Autenticación de dos factores: guía para contabilidad

Por qué la autenticación de dos factores es indispensable en asesoría contable

Los despachos de asesoría contable procesan diariamente datos financieros altamente confidenciales: declaraciones fiscales, balances, nóminas de pago, coordenadas bancarias de cientos de empresas clientes. En 2025, según el informe anual de la ANSSI, los ataques de phishing dirigidos a profesiones reguladas aumentaron un 37% en un año. Frente a esta amenaza, la autenticación de dos factores (2FA) — también llamada autenticación multifactor (MFA) — constituye la primera línea de defensa técnica recomendada.

La autenticación de dos factores se basa en un principio simple: para acceder a un sistema, el usuario debe probar su identidad a través de dos elementos distintos. El primero es generalmente "algo que sabes" (una contraseña), el segundo es "algo que posees" (un smartphone, una clave física) o "algo que eres" (datos biométricos). Este mecanismo hace prácticamente imposibles los ataques por robo de contraseña únicamente, que aún representan el 81% de las violaciones de datos según el informe Verizon DBIR 2024.

Para los expertos contables, el cumplimiento del reglamento eIDAS y sus requisitos de identificación fuerte ya no es una opción: es una necesidad regulatoria y ética. Este artículo te explica, paso a paso, cómo configurar la 2FA en tu despacho, qué herramientas elegir y cómo acompañar a tus colaboradores en esta transición.

---

Los métodos de autenticación de dos factores adaptados al sector contable

Aplicaciones de autenticación (TOTP)

El método más generalizado en los despachos contables es el uso de una aplicación que genera códigos temporales (TOTP — Time-based One-Time Password). Soluciones como Google Authenticator, Microsoft Authenticator o Authy generan un código de 6 dígitos renovado cada 30 segundos. Este código está asociado a un secreto compartido almacenado en la aplicación durante la fase de inscripción (escaneo de un código QR).

Ventajas para los despachos: despliegue sin costo adicional, funciona sin conexión, compatible con la práctica totalidad de los softwares contables (Sage, Cegid, ACD, MyUnisoft). Inconveniente: si el colaborador pierde su teléfono, el procedimiento de recuperación debe anticiparse (códigos de respaldo a conservar en lugar seguro).

Claves de seguridad físicas (FIDO2/WebAuthn)

Para los despachos que procesan grandes volúmenes de datos sensibles o están sujetos a auditorías frecuentes, las claves de seguridad de hardware (tipo YubiKey o Feitian) ofrecen el nivel de protección más elevado. Basadas en los estándares FIDO2 y WebAuthn, son resistentes al phishing por diseño: la clave verifica criptográficamente el dominio del sitio antes de autenticarse, lo que neutraliza los ataques de tipo "man-in-the-middle".

Cada vez más portales fiscales y plataformas de depósito obligatorio (DGFiP, infogreffe) tienden a aceptar estos estándares. Un despacho que gestiona aproximadamente cien mandatos puede amortizar la compra de claves (alrededor de 50-80 € la unidad) en pocas semanas gracias a la reducción del tiempo de gestión de incidentes de seguridad.

SMS OTP: a evitar para datos sensibles

Aunque los códigos enviados por SMS siguen siendo una opción en muchos sistemas, el NIST estadounidense (National Institute of Standards and Technology) los reclasificó en 2016 fuera de la categoría de métodos de autenticación fuertes. Los ataques por SIM swapping (transferencia fraudulenta de un número de teléfono a una tarjeta SIM controlada por un atacante) han afectado a varios despachos contables franceses en los últimos años. Para los accesos a datos fiscales o a herramientas de firma electrónica para despachos jurídicos y contables, el SMS OTP solo debe considerarse como solución de último recurso.

---

Cómo configurar la autenticación de dos factores: guía paso a paso

Paso 1 — Inventario de aplicaciones y definición del perímetro

Antes de cualquier despliegue técnico, elabora un inventario exhaustivo de todas las aplicaciones utilizadas en tu despacho:

• Softwares contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensajería y herramientas colaborativas: Microsoft 365, Google Workspace, Slack
• Herramientas de gestión documental y firma: plataformas de depósito, herramientas de flujo de trabajo
• Accesos remotos: VPN, RDP, escritorios virtuales
• Portales de clientes: espacios de intercambio de documentos con clientes

Para cada aplicación, verifica si la 2FA está disponible (sección "Seguridad" de las opciones) y qué método es soportado (TOTP, FIDO2, SMS). Clasifica las aplicaciones por criticidad en función de la sensibilidad de los datos accesibles.

Paso 2 — Despliegue técnico e inscripción de colaboradores

Para Microsoft 365, la configuración se realiza a través del portal Azure Active Directory (Entra ID). Activa los "Security Defaults" o, para despachos con más de 10 colaboradores, configura políticas de Acceso condicional (disponibles desde la licencia Business Premium). Estas políticas permiten exigir la 2FA solo bajo ciertas condiciones: acceso desde fuera de la oficina, conexión desde un dispositivo desconocido, horario inusual.

Para los softwares contables, el procedimiento varía según el editor:

• Cegid Loop: parámetros de seguridad > activar doble autenticación > generar códigos QR para cada usuario
• MyUnisoft: administración > seguridad > autenticación fuerte > forzar 2FA para todos los perfiles
• Sage 100 Cloud: contacta al administrador Sage o a tu revendedor para activar el módulo MFA

Prevé una sesión de inscripción con cada colaborador (15 a 20 minutos por persona). Distribuye a cada usuario una hoja resumen con sus códigos de recuperación, a conservar en un lugar seguro y físico (caja fuerte del despacho, por ejemplo).

Paso 3 — Política de gestión y procedimientos de emergencia

El despliegue técnico es solo la mitad del trabajo. Una política de seguridad documentada debe especificar:

• Quién puede desactivar temporalmente la 2FA (únicamente el administrador del sistema, nunca el colaborador por sí mismo)
• Procedimiento de pérdida de dispositivo: bloqueo inmediato de la cuenta, regeneración de códigos de respaldo, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral de accesos y métodos de autenticación
• Gestión de bajas: revocación inmediata de accesos y secretos 2FA en cualquier salida de colaborador

Esta política se integra naturalmente en tu plan de continuidad de actividad (PCA) y en tu registro de tratamiento de datos conforme al RGPD. Consultar el centro de ayuda Certyneo puede proporcionarte plantillas de políticas adaptadas a estructuras pequeñas y medianas.

---

Integración de la 2FA con herramientas de firma electrónica

La firma electrónica avanzada o calificada, tal como se define en el reglamento eIDAS, exige una identificación fuerte del firmante. Concretamente, cuando tu despacho transmite una carta de encargo o contrato de prestación a firmar a un cliente, la plataforma de firma debe verificar la identidad del firmante de manera robusta. Es precisamente aquí donde interviene la 2FA.

En plataformas de firma conformes a eIDAS (nivel avanzado o calificado), el firmante recibe un enlace por correo electrónico, luego debe validar su identidad a través de un segundo canal (SMS, aplicación de autenticación o certificado calificado). Este proceso crea una pista de auditoría con fecha y hora, criptográficamente verificable, lo que constituye una prueba irrefutable en caso de litigio — un desafío crucial para los expertos contables que comprometen su responsabilidad civil profesional en cada misión.

Para entender los diferentes niveles de firma y elegir el adecuado para tus flujos documentales, la lectura del guía completa de firma electrónica es recomendada. Los despachos que utilizan Certyneo se benefician de una integración nativa de la 2FA en el recorrido de firma, lo que reduce la fricción para el firmante mientras se mantiene el nivel de cumplimiento requerido.

Se debe prestar especial atención a las cartas de encargo (obligatorias conforme a la norma profesional 2400 del OEC) y a los informes de auditoría legal: estos documentos comprometen la responsabilidad personal del profesional y requieren una trazabilidad de autenticación impecable. Puedes utilizar un generador de contratos con IA para automatizar la creación de estos documentos integrando desde el diseño los requisitos de autenticación fuerte.

---

Formar y sensibilizar a los colaboradores: el factor humano

El despliegue técnico más riguroso se vuelve ineficaz si los colaboradores no entienden los desafíos o eluden los dispositivos de seguridad. En asesoría contable, los equipos suelen estar compuestos por perfiles muy variados: socios senior, colaboradores junior, becarios, asistentes de dirección. La formación debe adaptarse a cada perfil.

Programa de sensibilización recomendado para un despacho de 5 a 30 personas:

1. Sesión de lanzamiento (1h): presentación de riesgos concretos (ejemplos anónimos de incidentes reales del sector), demostración en vivo de la configuración, preguntas/respuestas
2. Tutoriales de video cortos (3-5 minutos cada uno): un tutorial por aplicación crítica, disponibles en la intranet del despacho
3. Ejercicio de phishing simulado: envío de un falso correo de phishing a los 3 meses del despliegue para medir la vigilancia real e identificar colaboradores que requieran acompañamiento adicional
4. Integración en la incorporación: todo nuevo colaborador configura su 2FA en su primer día, con un referente dedicado

El Colegio de Expertos Contables (OEC) también ofrece recursos de formación continua sobre ciberseguridad dentro del marco de obligaciones de formación anual (40 horas para expertos contables inscritos en el registro). Estas formaciones pueden valorarse en tu enfoque de calidad si tu despacho está certificado ISO 9001 o aspira a una certificación de ciberseguridad (etiqueta ExpertCyber de la ANSSI, por ejemplo).

Marco legal aplicable a la autenticación fuerte en asesoría contable

La implementación de autenticación de dos factores en un despacho de asesoría contable se inscribe en un marco regulatorio denso, articulado alrededor de varios textos fundamentales.

El Reglamento eIDAS nº 910/2014 y su revisión eIDAS 2.0 (Reglamento UE 2024/1183) constituyen el fundamento de referencia para todo lo concerniente a identificación electrónica en Europa. El artículo 8 define tres niveles de garantía para los medios de identificación electrónica: bajo, sustancial y elevado. Para los actos que comprometen la responsabilidad profesional de un experto contable (firma de informes, validación de declaraciones fiscales en línea), se requiere el nivel de garantía "sustancial" o "elevado", lo que implica obligatoriamente autenticación multifactor.

El RGPD (Reglamento UE 2016/679), en su artículo 32, impone a los responsables del tratamiento implementar "medidas técnicas y organizativas apropiadas" para garantizar la seguridad de los datos personales. Un despacho de asesoría contable trata datos personales sensibles (datos financieros, datos de salud a través de nóminas con bajas por enfermedad, etc.). La ausencia de 2FA en los accesos a softwares contables probablemente constituya un incumplimiento de este artículo, exponiendo al despacho a sanciones que pueden alcanzar el 4% de la facturación anual mundial (artículo 83 RGPD).

El Código Civil, artículos 1366 y 1367, regulan el valor legal de la firma electrónica. El artículo 1367 especifica que "la confiabilidad de un procedimiento de firma electrónica se presume, hasta prueba en contrario, cuando dicho procedimiento implementa una firma electrónica calificada". La autenticación fuerte es un componente esencial de esta presunción de confiabilidad.

La Directiva NIS2 (Directiva UE 2022/2555), transpuesta al derecho francés por la ley nº 2024-449 del 21 de mayo de 2024 y sus decretos de aplicación, amplía las obligaciones de ciberseguridad a un amplio espectro de entidades. Aunque los despachos de asesoría contable no están directamente listados como entidades esenciales, aquellos que proporcionan servicios digitales a entidades esenciales o importantes (establecimientos de salud, colectividades locales, empresas de infraestructura crítica) pueden estar sujetos a obligaciones indirectas a través de sus contratos de prestación.

La norma profesional 2400 del Colegio de Expertos-Contables impone además una obligación de diligencia reforzada en materia de seguridad de sistemas de información para despachos que realizan misiones legales. La ANSSI recomienda explícitamente la MFA como medida mínima en su guía "Seguridad de sistemas de información para PYMES" (edición 2024).

Responsabilidad civil profesional: en caso de violación de datos de clientes resultante de una ausencia de 2FA, el asegurador de RCP del despacho puede invocar una falta caracterizada para reducir o rechazar su cobertura. Se recomienda enérgicamente conservar la documentación técnica del despliegue de 2FA como prueba de diligencia.

Escenarios de uso: la 2FA en la práctica en despachos contables

Escenario 1 — Un despacho de asesoría contable de tamaño intermedio

Un despacho que agrupa a unos quince colaboradores y gestiona aproximadamente 400 mandatos activos decidió desplegar la 2FA en la totalidad de sus herramientas tras un incidente de phishing que casi compromete el acceso a su software de nóminas. La dirección optó por Microsoft Authenticator en Microsoft 365 (correo electrónico, SharePoint, Teams) y para las aplicaciones TOTP nativas de su software contable en la nube.

El despliegue se realizó en tres semanas: una semana de inventario y configuración, una semana de inscripción de colaboradores en grupos de cinco, una semana de seguimiento y corrección de problemas. Resultado: cero incidentes de compromiso de cuenta en los 12 meses siguientes, contra dos incidentes el año anterior. El tiempo de gestión de incidentes de seguridad se redujo aproximadamente un 70%. El despacho también pudo justificar ante varios clientes grandes (incluyendo una PYME industrial cliente que imponía una carta de seguridad de proveedores) que sus sistemas cumplían con los requisitos de MFA.

Escenario 2 — Un despacho especializado en auditoría legal de PYMES

Un despacho de auditoría legal que gestiona aproximadamente sesenta mandatos de auditoría legal se enfrentó a un requisito específico: sus clientes cada vez más solicitaban prueba de cumplimiento RGPD al renovar las misiones. El despacho eligió desplegar claves de seguridad FIDO2 para los socios (acceso a expedientes más sensibles) y aplicaciones TOTP para colaboradores senior, mientras mantenía SMS OTP únicamente para accesos de baja sensibilidad.

Paralelamente, el despacho integró la firma electrónica avanzada en sus flujos de informes de auditoría legal, con autenticación fuerte sistemática del firmante. Gracias a la pista de auditoría generada, dos posibles litigios con clientes que cuestionaban la fecha efectiva de entrega de un informe pudieron resolverse a favor del despacho produciendo los logs de autenticación con fecha y hora. La reducción de los plazos de firma de informes (de 5 días de promedio a menos de 24 horas) también permitió agilizar la facturación y mejorar la tesorería del despacho aproximadamente un 15%.

Escenario 3 — Un despacho en fase de crecimiento externo

Una red regional de despachos contables que absorbió tres estructuras independientes en dos años se encontró con una heterogeneidad importante de sistemas: algunos despachos absorbidos no tenían ninguna política de 2FA, otros utilizaban SMS OTP. El grupo aprovechó esta integración para armonizar una solución unificada de gestión de identidades (IAM — Identity and Access Management) con 2FA obligatoria.

La inversión inicial (licencias IAM, formación, acompañamiento) se estimó en aproximadamente 8.000 € para todo el grupo (aproximadamente 45 colaboradores). A cambio, la reducción de costos relacionados con incidentes de seguridad (intervenciones de prestatario informático, gestión de crisis) se estimó en 15.000-20.000 € en el primer año. El grupo también pudo negociar una reducción de su prima de seguro ciber del orden del 20% proporcionando a su asegurador la documentación del despliegue de 2FA.

Conclusión

La autenticación de dos factores ya no es un lujo reservado a grandes estructuras: es un imperativo de seguridad y cumplimiento para todo despacho de asesoría contable, independientemente de su tamaño. Entre los requisitos del RGPD, las recomendaciones de la ANSSI, las obligaciones eIDAS para firma electrónica y la creciente presión de los clientes sobre normas de seguridad de sus proveedores, la 2FA se ha convertido en un estándar incontestable del sector.

La buena noticia: el despliegue es hoy accesible, rápido y poco costoso. Siguiendo los pasos descritos en este artículo — inventario de aplicaciones, elección del método adaptado, inscripción de colaboradores, redacción de una política documentada — tu despacho puede alcanzar un nivel de seguridad robusto en pocas semanas.

Certyneo integra nativamente la autenticación fuerte en sus flujos de firma electrónica, permitiéndote combinar conformidad eIDAS y seguridad MFA sin complejidad adicional. Descubre nuestras ofertas y tarifas o contacta a nuestro equipo para un acompañamiento personalizado en la conformidad de tu despacho.