Autenticación de dos factores: guía para la contabilidad

Por qué la autenticación de dos factores es indispensable en expertise contable

Los despachos de expertise contable manejan diariamente datos financieros altamente confidenciales: lianzas fiscales, balances, recibos de nómina, coordenadas bancarias de cientos de empresas clientes. En 2025, según el informe anual de la ANSSI, los ataques de phishing dirigidos a profesiones reguladas aumentaron un 37% en un año. Frente a esta amenaza, la autenticación de dos factores (2FA) — también llamada autenticación multifactor (MFA) — constituye la primera línea de defensa técnica recomendada.

La autenticación de dos factores se basa en un principio simple: para acceder a un sistema, el usuario debe demostrar su identidad mediante dos elementos distintos. El primero generalmente es "algo que se sabe" (una contraseña), el segundo es "algo que se posee" (un smartphone, una clave física) o "algo que se es" (datos biométricos). Este mecanismo hace prácticamente imposibles los ataques por robo de contraseña solo, que representan aún el 81% de las violaciones de datos según el informe Verizon DBIR 2024.

Para los expertos contables, la adecuación al reglamento eIDAS y sus exigencias de identificación fuerte ya no es una opción: es una necesidad regulatoria y ética. Este artículo te explica, paso a paso, cómo configurar la 2FA en tu despacho, qué herramientas elegir y cómo acompañar a tus colaboradores en esta transición.

---

Métodos de autenticación de dos factores adaptados al sector contable

Aplicaciones de autenticación (TOTP)

El método más extendido en los despachos contables es el uso de una aplicación que genera códigos temporales (TOTP — Time-based One-Time Password). Soluciones como Google Authenticator, Microsoft Authenticator o Authy generan un código de 6 dígitos renovado cada 30 segundos. Este código se asocia a un secreto compartido almacenado en la aplicación durante la fase de inscripción (escaneo de código QR).

Ventajas para los despachos: implementación sin costo adicional, funciona sin conexión, compatible con la práctica totalidad de softwares contables (Sage, Cegid, ACD, MyUnisoft). Inconveniente: si el colaborador pierde su teléfono, el procedimiento de recuperación debe ser anticipado (códigos de respaldo a conservar en lugar seguro).

Claves de seguridad físicas (FIDO2/WebAuthn)

Para los despachos que manejan grandes volúmenes de datos sensibles o están sujetos a auditorías frecuentes, las claves de seguridad hardware (tipo YubiKey o Feitian) ofrecen el nivel de protección más elevado. Basadas en los estándares FIDO2 y WebAuthn, son resistentes al phishing por diseño: la clave verifica criptográficamente el dominio del sitio antes de autenticarse, lo que neutraliza los ataques de tipo "man-in-the-middle".

Cada vez más portales fiscales y plataformas de depósito obligatorio (DGFiP, infogreffe) tienden a aceptar estos estándares. Un despacho que gestiona un centenar de mandatos puede amortizar la compra de claves (aproximadamente 50-80 € la unidad) en algunas semanas gracias a la reducción del tiempo de gestión de incidentes de seguridad.

SMS OTP: a evitar para datos sensibles

Aunque los códigos enviados por SMS siguen siendo una opción en muchos sistemas, el NIST estadounidense (National Institute of Standards and Technology) los reclasificó en 2016 fuera de la categoría de métodos de autenticación fuertes. Los ataques por SIM swapping (transferencia fraudulenta de un número de teléfono a una tarjeta SIM controlada por un atacante) han afectado a varios despachos contables franceses en los últimos años. Para los accesos a datos fiscales o a herramientas de firma electrónica para despachos jurídicos y contables, el SMS OTP debe considerarse solo como solución de último recurso.

---

Cómo configurar la autenticación de dos factores: guía paso a paso

Paso 1 — Inventario de aplicaciones y definición del perímetro

Antes de cualquier despliegue técnico, elabora un inventario exhaustivo de todas las aplicaciones utilizadas en tu despacho:

• Softwares contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensajerías y herramientas colaborativas: Microsoft 365, Google Workspace, Slack
• Herramientas de gestión documental y firma: plataformas de depósito, herramientas de workflow
• Accesos remotos: VPN, RDP, escritorios virtuales
• Portales de clientes: espacios de intercambio de documentos con los clientes

Para cada aplicación, verifica si la 2FA está disponible (sección "Seguridad" de la configuración) y qué método es soportado (TOTP, FIDO2, SMS). Clasifica las aplicaciones por criticidad en función de la sensibilidad de los datos accesibles.

Paso 2 — Despliegue técnico e inscripción de colaboradores

Para Microsoft 365, la configuración se realiza a través del portal Azure Active Directory (Entra ID). Activa las "Security Defaults" o, para despachos de más de 10 colaboradores, configura políticas de Acceso condicional (disponibles desde la licencia Business Premium). Estas políticas permiten exigir la 2FA solo en ciertas condiciones: acceso desde fuera de la oficina, conexión desde un dispositivo desconocido, horario inusual.

Para los softwares contables, el procedimiento varía según el editor:

• Cegid Loop: parámetros de seguridad > activar doble autenticación > generar códigos QR para cada usuario
• MyUnisoft: administración > seguridad > autenticación fuerte > forzar 2FA para todos los perfiles
• Sage 100 Cloud: contactar al administrador Sage o tu distribuidor para activar el módulo MFA

Prevé una sesión de inscripción con cada colaborador (15 a 20 minutos por persona). Distribuye a cada usuario una hoja con sus códigos de recuperación, a conservar en un lugar seguro y físico (caja fuerte del despacho, por ejemplo).

Paso 3 — Política de gestión y procedimientos de emergencia

La implementación técnica es solo la mitad del trabajo. Una política de seguridad documentada debe especificar:

• Quién puede desactivar temporalmente la 2FA (solo el administrador del sistema, nunca el colaborador mismo)
• Procedimiento de pérdida de dispositivo: bloqueo inmediato de la cuenta, regeneración de códigos de respaldo, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral de accesos y métodos de autenticación
• Gestión de salidas: revocación inmediata de accesos y secretos 2FA en caso de cualquier salida de colaborador

Esta política se integra naturalmente en tu plan de continuidad de actividad (PCA) y en tu registro de tratamiento de datos conforme al RGPD. Consultar el centro de ayuda Certyneo puede proporcionarte modelos de políticas adaptados a estructuras pequeñas y medianas.

---

Integración de la 2FA con herramientas de firma electrónica

La firma electrónica avanzada o cualificada, tal como se define en el reglamento eIDAS, exige una identificación fuerte del firmante. Concretamente, cuando tu despacho transmite una carta de encargo o un contrato de prestación a firmar a un cliente, la plataforma de firma debe verificar la identidad del firmante de manera robusta. Precisamente aquí es donde interviene la 2FA.

En plataformas de firma conforme a eIDAS (nivel avanzado o cualificado), el firmante recibe un enlace por correo electrónico, luego debe validar su identidad a través de un segundo canal (SMS, aplicación de autenticación o certificado cualificado). Este proceso crea una pista de auditoría con fecha y criptográficamente verificable, lo que constituye una prueba irrefutable en caso de litigio — una apuesta crítica para los expertos contables que comprometer su responsabilidad civil profesional en cada misión.

Para entender los diferentes niveles de firma y elegir el adaptado a tus flujos documentales, se recomienda leer la guía completa de firma electrónica. Los despachos que utilizan Certyneo se benefician de una integración nativa de la 2FA en el proceso de firma, lo que reduce la fricción para el firmante manteniendo el nivel de conformidad requerido.

Debe prestarse especial atención a las cartas de encargo (obligatorias según la norma profesional 2400 del OEC) y a los informes de comisarios de cuentas: estos documentos comprometen la responsabilidad personal del profesional y requieren una trazabilidad de autenticación impecable. Además, puedes utilizar un generador de contratos por IA para automatizar la creación de estos documentos integrando desde el diseño las exigencias de autenticación fuerte.

---

Formar y sensibilizar a los colaboradores: el factor humano

El despliegue técnico más riguroso se vuelve ineficaz si los colaboradores no entienden los desafíos o evitan los dispositivos de seguridad. En expertise contable, los equipos a menudo se componen de perfiles muy variados: asociados senior, colaboradores junior, practicantes, asistentes de dirección. La formación debe adaptarse a cada perfil.

Programa de sensibilización recomendado para un despacho de 5 a 30 personas:

1. Sesión de lanzamiento (1h): presentación de riesgos concretos (ejemplos de incidentes reales anonimizados en el sector), demostración en vivo de la configuración, preguntas y respuestas
2. Tutoriales de video cortos (3-5 minutos cada uno): un tutorial por aplicación crítica, disponibles en la intranet del despacho
3. Ejercicio de phishing simulado: envío de un falso correo de phishing a los 3 meses del despliegue para medir la vigilancia real e identificar colaboradores que necesiten acompañamiento adicional
4. Integración en la incorporación: todo nuevo colaborador configura su 2FA en su primer día, con un referente dedicado

El Orden de Expertos Contables (OEC) también ofrece recursos de formación continua sobre ciberseguridad dentro del marco de las obligaciones de formación anual (40 horas para expertos contables inscritos en el registro). Estas formaciones pueden ser valoradas en tu enfoque de calidad si tu despacho está certificado ISO 9001 o busca una certificación de ciberseguridad (sello ExpertCyber del ANSSI, por ejemplo).

Marco legal aplicable a la autenticación fuerte en expertise contable

La implementación de autenticación de dos factores en un despacho de expertise contable se inscribe en un marco regulatorio denso, articulado alrededor de varios textos fundamentales.

El Reglamento eIDAS n°910/2014 y su revisión eIDAS 2.0 (Reglamento UE 2024/1183) constituyen el fundamento de referencia para todo lo relacionado con la identificación electrónica en Europa. El artículo 8 define tres niveles de garantía para los medios de identificación electrónica: bajo, sustancial y alto. Para los actos que comprometen la responsabilidad profesional de un experto contable (firma de informes, validación de lianzas fiscales en línea), se requiere el nivel de garantía "sustancial" o "alto", lo que implica obligatoriamente una autenticación multifactor.

El RGPD (Reglamento UE 2016/679), en su artículo 32, impone a los responsables del tratamiento implementar "medidas técnicas y organizativas apropiadas" para garantizar la seguridad de los datos personales. Un despacho de expertise contable maneja datos personales sensibles (datos financieros, datos de salud a través de recibos de nómina con bajas por enfermedad, etc.). La ausencia de 2FA en los accesos a los softwares contables probablemente constituya un incumplimiento de este artículo, exponiendo el despacho a sanciones que pueden alcanzar el 4% del volumen de negocios anual mundial (artículo 83 RGPD).

El Código Civil, artículos 1366 y 1367, enmarcan el valor jurídico de la firma electrónica. El artículo 1367 especifica que "la confiabilidad de un procedimiento de firma electrónica se presume, hasta prueba en contrario, cuando dicho procedimiento implementa una firma electrónica cualificada". La autenticación fuerte es un componente esencial de esta presunción de confiabilidad.

La directiva NIS2 (Directiva UE 2022/2555), transpuesta a la ley francesa por la ley n°2024-449 del 21 de mayo de 2024 y sus decretos de aplicación, amplía las obligaciones de ciberseguridad a un amplio espectro de entidades. Aunque los despachos de expertise contable no figuran directamente como entidades esenciales, aquellos que proveen servicios digitales a entidades esenciales o importantes (establecimientos de salud, colectividades locales, empresas de infraestructura crítica) pueden estar sujetos a obligaciones indirectas a través de sus contratos de prestación.

La norma profesional 2400 del Orden de Expertos Contables impone además una obligación de medios reforzada en materia de seguridad de sistemas de información para despachos que manejan misiones legales. El ANSSI recomienda explícitamente la MFA como medida mínima en su guía "Seguridad de sistemas de información para TPE/PYME" (edición 2024).

Responsabilidad civil profesional: en caso de violación de datos de clientes resultante de una ausencia de 2FA, el asegurador RCP del despacho puede invocar una falta caracterizada para reducir o rechazar su cobertura. Se recomienda fuertemente conservar la documentación técnica del despliegue de la 2FA como prueba de diligencia.

Escenarios de uso: la 2FA en la práctica en despachos contables

Escenario 1 — Un despacho de expertise contable de tamaño intermedio

Un despacho que agrupa a una quincena de colaboradores y gestiona aproximadamente 400 mandatos activos decidió desplegar la 2FA en el conjunto de sus herramientas tras un incidente de phishing que casi compromete el acceso a su software de nómina. La dirección optó por Microsoft Authenticator en Microsoft 365 (correo electrónico, SharePoint, Teams) y por las aplicaciones TOTP nativas de su software contable en la nube.

El despliegue se realizó en tres semanas: una semana de inventario y configuración, una semana de inscripción de colaboradores en grupos de cinco, una semana de seguimiento y corrección de problemas. Resultado: cero incidentes de compromiso de cuenta en los 12 meses siguientes, contra dos incidentes el año anterior. El tiempo de gestión de incidentes de seguridad se redujo aproximadamente en un 70%. El despacho también pudo justificar ante varios clientes grandes (incluyendo una PYME industrial cliente que imponía una carta de seguridad proveedores) que sus sistemas cumplían con los requisitos de MFA.

Escenario 2 — Un despacho especializado en auditoría legal de PYMES

Un despacho de comisarios de cuentas que gestiona aproximadamente sesenta mandatos de auditoría legal se enfrentó a una exigencia específica: sus clientes solicitaban cada vez más una prueba de conformidad RGPD al renovar las misiones. El despacho eligió desplegar claves de seguridad FIDO2 para los asociados (acceso a expedientes más sensibles) y aplicaciones TOTP para colaboradores senior, mientras mantenía SMS OTP solo para accesos de baja sensibilidad.

En paralelo, el despacho integró la firma electrónica avanzada en sus flujos de informes de comisarios, con autenticación fuerte sistemática del firmante. Gracias a la pista de auditoría generada, dos posibles litigios con clientes que cuestionaban la fecha efectiva de entrega de un informe pudieron resolverse en favor del despacho proporcionando los registros de autenticación con fecha y hora. La reducción de plazos de firma de informes (de 5 días en promedio a menos de 24 horas) también permitió fluidificar la facturación y mejorar la tesorería del despacho aproximadamente en un 15%.

Escenario 3 — Un despacho en fase de crecimiento externo

Una red regional de despachos contables que absorbió tres estructuras independientes en dos años se encontró con una heterogeneidad importante de sistemas: algunos despachos absorbidos no tenían política de 2FA alguna, otros utilizaban SMS OTP. El grupo aprovechó esta integración para armonizar una solución unificada de gestión de identidades (IAM — Identity and Access Management) con 2FA obligatoria.

La inversión inicial (licencias IAM, formación, acompañamiento) se estimó en aproximadamente 8.000 € para todo el grupo (aproximadamente 45 colaboradores). En contrapartida, la reducción de costos relacionados con incidentes de seguridad (intervenciones de proveedores informáticos, gestión de crisis) se estimó en 15.000-20.000 € en el primer año. El grupo también pudo negociar una reducción de su prima de seguros cibernéticos del orden del 20% proporcionando a su asegurador la documentación del despliegue de 2FA.

Conclusión

La autenticación de dos factores ya no es un lujo reservado a grandes estructuras: es un imperativo de seguridad y conformidad para todo despacho de expertise contable, independientemente de su tamaño. Entre los requisitos del RGPD, las recomendaciones del ANSSI, las obligaciones eIDAS para la firma electrónica y la presión creciente de los clientes sobre los estándares de seguridad de sus proveedores, la 2FA se ha convertido en un estándar inevitable del sector.

La buena noticia: el despliegue es hoy accesible, rápido y de bajo costo. Siguiendo los pasos descritos en este artículo — inventario de aplicaciones, elección del método adaptado, inscripción de colaboradores, redacción de una política documentada — tu despacho puede alcanzar un nivel de seguridad robusto en algunas semanas.

Certyneo integra nativamente la autenticación fuerte en sus flujos de firma electrónica, permitiéndote combinar conformidad eIDAS y seguridad MFA sin complejidad adicional. Descubre nuestras ofertas y tarifas o contacta a nuestro equipo para un acompañamiento personalizado en la adecuación de tu despacho.