La autenticacion multifactor es uno de los mejores habitos de seguridad que puedes tener, asi que resulta inquietante oir que los atacantes la estan sorteando. La respuesta honesta a "se puede eludir la MFA?" es si, los tipos comunes si, y en 2026 esta ocurriendo a gran escala. Pero eso no es motivo para abandonar la MFA. Es un motivo para entender que tipo estas usando, porque la solucion es real y esta a tu alcance.
El auge de 2026
Los investigadores de seguridad han informado de un fuerte aumento de kits de phishing disenados especificamente para vencer la MFA. Kits con nombres como Tycoon 2FA y otros actuan como proxies en tiempo real que capturan sesiones de inicio de sesion a medida que ocurren, y los informes apuntan a un salto enorme en la actividad de phishing: del orden de un incremento del 1.380% entre finales de 2025 y principios de 2026, impulsado por kits baratos de "phishing como servicio" asistidos por IA que permiten a atacantes con poca destreza lanzar campanas convincentes. La barrera para eludir la MFA corriente ha bajado, y por eso conviene entender esto ahora.
Como roban tu sesion (AiTM)
La tecnica principal es el phishing adversary-in-the-middle (AiTM), y la parte astuta y desagradable es que tu MFA de hecho funciona: el atacante simplemente roba el resultado.
Este es el flujo. Haces clic en un enlace y aterrizas en una pagina de inicio de sesion falsa que en realidad es un proxy en vivo hacia el sitio autentico. Escribes tu contrasena; el proxy la reenvia. El sitio real pide tu codigo MFA; lo escribes, y el proxy tambien lo reenvia. Superas la comprobacion, y el sitio real hace lo que siempre hace: te devuelve un token de sesion, la cookie que te mantiene con la sesion iniciada. El proxy captura ese token, y ahora el atacante puede reutilizarlo y entrar directamente en tu cuenta, sin necesidad de contrasena ni codigo. Tu MFA hizo su trabajo; ellos simplemente interceptaron la sesion que produjo.
Otras formas de vencer la MFA
El AiTM es el titular, pero no es la unica via:
- Fatiga push (bombardeo de MFA): el atacante, que ya tiene tu contrasena, satura tu telefono con avisos de aprobacion hasta que tocas "aprobar" por costumbre o hartazgo.
- SIM swapping: un atacante se apodera de tu numero de telefono y recibe tus codigos por SMS, y por eso la MFA por mensaje de texto es la mas debil.
- Phishing de codigo de dispositivo: te enganan para que apruebes un inicio de sesion que en realidad autoriza el dispositivo del atacante.

Por que no se puede hacer phishing a las passkeys
Esta es la buena noticia, y la solucion de verdad. Una passkey, construida sobre los estandares FIDO2 y WebAuthn, esta ligada criptograficamente al dominio exacto para el que se creo. Si un proxy de phishing te envia a un sitio identico, la passkey no autenticara, porque el dominio no coincide. No hay codigo que leer en voz alta, ni nada que un proxy pueda reenviar. Esa vinculacion al dominio es precisamente lo que el AiTM no puede sortear, por lo que las passkeys se describen como resistentes al phishing, y por lo que Google, Apple, Microsoft y los bancos estan empujando a la gente hacia ellas. Nuestra guia sobre si las passkeys son seguras profundiza mas.
Que hacer en realidad
- Manten la MFA activada en todas partes. Sigue bloqueando la inmensa mayoria de los ataques: consulta que es la 2FA si necesitas lo basico.
- Abandona el SMS cuando puedas. Prefiere una app de autenticacion o una llave de seguridad de hardware frente a los codigos por mensaje de texto.
- Adopta passkeys en cada cuenta que las ofrezca. Esta es la mayor mejora individual contra el AiTM.
- Nunca apruebes un aviso que no hayas iniciado, y trata con recelo las paginas de inicio de sesion inesperadas. Esto es phishing corriente con un filo mas afilado.
- Usa un gestor de contrasenas. Rellena las credenciales solo en el dominio real, asi que en un sitio identico falso el hecho de que el autocompletado no aparezca es un aviso silencioso pero fiable.
En resumen: si, la MFA corriente se puede eludir, y en 2026 se esta eludiendo mucho, pero la respuesta no es abandonarla. Manten la MFA activada, deja el SMS y pasa a las passkeys, que cierran la puerta por la que entra el phishing adversary-in-the-middle.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestor con 2FA y passkeys integrados → NordPassGuarda TOTP y passkeys · XChaCha20 · plan gratis→Preguntas frecuentes
Se puede eludir la MFA?
Si, algunos tipos si. Las formas comunes de autenticacion multifactor (codigos por SMS, codigos de app de autenticacion y aprobaciones push) pueden ser vencidas por el phishing moderno, y en 2026 los atacantes lo estan haciendo a gran escala. Pero esto no significa que la MFA sea inutil: sigue bloqueando la inmensa mayoria de los ataques, sobre todo los que solo usan contrasena. El punto clave es que no toda la MFA es igual: la MFA corriente se puede eludir, mientras que la MFA resistente al phishing (passkeys y llaves de seguridad de hardware) no, porque esta ligada al sitio web real y no puede retransmitirse a uno falso.
Como eluden los hackers la 2FA?
El metodo principal en 2026 es el phishing adversary-in-the-middle (AiTM). El atacante ejecuta una pagina de inicio de sesion falsa que actua como un proxy en vivo hacia el sitio real. Introduces tu contrasena y tu codigo 2FA en la pagina falsa, esta los pasa al sitio real, y una vez que superas la comprobacion el sitio real emite un token de sesion, que el proxy roba. El atacante reutiliza ese token e inicia sesion sin necesitar de nuevo tu contrasena ni tu codigo. Otros metodos incluyen la fatiga de notificaciones push (bombardear con avisos de aprobacion hasta que aceptas) y el SIM swapping para interceptar codigos por SMS.
Significa esto que deberia dejar de usar la MFA?
No, sigue usandola sin duda. La MFA sigue deteniendo la gran mayoria de los secuestros de cuentas, en particular los ataques automatizados que se basan en contrasenas robadas o reutilizadas. Desactivarla te dejaria mucho mas expuesto, no menos. La respuesta correcta es mejorar el tipo de MFA que usas: prefiere las apps de autenticacion o las llaves de hardware frente al SMS, y pasa a las passkeys alli donde se ofrezcan, porque cierran la brecha que explota el phishing AiTM.
Por que no se puede hacer phishing a las passkeys?
Una passkey (construida sobre FIDO2 y WebAuthn) esta ligada criptograficamente al dominio exacto del sitio web para el que se creo. Si un atacante te envia a un sitio falso identico, la passkey simplemente no respondera, porque el dominio no coincide: no hay codigo que teclear ni nada que un proxy pueda retransmitir. Esa vinculacion al dominio es lo que hace que las passkeys sean resistentes al phishing, y es por lo que los grandes proveedores estan empujando a todos hacia ellas.
Como me protejo del bypass de la MFA?
Usa MFA en todas partes, pero mejorala: desactiva el SMS en favor de una app de autenticacion o una llave de hardware, y adopta passkeys en cualquier cuenta que las admita (bancos, Google, Apple, Microsoft y mas). Nunca apruebes un aviso de inicio de sesion que no hayas iniciado tu mismo, y desconfia de cualquier pagina de acceso inesperada. Un gestor de contrasenas tambien ayuda: rellena tu inicio de sesion solo en el dominio autentico, asi que si acabas en un sitio falso identico, el hecho de que el autocompletado no se active en silencio es una senal de alerta util.

