Una ingeniera de campo aborda un vuelo, abre su portátil sobre el Atlántico y accede a una estación de trabajo con datos de clientes. Sin Wi-Fi, sin VPN, sin servidor de autenticación accesible. Si su política de MFA se desmorona en el momento en que cae la conectividad, ese acceso está protegido únicamente por una contraseña, y las credenciales en caché son exactamente lo que los atacantes extraen de los dispositivos robados.
El offline MFA cierra esta brecha. Aplica un segundo factor localmente, en el propio dispositivo, utilizando material criptográfico aprovisionado durante el registro. Implementado con el antiguo TOTP, sigue siendo phishable y está vinculado a un secreto compartido. Implementado con credenciales FIDO2 vinculadas al hardware, se vuelve resistente al phishing y alineado con los requisitos de NIS2, DORA y PCI-DSS 4.0.
Las siguientes secciones detallan los mecanismos, el modelo de amenazas, el mapeo de cumplimiento normativo y las opciones de configuración que diferencian un acceso offline sin contraseña de una simple función de cumplimiento.
Qué es el Offline MFA y por qué el MFA estándar falla sin conectividad
El MFA estándar asume una conexión activa con el servidor de autenticación. Si se corta la red, la mayoría de las soluciones bloquean al usuario o recurren a un acceso solo con contraseña. El offline MFA cierra esa brecha validando el segundo factor directamente en el endpoint.
Definición y la brecha de cumplimiento: NIS2, DORA, PCI-DSS 4.0 y requisitos CMMC
El offline MFA aplica un segundo factor cuando el dispositivo no tiene conexión a internet o no puede acceder al proveedor de identidad. Los reguladores ya no aceptan la conectividad como excusa: PCI-DSS 4.0 req. 8.4 exige MFA para todo acceso a sistemas en alcance, el artículo 21 de NIS2 requiere controles de autenticación consistentes, y CMMC IA.L2-3.5.3 se aplica a cada sesión privilegiada.
Modelo de amenazas: ataques que el Offline MFA previene (portátiles perdidos, Evil Maid, Pass-the-Hash)
Un portátil robado con hashes NTLM en caché se descifra fácilmente de forma offline. El offline MFA bloquea la manipulación Evil Maid, el replay pass-the-hash y el acceso físico de personas internas al exigir una credencial vinculada al hardware en cada inicio de sesión.
Cómo funciona el Offline MFA: métodos y resistencia al phishing
La autenticación offline se divide en dos familias: los métodos de secreto compartido heredados de la década de 2010 y los métodos criptográficos basados en claves vinculadas al hardware. La brecha de seguridad es significativa cuando el dispositivo está en modo offline y un atacante tiene acceso físico o prolongado.
TOTP, HOTP y códigos de recuperación: el enfoque de secreto compartido heredado
TOTP y HOTP se basan en un seed aprovisionado durante el registro y almacenado tanto en la app de autenticación como en el servidor. En modo offline, el portátil valida el código contra una copia en caché de ese secreto. Los códigos de recuperación (impresos o almacenados en un gestor de contraseñas) actúan como último recurso. La debilidad es estructural: el secreto compartido puede extraerse de una app de autenticación comprometida, los códigos son phisheables mediante ingeniería social, y los códigos impresos son vulnerables al robo.
FIDO2, passkeys y acceso offline sin contraseña con PIN descentralizado
FIDO2 y los passkeys invierten el modelo. Un Hideez Key almacena una credencial privada dentro de un elemento seguro; el portátil envía un desafío criptográfico, la clave lo firma localmente, sin necesidad de red. Combinado con un PIN descentralizado o biometría, esto proporciona un acceso offline sin contraseña resistente al phishing, replay y extracción de credenciales.
Offline MFA en sistemas operativos y tipos de sesión
Inicio de sesión en Windows, RDP y VPN sin accesibilidad LDAP o RADIUS
Aplicar MFA cuando el controlador de dominio no es accesible es donde la mayoría de las soluciones fallan. Un portátil itinerante en la pantalla de inicio de sesión de Windows no puede consultar LDAP offline; una sesión RDP fuera del perímetro corporativo no recibe ningún heartbeat RADIUS. El agente Hideez valida la aserción FIDO2 localmente contra un trust anchor en caché y reconcilia el evento con el servidor una vez que se restablece la conectividad. La misma lógica se aplica al pre-logon VPN y las sesiones fuera del dominio, eliminando la necesidad de un intermediario IIS. Consulte nuestra guía sobre cómo añadir MFA a RDP para detalles de implementación.
Configuración de políticas de Offline MFA y flujos de recuperación
Frecuencia de reautenticación y registro remoto para nuevas incorporaciones
La cadencia de reautenticación debe reflejar el riesgo, no la comodidad. Para administradores con privilegios, aplique MFA en cada inicio de sesión offline. Para técnicos de campo, una ventana de 24 horas equilibra fricción y seguridad. Los contratistas requieren prompts por sesión independientemente del tipo de conexión.
Las nuevas incorporaciones remotas exponen la debilidad del registro en red. Hideez envía claves de hardware preaprovisionadas con verificación de identidad vinculada al onboarding de RRHH, por lo que la autenticación del primer día funciona offline sin necesidad de conectarse jamás a la LAN corporativa.
Recuperación ante pérdida de dispositivo: códigos de recuperación, claves secundarias y escenarios de pérdida total
Los códigos de recuperación impresos son un riesgo conocido: almacenamiento en papel, brechas en la aplicación de uso único y exposición a ingeniería social. Una segunda clave de hardware FIDO2 registrada en el momento del alta elimina ese riesgo. Para escenarios de pérdida total offline, Hideez admite credenciales temporales emitidas por el administrador y revocadas en el próximo contacto con el servidor.
Preguntas frecuentes
¿Cuál es la diferencia entre TOTP offline y la autenticación offline FIDO2 sin contraseña?
El TOTP offline se basa en un seed compartido en caché en el dispositivo, generando códigos de tiempo que el usuario escribe al iniciar sesión. El seed puede ser extraído por malware y el código es phisheable. La autenticación offline FIDO2 sin contraseña utiliza una clave privada vinculada al hardware dentro de un elemento seguro, validada localmente mediante un desafío criptográfico. Sin contraseña, sin secreto compartido, sin ventana de replay.
¿Cómo recupero el acceso si un usuario pierde su token de hardware MFA offline?
Emita un segundo Hideez Key preregistrado o utilice códigos de recuperación de un solo uso almacenados de forma segura. Si ambos no están disponibles, un administrador genera una credencial temporal revocada en el próximo contacto con el servidor.
¿Se puede usar Microsoft Authenticator offline para el inicio de sesión en Windows?
La app Microsoft Authenticator genera códigos TOTP offline, pero la integración nativa con el inicio de sesión de Windows requiere un agente de terceros. Hideez gestiona la autenticación offline en Windows directamente a través de su cliente, sin dependencia de una app de autenticación.
Hideez Workforce Identity ofrece offline MFA basado en credenciales FIDO2 vinculadas al hardware — aplicado localmente, sin servidor, en flotas Windows y macOS. Reserve una demo para ver la autenticación offline en acción, o explore el programa de socios para implementar Hideez con sus clientes.