta de MFA y PAM puede abrir la puerta a brechas mayores, mientras que su correcta implementación bloquea a los atacantes incluso si logran robar credenciales.
Índice de temas
MFA y biometría: la nueva frontera de la ciberseguridad corporativa
Implementar MFA en toda la organización se convirtió en una de las principales prioridades de seguridad para las empresas. En una encuesta global realizada en 2025 por Delinea ( “Por qué los CISO deben priorizar una sólida estrategia de seguridad de la identidad y por dónde empezar”), el 51% de las organizaciones señaló que ampliar el uso de MFA es su iniciativa más importante en materia de gestión de identidades, por encima de otras como el control de identidades o la administración de accesos en la nube.
Esa elección no es casual: el MFA demostró ser una herramienta eficaz para frenar ataques. Los ciberdelincuentes suelen apelar a la ingeniería social, como el phishing, para robar contraseñas, o directamente compran credenciales filtradas en la dark web. De hecho, el phishing y el uso de contraseñas robadas están entre los tres métodos más utilizados para acceder de forma ilegal a una empresa, según Expert Insights.
Frente a ese escenario, muchas compañías están fortaleciendo sus estrategias de “Zero Trust” (Confianza Cero), donde nadie accede a sistemas o datos sin pasar por múltiples verificaciones. Como parte de esa transformación, señala Delínea en su informe, cerca del 78% de las empresas planearon aumentar su inversión en seguridad de identidades en 2025, incorporando MFA y otros controles relacionados en su presupuesto.
Una de las tendencias más relevantes es la adopción de MFA resistente al phishing. No todas las autenticaciones multifactor ofrecen el mismo nivel de seguridad: los códigos enviados por SMS o correo electrónico pueden ser interceptados a través de engaños cada vez más sofisticados. Por eso, se promueven métodos más sólidos, como las llaves de seguridad FIDO2, la autenticación mediante aplicaciones móviles con confirmación en pantalla o el uso de biometría vinculada al dispositivo.
El especialista en verificación biométrica, Facephi, cita una proyección de Gartner que estima que, para 2029, las organizaciones que adopten MFA resistente al phishing tendrán un 80% menos de filtraciones por robo de credenciales en comparación con aquellas que todavía dependan de métodos tradicionales.
Esto marca un punto de quiebre en la seguridad corporativa. La combinación de factores biométricos con dispositivos físicos ofrece garantías sólidas de que quien accede es efectivamente quien dice ser, y no un atacante remoto.
Microsoft, por ejemplo, informó que a mediados de 2025, el 92% de las cuentas corporativas de sus empleados ya utilizan MFA resistente al phishing como parte de su estrategia “passwordless”. Ese dato confirma que incluso en grandes organizaciones es posible avanzar hacia modelos de autenticación más seguros, sin generar fricciones importantes para el usuario.
El crecimiento de la biometría como seguridad digital
La biometría ocupa un lugar central en esta nueva etapa de la seguridad digital. Los factores biométricos —como la huella dactilar, el rostro, el iris, la voz o incluso los patrones de tecleo o comportamiento— representan el factor de “lo que uno es”.
Su adopción creció de forma sostenida gracias a los celulares corporativos modernos, que en su mayoría incluyen lectores de huellas o reconocimiento facial. Un reporte de HID Global (The 2024 State of Physical Access Trend Report) indica que el porcentaje de empresas que usan biometría para control de acceso físico creció del 30% al 39% entre 2022 y 2024.
Además, según 360 iResearch, se espera que el mercado global de autenticación e identificación biométrica crezca a una tasa compuesta anual del 16,41% entre 2025 y 2030, impulsado por la demanda de soluciones más seguras y ágiles para validar identidades en distintos entornos, tanto físicos como digitales.
Según Global News Research, el motivo por el cual el mercado global de biometría muestra proyecciones de crecimiento sólido es su incorporación en más sectores, como salud, banca y organismos estatales. En Estados Unidos, puntualmente, se estima que el mercado biométrico empresarial alcanzará los US$ 1.790 millones en 2025, según datos de Market Report Analytics.
Lo indica este avance es que, para muchas empresas, la biometría dejó de ser una tecnología experimental y ya forma parte de la rutina diaria del empleado, ya sea para desbloquear notebooks o acceder a sistemas sensibles. El atractivo es evidente: las características biométricas son únicas y difíciles de falsificar, lo que eleva la dificultad para los atacantes.
Al mismo tiempo, mejoran la experiencia del usuario al evitar contraseñas complejas. Un empleado puede autenticarse con su rostro o huella en cuestión de segundos, lo que también reduce el riesgo de repetir claves débiles.
Desafíos de la biometría
Por supuesto, la biometría presenta desafíos que las organizaciones deben gestionar con cuidado: preocupaciones por la privacidad, riesgos de falsificación avanzada y la necesidad de proteger adecuadamente los datos biométricos almacenados. Sin embargo, los especialistas destacan que las soluciones actuales ya incorporan mecanismos como la detección de vida (liveness detection), que permite verificar, por ejemplo, que una huella no sea una copia o que un rostro no corresponda a una imagen o video grabado.
Además, las tecnologías de biometría multimodal —que combinan varios rasgos al mismo tiempo, como rostro y voz, o huella y comportamiento del mouse— están mejorando la precisión de las autenticaciones. También se suman factores contextuales, como la ubicación, el horario habitual de acceso o el tipo de dispositivo usado, para evaluar en tiempo real si una sesión es legítima o si podría tratarse de un intento de acceso por parte de un impostor, incluso si cuenta con las credenciales correctas.
En América Latina, estas tendencias también empiezan a ganar terreno, aunque con cierto retraso respecto de otras regiones. El 42% de las organizaciones latinoamericanas declara tener poca confianza en la capacidad de su país para responder ante ciberincidentes de gran escala, una cifra muy por encima del 15% registrado en Norteamérica y Europa, según datos del World Economic Forum.
Esa diferencia expone brechas en el nivel de madurez en ciberseguridad regional, entre ellas, la adopción lenta de medidas para proteger la identidad. Sin embargo, sectores como el bancario ya avanzaron en la dirección correcta: muchas entidades financieras en la región utilizan autenticación biométrica —como el reconocimiento facial o de voz— para validar transacciones y reducir el fraude.
El futuro de la autenticación: de la verificación multifactor a la biometría avanzada
La evolución de los sistemas de autenticación no se detiene en el modelo tradicional de verificación multifactor. Cada vez más, las organizaciones incorporan soluciones inteligentes que no solo confirman la identidad al comienzo de la sesión, sino que mantienen controles constantes mientras el usuario navega o interactúa.
Un ejemplo concreto son las tecnologías de biometría conductual.
Estas analizan variables como la manera de teclear, la velocidad al mover el mouse o incluso la forma en que una persona sostiene el teléfono celular. Se trata de patrones únicos, que permiten validar la identidad de forma silenciosa y, al mismo tiempo, detectar si un tercero tomó el control del dispositivo, aunque la sesión ya esté iniciada.
Si durante una sesión prolongada el sistema identifica comportamientos inusuales que no coinciden con el usuario legítimo, puede pedir una reautenticación o bloquear el acceso como medida de precaución.
Otro desafío es el crecimiento de las identidades sintéticas y los deepfakes. Los ciberdelincuentes ya recurren a inteligencia artificial generativa para crear huellas digitales falsas o videos ultrarrealistas capaces de engañar a sistemas biométricos simples. Ante este escenario, se vuelve imprescindible implementar mecanismos de verificación de presencia genuina, un paso más allá de la simple detección de vida.
La “Garantía de Presencia Genuina” (en inglés suele llamarse Genuine Presence Assurance o Liveness Assurance), un concepto de verificación biométrica que busca asegurarse de que, en el momento de la autenticación, hay una persona real y presente y no un intento de suplantación; exige confirmar tres condiciones al mismo tiempo: que la persona sea quien dice ser (mediante coincidencia biométrica con su identidad registrada), que esté presente físicamente (y no se trate de un deepfake o una grabación), y que la autenticación se realice en tiempo real y en el contexto previsto.
Para eso, se combinan algoritmos de inteligencia artificial capaces de analizar microseñales, como los reflejos de luz sobre la piel, movimientos oculares espontáneos o reacciones a estímulos aleatorios. Todo con el objetivo de confirmar que hay un ser humano vivo frente a la cámara, y no una simulación. Aunque estas tecnologías siguen en desarrollo, resultan clave para que la biometría continúe siendo una herramienta eficaz frente a fraudes cada vez más sofisticados.
Además, varios países latinoamericanos están implementando normativas que exigen el uso de doble factor de autenticación en operaciones de banca electrónica y pagos digitales, en línea con estándares globales. Estas políticas, junto con campañas de concientización, apuntan a reducir la brecha para que las empresas de la región puedan incorporar MFA y biometría en sus estrategias de seguridad del mismo modo que lo hacen sus pares internacionales.
¿Hacia dónde avanza la industria?
Paralelamente, la industria avanza hacia un modelo sin contraseñas, apoyado en credenciales como llaves físicas, tokens en dispositivos móviles y biometría. Los llamados passkeys, un estándar en crecimiento respaldado por la FIDO Alliance, permiten iniciar sesión en servicios mediante un par de claves criptográficas vinculadas al dispositivo del usuario. Estas claves, por lo general, se desbloquean con la biometría del dispositivo —por ejemplo, la huella digital en el teléfono celular— y no con una contraseña.
Varias grandes tecnológicas empezaron a implementar passkeys entre 2023 y 2025, y se proyecta una adopción masiva en plataformas empresariales. La ventaja es doble: se elimina el riesgo de ataques de phishing contra contraseñas y, al mismo tiempo, se mejora la experiencia de uso, ya que no hace falta memorizar secretos.
Cisco Duo, en su informe “Estado de la Seguridad de la Identidad 2025″, reveló que solo el 19% de las empresas desplegó tokens FIDO2 hasta ahora —considerados el estándar más seguro de verificación multifactor sin riesgo de phishing—, aunque se espera que ese porcentaje crezca con rapidez en los próximos años, a medida que las soluciones maduren y haya más soporte nativo en sistemas operativos y plataformas en la nube.
Por último, la inteligencia artificial también empieza a jugar un rol clave en los sistemas de autenticación. Según Delínea, nás del 94% de los responsables de seguridad encuestados tiene previsto incorporar tecnologías de identidad basadas en IA en el corto plazo.
Estas herramientas permiten analizar en tiempo real cientos de parámetros contextuales —como la ubicación, el dispositivo, la hora o el historial del usuario— para asignar un nivel de riesgo a cada intento de acceso. Si algo se desvía del comportamiento habitual, la IA puede exigir más factores de autenticación —por ejemplo, pasar de dos a tres factores— o incluso bloquear el acceso de forma automática.
Además, resulta útil para detectar anomalías sutiles en el uso de cuentas privilegiadas, una capacidad central en lo que se conoce como ITDR (detección y respuesta ante amenazas basadas en identidad). La inteligencia artificial hace posible una autenticación más dinámica y ajustada al riesgo: cuando el nivel es bajo, el acceso puede ser ágil y casi imperceptible para el usuario; cuando el riesgo aumenta, se endurecen las condiciones en el acto.
Ese equilibrio permite reforzar la seguridad sin frenar la productividad, un aspecto clave si se tiene en cuenta que el 35% de los empleados (datos de Experts Insights) reconoce que intenta esquivar medidas de seguridad cuando las considera demasiado engorrosas.
