Autenticación de dos factores: guía para contabilidad

Por qué la autenticación de dos factores es indispensable en asesoría fiscal

Los despachos de asesoría fiscal procesan diariamente datos financieros altamente confidenciales: declaraciones fiscales, balances, nóminas, coordenadas bancarias de cientos de empresas clientes. En 2025, según el informe anual de la ANSSI, los ataques de phishing dirigidos a profesiones reguladas aumentaron un 37% en un año. Frente a esta amenaza, la autenticación de dos factores (2FA) — también llamada autenticación multifactor (MFA) — constituye la primera línea de defensa técnica recomendada.

La autenticación de dos factores se basa en un principio simple: para acceder a un sistema, el usuario debe probar su identidad mediante dos elementos distintos. El primero es generalmente "algo que se sabe" (una contraseña), el segundo es "algo que se posee" (un smartphone, una clave física) o "algo que se es" (datos biométricos). Este mecanismo hace cuasi imposibles los ataques por robo de contraseña únicamente, que representan aún el 81% de las violaciones de datos según el informe Verizon DBIR 2024.

Para los asesores fiscales, el cumplimiento del regulación eIDAS y sus exigencias de identificación fuerte ya no es una opción: es una necesidad reglamentaria y ética. Este artículo te explica, paso a paso, cómo configurar la 2FA en tu despacho, qué herramientas elegir y cómo acompañar a tus colaboradores en esta transición.

---

Métodos de autenticación de dos factores adaptados al sector contable

Aplicaciones de autenticación (TOTP)

El método más extendido en los despachos contables es el uso de una aplicación que genera códigos temporales (TOTP — Time-based One-Time Password). Soluciones como Google Authenticator, Microsoft Authenticator o Authy generan un código de 6 dígitos renovado cada 30 segundos. Este código se asocia a un secreto compartido almacenado en la aplicación durante la fase de inscripción (escaneo de un código QR).

Ventajas para los despachos: despliegue sin costo adicional, funciona sin conexión, compatible con la prácticamente totalidad de los softwares contables (Sage, Cegid, ACD, MyUnisoft). Inconveniente: si el colaborador pierde su teléfono, el procedimiento de recuperación debe ser anticipado (códigos de respaldo a conservar en lugar seguro).

Claves de seguridad físicas (FIDO2/WebAuthn)

Para los despachos que procesan volúmenes importantes de datos sensibles o están sujetos a auditorías frecuentes, las claves de seguridad hardware (tipo YubiKey o Feitian) ofrecen el nivel de protección más elevado. Basadas en los estándares FIDO2 y WebAuthn, son resistentes al phishing por diseño: la clave verifica criptográficamente el dominio del sitio antes de autenticarse, lo que neutraliza los ataques de tipo "man-in-the-middle".

Cada vez más portales fiscales y plataformas de depósito obligatorio (DGFiP, infogreffe) tienden a aceptar estos estándares. Un despacho que gestiona un centenar de mandatos puede rentabilizar la compra de claves (aproximadamente 50-80 € la unidad) en pocas semanas gracias a la reducción del tiempo de gestión de incidentes de seguridad.

SMS OTP: a evitar para datos sensibles

Aunque los códigos enviados por SMS siguen siendo una opción en muchos sistemas, el NIST estadounidense (National Institute of Standards and Technology) los desclasificó en 2016 de la categoría de métodos de autenticación fuertes. Los ataques por SIM swapping (transferencia fraudulenta de un número de teléfono a una tarjeta SIM controlada por un atacante) han afectado a varios despachos contables franceses en los últimos años. Para accesos a datos fiscales o herramientas de firma electrónica para despachos jurídicos y contables, el SMS OTP solo debe considerarse como solución de último recurso.

---

Cómo configurar la autenticación de dos factores: guía paso a paso

Paso 1 — Inventario de aplicaciones y definición del perímetro

Antes de cualquier despliegue técnico, elabora un inventario exhaustivo de todas las aplicaciones utilizadas en tu despacho:

• Softwares contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensajerías y herramientas colaborativas: Microsoft 365, Google Workspace, Slack
• Herramientas de gestión documental y firma: plataformas de depósito, herramientas de workflow
• Accesos remotos: VPN, RDP, escritorios virtuales
• Portales clientes: espacios de intercambio de documentos con clientes

Para cada aplicación, verifica si la 2FA está disponible (sección "Seguridad" de los parámetros) y qué método es soportado (TOTP, FIDO2, SMS). Clasifica las aplicaciones por criticidad según la sensibilidad de los datos accesibles.

Paso 2 — Despliegue técnico e inscripción de colaboradores

Para Microsoft 365, la configuración se realiza a través del portal Azure Active Directory (Entra ID). Activa los "Security Defaults" o, para despachos de más de 10 colaboradores, configura políticas de Acceso Condicional (disponibles desde la licencia Business Premium). Estas políticas permiten exigir la 2FA solo en ciertas condiciones: acceso desde fuera de la oficina, conexión desde un dispositivo desconocido, horario inusual.

Para los softwares contables, el procedimiento varía según el editor:

• Cegid Loop: parámetros de seguridad > activar doble autenticación > generar códigos QR para cada usuario
• MyUnisoft: administración > seguridad > autenticación fuerte > forzar 2FA para todos los perfiles
• Sage 100 Cloud: contactar al administrador Sage o a tu distribuidor para activar el módulo MFA

Prevé una sesión de inscripción con cada colaborador (15 a 20 minutos por persona). Distribuye a cada usuario una ficha resumen con sus códigos de recuperación, a conservar en lugar seguro y físico (caja fuerte del despacho, por ejemplo).

Paso 3 — Política de gestión y procedimientos de emergencia

El despliegue técnico es solo la mitad del trabajo. Una política de seguridad documentada debe precisar:

• Quién puede desactivar temporalmente la 2FA (solo el administrador de sistemas, nunca el colaborador mismo)
• Procedimiento de pérdida de dispositivo: bloqueo inmediato de la cuenta, regeneración de códigos de respaldo, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral de accesos y métodos de autenticación
• Gestión de salidas: revocación inmediata de accesos y secretos 2FA en caso de cualquier salida de colaborador

Esta política se integra naturalmente en tu plan de continuidad de actividad (PCA) y en tu registro de tratamiento de datos conforme al RGPD. Consultar el centro de ayuda Certyneo puede proporcionarte modelos de políticas adaptadas a pequeñas y medianas estructuras.

---

Integración de la 2FA con herramientas de firma electrónica

La firma electrónica avanzada o cualificada, tal como se define en el regulación eIDAS, exige una identificación fuerte del firmante. Concretamente, cuando tu despacho envía una carta de encargo o contrato de prestación para firmar a un cliente, la plataforma de firma debe verificar la identidad del firmante de manera robusta. Es precisamente aquí donde interviene la 2FA.

En las plataformas de firma conformes eIDAS (nivel avanzado o cualificado), el firmante recibe un enlace por correo electrónico, luego debe validar su identidad a través de un segundo canal (SMS, aplicación de autenticación o certificado cualificado). Este proceso crea una pista de auditoría con marca de tiempo y verificable criptográficamente, lo que constituye una prueba irrefutable en caso de litigio — un riesgo crucial para los asesores fiscales que comprometen su responsabilidad civil profesional en cada misión.

Para entender los diferentes niveles de firma y elegir el adaptado a tus flujos documentales, se recomienda la lectura del guía completa de firma electrónica. Los despachos que utilizan Certyneo se benefician de una integración nativa de la 2FA en el recorrido de firma, lo que reduce la fricción para el firmante manteniendo el nivel de conformidad requerido.

Debe prestarse atención especial a las cartas de encargo (obligatorias según la norma profesional 2400 de la OEC) y a los informes de auditoría: estos documentos comprometen la responsabilidad personal del profesional y requieren una trazabilidad de autenticación impecable. Puedes incluso usar un generador de contratos por IA para automatizar la creación de estos documentos integrando desde el diseño los requisitos de autenticación fuerte.

---

Formar y sensibilizar a los colaboradores: el factor humano

El despliegue técnico más riguroso se vuelve ineficaz si los colaboradores no entienden los riesgos o rodean los dispositivos de seguridad. En asesoría fiscal, los equipos suelen estar compuestos por perfiles muy variados: socios seniors, colaboradores juniors, pasantes, asistentes de dirección. La formación debe adaptarse a cada perfil.

Programa de sensibilización recomendado para un despacho de 5 a 30 personas:

1. Sesión de lanzamiento (1h): presentación de riesgos concretos (ejemplos de incidentes reales anonimizados en el sector), demostración en vivo de la configuración, preguntas/respuestas
2. Tutoriales en video cortos (3-5 minutos cada uno): un tutorial por aplicación crítica, disponibles en la intranet del despacho
3. Ejercicio de phishing simulado: envío de un falso correo de phishing a los 3 meses del despliegue para medir la vigilancia real e identificar colaboradores que necesiten acompañamiento adicional
4. Integración en la incorporación: todo nuevo colaborador configura su 2FA en su primer día, con un referente dedicado

El Colegio de Asesores Fiscales (OEC) también ofrece recursos de formación continua en ciberseguridad en el marco de las obligaciones de formación anual (40 horas para asesores fiscales inscritos en el cuadro). Estas formaciones pueden valorarse en tu enfoque de calidad si tu despacho está certificado ISO 9001 o busca una certificación de ciberseguridad (etiqueta ExpertCyber de la ANSSI, por ejemplo).

Marco legal aplicable a la autenticación fuerte en asesoría fiscal

La implementación de la autenticación de dos factores en un despacho de asesoría fiscal se inscribe en un marco reglamentario denso, articulado alrededor de varios textos fundamentales.

El Regulación eIDAS nº910/2014 y su revisión eIDAS 2.0 (Regulación UE 2024/1183) constituyen el fundamento de referencia para todo lo concerniente a identificación electrónica en Europa. El artículo 8 define tres niveles de garantía para los medios de identificación electrónica: bajo, sustancial y alto. Para actos que comprometen la responsabilidad profesional de un asesor fiscal (firma de informes, validación de declaraciones fiscales en línea), se requiere el nivel de garantía "sustancial" o "alto", lo que implica obligatoriamente una autenticación multifactor.

El RGPD (Regulación UE 2016/679), en su artículo 32, impone a los responsables del tratamiento implementar "medidas técnicas y organizativas apropiadas" para garantizar la seguridad de los datos personales. Un despacho de asesoría fiscal procesa datos personales sensibles (datos financieros, datos de salud a través de nóminas con bajas por enfermedad, etc.). La ausencia de 2FA en accesos a softwares contables constituye muy probablemente un incumplimiento de este artículo, exponiendo al despacho a sanciones que pueden alcanzar el 4% de la facturación anual mundial (artículo 83 RGPD).

El Código Civil, artículos 1366 y 1367, encuadran el valor jurídico de la firma electrónica. El artículo 1367 precisa que "la fiabilidad de un procedimiento de firma electrónica se presume, salvo prueba en contrario, cuando este procedimiento implementa una firma electrónica cualificada". La autenticación fuerte es un componente esencial de esta presunción de fiabilidad.

La Directiva NIS2 (Directiva UE 2022/2555), transpuesta al derecho francés por la ley nº2024-449 del 21 de mayo de 2024 y sus decretos de aplicación, extiende las obligaciones de ciberseguridad a un amplio espectro de entidades. Aunque los despachos de asesoría fiscal no están directamente listados como entidades esenciales, aquellos que proporcionan servicios digitales a entidades esenciales o importantes (establecimientos de salud, administraciones locales, empresas de infraestructura crítica) pueden estar sujetos a obligaciones de forma indirecta a través de sus contratos de prestación.

La norma profesional 2400 del Colegio de Asesores Fiscales impone además una obligación de diligencia reforzada en materia de seguridad de sistemas de información para despachos que realizan misiones legales. La ANSSI recomienda explícitamente la MFA como medida mínima en su guía "Seguridad de sistemas de información para PYMEs" (edición 2024).

Responsabilidad civil profesional: en caso de violación de datos de clientes resultante de una ausencia de 2FA, el asegurador de responsabilidad civil del despacho puede invocar una falta caracterizada para reducir o rechazar su cobertura. Se aconseja fuertemente conservar la documentación técnica del despliegue de 2FA como prueba de diligencia.

Escenarios de uso: la 2FA en la práctica en despachos contables

Escenario 1 — Un despacho de asesoría fiscal de tamaño intermedio

Un despacho que agrupa unos quince colaboradores y gestiona aproximadamente 400 mandatos activos decidió desplegar la 2FA en la totalidad de sus herramientas tras un incidente de phishing que estuvo a punto de comprometer el acceso a su software de nóminas. La dirección optó por Microsoft Authenticator en Microsoft 365 (correo, SharePoint, Teams) y para las aplicaciones TOTP nativas de su software contable en la nube.

El despliegue se realizó en tres semanas: una semana de inventario y parametrización, una semana de inscripción de colaboradores en grupos de cinco, una semana de seguimiento y corrección de problemas. Resultado: cero incidentes de compromiso de cuenta en los 12 meses siguientes, versus dos incidentes el año anterior. El tiempo de gestión de incidentes de seguridad se redujo aproximadamente un 70%. El despacho también pudo justificar ante varios clientes grandes cuentas (incluyendo una PYMEindustrial cliente que impone una carta de seguridad de proveedores) que sus sistemas respetaban los requisitos de MFA.

Escenario 2 — Un despacho especializado en auditoría legal de PYMEs

Un despacho de auditoría legal que gestiona sesenta mandatos de auditoría legal se enfrentó a una exigencia específica: sus clientes cada vez pedían con más frecuencia una prueba de conformidad RGPD al renovar misiones. El despacho optó por desplegar claves de seguridad FIDO2 para los socios (acceso a los expedientes más sensibles) y aplicaciones TOTP para los colaboradores seniors, mientras mantenía los SMS OTP solo para accesos de baja sensibilidad.

Paralelamente, el despacho integró la firma electrónica avanzada en sus flujos de informes de auditoría, con autenticación fuerte sistemática del firmante. Gracias a la pista de auditoría generada, dos litigios potenciales con clientes que cuestionaban la fecha efectiva de entrega de un informe pudieron resolverse a favor del despacho produciendo los registros de autenticación con marca de tiempo. La reducción de plazos para firma de informes (de 5 días promedio a menos de 24 horas) también permitió fluidificar la facturación y mejorar la tesorería del despacho aproximadamente un 15%.

Escenario 3 — Un despacho en fase de crecimiento externo

Una red regional de despachos contables que absorbió tres estructuras independientes en dos años se encontró con una importante heterogeneidad de sistemas: algunos despachos absorbidos no tenían política de 2FA, otros utilizaban SMS OTP. El grupo aprovechó esta integración para armonizar en una solución unificada de gestión de identidades (IAM — Identity and Access Management) con 2FA obligatoria.

La inversión inicial (licencias IAM, formación, acompañamiento) se estimó en aproximadamente 8.000 € para el conjunto del grupo (unos 45 colaboradores). A cambio, la reducción de costos relacionados con incidentes de seguridad (intervenciones del proveedor informático, gestión de crisis) se estimó en 15.000-20.000 € el primer año. El grupo también pudo negociar una reducción de su prima de seguro cibernético del orden del 20% proporcionando a su asegurador la documentación de despliegue de 2FA.

Conclusión

La autenticación de dos factores ya no es un lujo reservado a grandes estructuras: es un imperativo de seguridad y conformidad para todo despacho de asesoría fiscal, sea cual sea su tamaño. Entre los requisitos del RGPD, las recomendaciones de la ANSSI, las obligaciones eIDAS para firma electrónica y la presión creciente de los clientes sobre los estándares de seguridad de sus proveedores, la 2FA se ha convertido en un estándar inevitable del sector.

La buena noticia: el despliegue es hoy accesible, rápido y poco costoso. Siguiendo los pasos descritos en este artículo — inventario de aplicaciones, elección del método adaptado, inscripción de colaboradores, redacción de una política documentada — tu despacho puede alcanzar un nivel de seguridad robusto en algunas semanas.

Certyneo integra de forma nativa la autenticación fuerte en sus flujos de firma electrónica, permitiéndote combinar conformidad eIDAS y seguridad MFA sin complejidad adicional. Descubre nuestras ofertas y tarifas o contacta a nuestro equipo para un acompañamiento personalizado en la conformidad de tu despacho.