MFA en VPN: El Control Más Crítico Contra Ransomware
Respuesta directa
El 55% de los ataques Akira documentados por CISA (aviso AA24-109A) se originaron en VPN Cisco sin MFA. El control es barato (pocos dólares por usuario/mes), rápido de implementar (horas a días) y bloquea el vector #1 de ransomware corporativo en 2026.
Por qué la VPN sin MFA es el objetivo preferido
Los atacantes modernos no invaden por exploit zero-day en la mayoría de los casos: compran credenciales filtradas en la darknet (Initial Access Broker, ~US$ 1.000-10.000) y las usan para entrar por VPN sin MFA. Desde ahí se propagan lateralmente hasta comprometer Active Directory. Con MFA activo, aún las credenciales filtradas no dan acceso: el atacante también necesitaría robar el segundo factor (token TOTP, push, hardware key). En el 99% de los casos, esto lo lleva a buscar otro objetivo. MFA no impide el 100% de los ataques, pero saca a la empresa del objetivo fácil.
Errores frecuentes en la implementación
- 1.MFA opcional para algunos usuarios. Los atacantes encuentran exactamente ese usuario sin MFA. Aplique al 100% sin excepción.
- 2.SMS como único factor. El SIM swap es práctica creciente. Use TOTP (Google Auth, Authy) o push (Duo, Microsoft Authenticator) por defecto.
- 3.Permitir 'remember device' permanente. Limite a 7-30 días máximo. Dispositivo comprometido se autentica para siempre sin límite.
- 4.No bloquear logins sin MFA vía política. Si la configuración permite fallback a sin MFA, el atacante fuerza ese camino. La política técnica debe negar.
Preguntas frecuentes
¿Qué proveedor de MFA recomendar?
Para empresas en el ecosistema Microsoft: Microsoft Authenticator + Conditional Access (incluido en Microsoft 365 Business Premium). Para multi-vendor: Cisco Duo (líder en integración con VPN). Para PYMEs sin Microsoft: Authy o Google Workspace MFA.
¿MFA dificulta la productividad?
La push notification toma 2-3 segundos. Compárelo con US$ 50.000-500.000 de rescate medio. El ROI es contundente.
¿Cómo aplicar en Cisco AnyConnect VPN?
Cisco Duo integra nativamente vía RADIUS proxy. Tiempo de implementación: 4-8 horas para configurar y probar. Despliegue gradual en 1-2 semanas.
¿FortiGate soporta MFA?
Sí, nativamente vía FortiToken o integración SAML con cualquier IdP (Azure AD, Okta, Duo). FortiOS 7+ recomendado.
¿Y si el usuario pierde el celular?
Procedimiento estándar: el usuario llama a TI, valida identidad por otro medio (videollamada, pregunta de seguridad), TI revoca MFA y re-inscribe con dispositivo nuevo. Tiempo medio: 15 minutos. Vale la molestia.
¿Necesita ayuda para implementar MFA en su VPN?
Consultoría de hardening VPN + AD + EDR.