Si diriges una empresa de 25 personas, seguramente te han dicho que necesitas autenticación de dos factores. El consejo suele venir con una factura adjunta: contratar a un consultor de seguridad, comprar un SIEM, desplegar tokens de hardware. Nada de eso encaja cuando tu "equipo de TI" es el responsable de oficina que además lleva las nóminas.
En los últimos años cambiaron dos cosas que convierten la 2FA en una configuración de 30 minutos en lugar de un proyecto de 30 días:
- TOTP (contraseñas de un solo uso basadas en tiempo) se convirtió en el estándar universal. Toda app de autenticación moderna —Google Authenticator, Microsoft Authenticator, Authy, 1Password— habla el mismo protocolo (RFC 6238). Tu equipo no necesita instalar nada a medida.
- El autoservicio de alta ya es lo mínimo esperable. No hace falta que un administrador "aprovisione" la 2FA a nadie: escanean un código QR en su app de autenticación, escriben un código de 6 dígitos para confirmar y listo. Los códigos de recuperación (10 códigos de un solo uso) cubren el caso del teléfono perdido.
Este artículo recorre la implementación real para una pequeña empresa. Seremos concretos sobre qué hacer esta semana y qué dejar para el próximo trimestre.
Por qué la 2FA importa para las pymes
Los datos son inequívocos. El equipo de inteligencia de amenazas de Microsoft informa de que activar la MFA bloquea el 99,2 % de los intentos automatizados de robo de cuentas. El 0,8 % restante requiere ataques dirigidos sofisticados: kits de phishing con retransmisión en tiempo real, SIM-swap, etc. Para una empresa de 25 personas que sobre todo combate bots de password-spraying y relleno de credenciales de bases de datos filtradas, la 2FA es el control de seguridad con mayor impacto que puedes desplegar.
La ecuación de costes también se invirtió. Las apps SaaS (tu contabilidad, RR. HH., CRM, nóminas) ya incorporan soporte de 2FA; usarlo es gratis. Las apps de autenticación para el móvil son gratis. El único coste real son los 30 minutos por empleado para el alta.
La implementación de 30 minutos (esta semana)
No necesitas un plan de proyecto. Necesitas:
-
Una lista de apps críticas para el negocio. Empieza por: correo (Google Workspace / Microsoft 365), contabilidad, RR. HH./nóminas, uso compartido de archivos, gestor de contraseñas (tienes uno, ¿verdad?) y tu base de datos de clientes. Suelen ser 5-8 sistemas para una empresa de 25 personas.
-
Un documento breve, con tres secciones:
- Por qué lo hacemos (1 párrafo; el nuestro dice: "Si nuestro correo se ve comprometido, un atacante puede restablecer todas las demás contraseñas y suplantar a la empresa. La 2FA lo evita.")
- Qué deben hacer los empleados (descargar una app de autenticación —indica las cuatro más conocidas— y seguir las indicaciones de cada app la próxima vez que inicien sesión)
- Qué pasa si pierdo el teléfono (usar los códigos de recuperación; si ya no los tienes, contacta con el responsable de oficina, que reiniciará tu 2FA)
-
Una reunión general de 15 minutos para explicarlo. El mayor predictor del éxito de la implementación es que el equipo directivo tenga la 2FA activada de forma visible antes que el resto.
Tras la reunión, da dos semanas a todos. Luego revisa: ¿qué empleados aún no tienen 2FA en las apps imprescindibles? Dos semanas más de margen y empieza a exigirlo.
Qué esperar cuando se pierde un teléfono
Los códigos de recuperación son la respuesta. Son 10 códigos de un solo uso que se muestran UNA sola vez durante la configuración de la 2FA. El usuario los imprime, los guarda como captura en su gestor de contraseñas, o ambas cosas.
Cuando un teléfono se rompe o se pierde:
- El usuario inicia sesión con su correo y contraseña.
- En lugar de escribir el código del autenticador, introduce uno de los códigos de recuperación.
- Obtiene acceso completo. El código de recuperación usado queda invalidado.
- Vuelve a dar de alta la 2FA en el nuevo teléfono (el sistema se lo permite una vez que ha iniciado sesión).
¿Sin códigos de recuperación? Ahí es cuando un administrador debe desactivar manualmente la 2FA en la cuenta del usuario; este inicia sesión solo con contraseña y se da de alta de nuevo. Prevé gestionar ~1 caso así por trimestre en un equipo de 25 personas.
Cosas que evitar
- 2FA por SMS. El SMS es mejor que nada, pero los ataques de SIM-swap lo han hecho poco fiable. Usa TOTP (app de autenticación) siempre que puedas. Muchas apps admiten ambos: elige TOTP.
- Tokens de 2FA compartidos. Si tres personas comparten una sola cuenta de administrador de Google Workspace, la tentación es compartir el token de 2FA. No lo hagas. Crea cuentas de administrador separadas.
- Obligar a usar una app de autenticación concreta. Deja que cada cual use la que quiera: Google, Microsoft, Authy y 1Password funcionan todas. Imponer una genera resistencia.
- Desactivar la 2FA en cuentas concretas por cortesía. El vector de brecha más común en las pymes es el directivo cuya 2FA se "desactivó temporalmente" porque estaba de viaje y nunca se reactivó. No lo hagas.
Cuándo te quedas pequeño con este enfoque
Hacia los 50-100 empleados, el modelo de "responsable de oficina como TI" deja de funcionar. Síntomas:
- Varias peticiones de ayuda por semana sobre teléfonos perdidos
- Aplicación inconsistente entre equipos
- El alta/baja de personal se convierte en una lista que nadie ejecuta
Ahí es cuando necesitas o bien una persona de TI dedicada o una herramienta que gestione el alta, la recuperación y la auditoría de forma centralizada, normalmente llamada proveedor de identidad (IdP), como Okta, Microsoft Entra o JumpCloud. El coste suele ser de 5-10 $ por empleado y mes.
Si usas SVDY, el trabajo de IdP ya está integrado: aprovisionamiento basado en SCIM, SSO con SAML y gestión central de 2FA vienen con la plataforma a partir del plan Pro. Obtienes la capa de identidad centralizada sin pagar por dos sistemas.
En resumen
Para una empresa de 25 personas en 2026: la 2FA basada en TOTP es una implementación de 30 minutos que bloquea el 99 % de los ataques a credenciales, no cuesta nada en software y la única fricción real es el caso del teléfono perdido, que cubren los códigos de recuperación. No hay prácticamente excusa para no hacerlo.
Elige una fecha en las próximas dos semanas. Envía hoy la invitación a la reunión general.
