Autenticación push
¿Qué es Autenticación push?
Autenticación pushMétodo de MFA en el que el proveedor de identidad envía una solicitud de inicio de sesión a una app móvil de confianza, que el usuario aprueba o rechaza con un toque.
La autenticación push sustituye los códigos de un solo uso escritos por una solicitud de aprobación fuera de banda enviada a través de una app del proveedor, como Microsoft Authenticator, Duo u Okta Verify. Tras introducir la contraseña, el IdP envía una notificación push describiendo el intento de inicio de sesión; la app utiliza una clave asimétrica vinculada al dispositivo para firmar la respuesta cuando el usuario toca Aprobar. Es más cómoda que TOTP, pero es vulnerable a los ataques de fatiga de MFA, donde el atacante envía notificaciones en masa esperando una aprobación por error. Las implementaciones modernas añaden coincidencia numérica, contexto de geolocalización y señales de riesgo, y delegan cada vez más en FIDO2/passkeys para flujos resistentes al phishing.
● Ejemplos
- 01
Aprobar una notificación push de Okta Verify al iniciar sesión en una SaaS corporativa.
- 02
Introducir en Microsoft Authenticator un número de dos dígitos mostrado en pantalla (number matching) para confirmar el inicio de sesión.
● Preguntas frecuentes
¿Qué es Autenticación push?
Método de MFA en el que el proveedor de identidad envía una solicitud de inicio de sesión a una app móvil de confianza, que el usuario aprueba o rechaza con un toque. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Autenticación push?
Método de MFA en el que el proveedor de identidad envía una solicitud de inicio de sesión a una app móvil de confianza, que el usuario aprueba o rechaza con un toque.
¿Cómo defenderse de Autenticación push?
Las defensas contra Autenticación push combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Autenticación push?
Nombres alternativos comunes: MFA push, Autenticación por notificación.