Autenticación de dos factores: guía para contabilidad

Por qué la autenticación de dos factores es indispensable en asesoría fiscal

Los despachos de asesoría fiscal tratan diariamente datos financieros altamente confidenciales: dossiers fiscales, balances, nóminas, coordenadas bancarias de cientos de empresas clientes. En 2025, según el informe anual de la ANSSI, los ataques de phishing dirigidos a profesiones reguladas aumentaron un 37% en un año. Ante esta amenaza, la autenticación de dos factores (2FA) —también llamada autenticación multifactor (MFA)— constituye la primera línea de defensa técnica recomendada.

La autenticación de dos factores se basa en un principio simple: para acceder a un sistema, el usuario debe probar su identidad mediante dos elementos distintos. El primero es generalmente «algo que sabes» (una contraseña), el segundo es «algo que posees» (un smartphone, una clave física) o «algo que eres» (datos biométricos). Este mecanismo hace prácticamente imposibles los ataques por robo de contraseña únicamente, que representan aún el 81% de las violaciones de datos según el informe Verizon DBIR 2024.

Para los asesores fiscales, la conformidad con el reglamento eIDAS y sus requisitos de identificación fuerte ya no es opcional: es una necesidad regulatoria y ética. Este artículo te explica, paso a paso, cómo configurar la 2FA en tu despacho, qué herramientas elegir y cómo acompañar a tus colaboradores en esta transición.

---

Los métodos de autenticación de dos factores adaptados al sector contable

Las aplicaciones de autenticación (TOTP)

El método más extendido en los despachos contables es el uso de una aplicación que genera códigos temporales (TOTP — Time-based One-Time Password). Soluciones como Google Authenticator, Microsoft Authenticator o Authy generan un código de 6 dígitos renovado cada 30 segundos. Este código se asocia con un secreto compartido almacenado en la aplicación durante la fase de inscripción (escaneo de un código QR).

Ventajas para los despachos: implementación sin costo adicional, funciona sin conexión, compatible con prácticamente la totalidad de los programas contables (Sage, Cegid, ACD, MyUnisoft). Inconveniente: si el colaborador pierde su teléfono, el procedimiento de recuperación debe ser anticipado (códigos de respaldo a conservar en un lugar seguro).

Las claves de seguridad físicas (FIDO2/WebAuthn)

Para los despachos que tratan volúmenes importantes de datos sensibles o están sujetos a auditorías frecuentes, las claves de seguridad materiales (tipo YubiKey o Feitian) ofrecen el nivel de protección más elevado. Basadas en los estándares FIDO2 y WebAuthn, son resistentes al phishing por diseño: la clave verifica criptográficamente el dominio del sitio antes de autenticarse, lo que neutraliza los ataques tipo «man-in-the-middle».

Cada vez más portales fiscales y plataformas de depósito obligatorio (DGFiP, infogreffe) tienden a aceptar estos estándares. Un despacho que gestione alrededor de cien mandatos puede rentabilizar la compra de claves (aproximadamente 50-80 € por unidad) en pocas semanas gracias a la reducción del tiempo de gestión de incidentes de seguridad.

Los OTP por SMS: a evitar para datos sensibles

Aunque los códigos enviados por SMS siguen siendo una opción en muchos sistemas, el NIST estadounidense (Instituto Nacional de Estándares y Tecnología) los reclasificó en 2016 fuera de la categoría de métodos de autenticación fuerte. Los ataques por SIM swapping (transferencia fraudulenta de un número de teléfono a una tarjeta SIM controlada por un atacante) han afectado a varios despachos contables franceses en los últimos años. Para los accesos a datos fiscales o a herramientas de firma electrónica para despachos jurídicos y contables, el OTP por SMS solo debe considerarse como solución de último recurso.

---

Cómo configurar la autenticación de dos factores: guía paso a paso

Paso 1 — Inventario de aplicaciones y definición del perímetro

Antes de cualquier implementación técnica, elabora un inventario exhaustivo de todas las aplicaciones utilizadas en tu despacho:

• Programas contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Correos electrónicos y herramientas colaborativas: Microsoft 365, Google Workspace, Slack
• Herramientas de gestión documental y firma: plataformas de depósito, herramientas de flujo de trabajo
• Accesos remotos: VPN, RDP, escritorios virtuales
• Portales de clientes: espacios de intercambio de documentos con clientes

Para cada aplicación, verifica si la 2FA está disponible (sección «Seguridad» de los parámetros) y qué método es compatible (TOTP, FIDO2, SMS). Clasifica las aplicaciones por criticidad en función de la sensibilidad de los datos accesibles.

Paso 2 — Implementación técnica e inscripción de colaboradores

Para Microsoft 365, la configuración se realiza a través del portal Azure Active Directory (Entra ID). Activa las «Configuraciones de seguridad predeterminadas» o, para despachos con más de 10 colaboradores, configura políticas de Acceso condicional (disponibles desde la licencia Business Premium). Estas políticas permiten exigir la 2FA solo en ciertas condiciones: acceso desde fuera de la oficina, conexión desde un dispositivo desconocido, horario inusual.

Para los programas contables, el procedimiento varía según el editor:

• Cegid Loop: parámetros de seguridad > activar la doble autenticación > generar los códigos QR para cada usuario
• MyUnisoft: administración > seguridad > autenticación fuerte > forzar la 2FA para todos los perfiles
• Sage 100 Cloud: contactar con el administrador de Sage o tu distribuidor para activar el módulo MFA

Prevé una sesión de inscripción con cada colaborador (15 a 20 minutos por persona). Distribuye a cada usuario una ficha resumen con sus códigos de recuperación, a conservar en un lugar seguro y físico (caja fuerte del despacho, por ejemplo).

Paso 3 — Política de gestión y procedimientos de emergencia

La implementación técnica es solo la mitad del trabajo. Una política de seguridad documentada debe precisar:

• Quién puede desactivar temporalmente la 2FA (solo el administrador del sistema, nunca el colaborador)
• Procedimiento de pérdida de dispositivo: bloqueo inmediato de la cuenta, regeneración de códigos de recuperación, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral de los accesos y los métodos de autenticación
• Gestión de bajas: revocación inmediata de los accesos y los secretos 2FA en cualquier despido de colaborador

Esta política se integra naturalmente en tu plan de continuidad de actividad (PCA) y en tu registro de tratamiento de datos conforme al RGPD. Consultar el centro de ayuda Certyneo puede proporcionarte modelos de políticas adaptadas a estructuras pequeñas y medianas.

---

Integración de la 2FA con las herramientas de firma electrónica

La firma electrónica avanzada o cualificada, tal como se define en el reglamento eIDAS, exige una identificación fuerte del firmante. Concretamente, cuando tu despacho transmite una carta de encargo o un contrato de prestación para firmar a un cliente, la plataforma de firma debe verificar la identidad del firmante de manera robusta. Precisamente aquí es donde interviene la 2FA.

En las plataformas de firma conforme con eIDAS (nivel avanzado o cualificado), el firmante recibe un enlace por correo electrónico, luego debe validar su identidad a través de un segundo canal (SMS, aplicación de autenticación o certificado cualificado). Este proceso crea una pista de auditoría con marca temporal y criptográficamente verificable, lo que constituye una prueba irrefutable en caso de litigio — un desafío crucial para los asesores fiscales que comprometen su responsabilidad civil profesional en cada encargo.

Para comprender los distintos niveles de firma y elegir el adaptado a tus flujos documentales, se recomienda la lectura del guía completa de firma electrónica. Los despachos que utilizan Certyneo se benefician de una integración nativa de la 2FA en el proceso de firma, lo que reduce la fricción para el firmante manteniendo el nivel de conformidad requerido.

Debe prestarse atención especial a las cartas de encargo (obligatorias según la norma profesional 2400 de la OEC) y a los informes de auditoría: estos documentos comprometen la responsabilidad personal del profesional y requieren una trazabilidad de autenticación impecable. También puedes utilizar un generador de contratos por IA para automatizar la creación de estos documentos integrando desde el inicio los requisitos de autenticación fuerte.

---

Formar y sensibilizar a los colaboradores: el factor humano

La implementación técnica más rigurosa se vuelve ineficaz si los colaboradores no comprenden los riesgos o sortean los dispositivos de seguridad. En asesoría fiscal, los equipos suelen estar compuestos por perfiles muy variados: socios senior, colaboradores junior, becarios, asistentes de dirección. La formación debe adaptarse a cada perfil.

Programa de sensibilización recomendado para un despacho de 5 a 30 personas:

1. Sesión de lanzamiento (1h): presentación de los riesgos concretos (ejemplos de incidentes reales anónimos del sector), demostración en vivo de la configuración, preguntas/respuestas
2. Tutoriales de video cortos (3-5 minutos cada uno): un tutorial por aplicación crítica, disponibles en la intranet del despacho
3. Ejercicio de phishing simulado: envío de un falso correo de phishing a los 3 meses del despliegue para medir la vigilancia real e identificar colaboradores que requieran acompañamiento adicional
4. Integración en la incorporación: todo nuevo colaborador configura su 2FA en su primer día, con un referente dedicado

La Orden de Asesores Fiscales también proporciona recursos de formación continua sobre ciberseguridad en el marco de las obligaciones de formación anual. Estas formaciones pueden valorarse en tu enfoque de calidad si tu despacho está certificado ISO 9001 o busca una certificación de ciberseguridad.

Marco legal aplicable a la autenticación fuerte en asesoría fiscal

La implementación de la autenticación de dos factores en un despacho de asesoría fiscal se inscribe en un marco regulatorio denso, articulado alrededor de varios textos fundamentales.

El Reglamento eIDAS n°910/2014 y su revisión eIDAS 2.0 (Reglamento UE 2024/1183) constituyen el fundamento de referencia para todo lo relativo a la identificación electrónica en Europa. El artículo 8 define tres niveles de garantía para los medios de identificación electrónica: bajo, sustancial y alto. Para los actos que comprometen la responsabilidad profesional de un asesor fiscal (firma de informes, validación de dossiers fiscales en línea), se requiere el nivel de garantía «sustancial» o «alto», lo que implica obligatoriamente una autenticación multifactor.

El RGPD (Reglamento UE 2016/679), en su artículo 32, impone a los responsables del tratamiento implementar «medidas técnicas y organizativas apropiadas» para garantizar la seguridad de los datos personales. Un despacho de asesoría fiscal trata datos personales sensibles (datos financieros, datos de salud a través de nóminas con bajas por enfermedad, etc.). La ausencia de 2FA en los accesos a los programas contables constituye muy probablemente un incumplimiento de este artículo, exponiendo el despacho a sanciones que pueden alcanzar el 4% de la facturación anual mundial (artículo 83 RGPD).

El Código Civil, artículos 1366 y 1367, regulan el valor jurídico de la firma electrónica. El artículo 1367 precisa que «la fiabilidad de un procedimiento de firma electrónica se presume, hasta prueba en contrario, cuando dicho procedimiento implementa una firma electrónica cualificada». La autenticación fuerte es un componente esencial de esta presunción de fiabilidad.

La Directiva NIS2 (Directiva UE 2022/2555), traspuesta al derecho francés por la ley n°2024-449 de 21 de mayo de 2024 y sus decretos de aplicación, extiende las obligaciones de ciberseguridad a un amplio espectro de entidades. Aunque los despachos de asesoría fiscal no están directamente listados como entidades esenciales, aquellos que proporcionan servicios digitales a entidades esenciales o importantes (establecimientos de salud, colectividades locales, empresas de infraestructura crítica) pueden estar sujetos a obligaciones indirectas a través de sus contratos de prestación.

La norma profesional 2400 de la Orden de Asesores Fiscales impone además una obligación reforzada de diligencia en materia de seguridad de los sistemas de información para los despachos que tratan misiones legales. La ANSSI recomienda explícitamente la MFA como medida mínima en su guía «Seguridad de los sistemas de información para las PYMEs» (edición 2024).

Responsabilidad civil profesional: en caso de violación de datos de clientes resultante de la ausencia de 2FA, el asegurador RCP del despacho puede invocar una falta caracterizada para reducir o rechazar su garantía. Se recomienda fuertemente conservar la documentación técnica del despliegue de la 2FA como prueba de diligencia.

Escenarios de uso: la 2FA en la práctica en los despachos contables

Escenario 1 — Un despacho de asesoría fiscal de tamaño intermedio

Un despacho que agrupa alrededor de quince colaboradores y gestiona aproximadamente 400 mandatos activos decidió desplegar la 2FA en todas sus herramientas tras un incidente de phishing que casi compromete el acceso a su programa de nómina. La dirección optó por Microsoft Authenticator en Microsoft 365 (correo, SharePoint, Teams) y por las aplicaciones TOTP nativas de su programa contable en la nube.

El despliegue se realizó en tres semanas: una semana de inventario y configuración, una semana de inscripción de colaboradores en grupos de cinco, una semana de seguimiento y corrección de problemas. Resultado: cero incidentes de compromiso de cuenta en los 12 meses siguientes, frente a dos incidentes el año anterior. El tiempo de gestión de incidentes de seguridad se redujo aproximadamente un 70%. El despacho también pudo justificar ante varios clientes de gran tamaño (incluida una PYMEindustrial cliente que impone una carta de seguridad proveedores) que sus sistemas cumplían con los requisitos MFA.

Escenario 2 — Un despacho especializado en auditoría legal de PYMEs

Un despacho de auditoría legal que gestiona aproximadamente sesenta mandatos de auditoría legal fue confrontado con un requisito específico: sus clientes solicitan cada vez más una prueba de conformidad RGPD al renovar los encargos. El despacho eligió desplegar claves de seguridad FIDO2 para los socios (acceso a los dossiers más sensibles) y aplicaciones TOTP para los colaboradores senior, manteniendo los OTP por SMS solo para accesos de baja sensibilidad.

Paralelamente, el despacho integró la firma electrónica avanzada en sus flujos de informes de auditoría, con autenticación fuerte sistémica del firmante. Gracias a la pista de auditoría generada, dos posibles litigios con clientes que cuestionaban la fecha efectiva de entrega de un informe pudieron resolverse a favor del despacho presentando los registros de autenticación con marca temporal. La reducción de los plazos de firma de informes (de 5 días promedio a menos de 24 horas) también permitió fluidificar la facturación y mejorar la tesorería del despacho aproximadamente un 15%.

Escenario 3 — Un despacho en fase de crecimiento externo

Una red regional de despachos contables que absorbió tres estructuras independientes en dos años se encontró con una importante heterogeneidad de sistemas: algunos despachos absorbidos no tenían ninguna política de 2FA, otros utilizaban OTP por SMS. El grupo aprovechó esta integración para armonizar sobre una solución unificada de gestión de identidades (IAM — Identity and Access Management) con 2FA obligatoria.

La inversión inicial (licencias IAM, formación, acompañamiento) se estimó en aproximadamente 8 000 € para todo el grupo (aproximadamente 45 colaboradores). A cambio, la reducción de costos relacionados con incidentes de seguridad (intervenciones de proveedores informáticos, gestión de crisis) se estimó en 15 000-20 000 € en el primer año. El grupo también pudo negociar una reducción de su prima de seguros cibernéticos del orden del 20% proporcionando a su asegurador la documentación del despliegue de la 2FA.

Conclusión

La autenticación de dos factores ya no es un lujo reservado a grandes estructuras: es un imperativo de seguridad y conformidad para cualquier despacho de asesoría fiscal, independientemente de su tamaño. Entre los requisitos del RGPD, las recomendaciones de la ANSSI, las obligaciones eIDAS para la firma electrónica y la presión creciente de los clientes sobre los estándares de seguridad de sus proveedores, la 2FA se ha convertido en un estándar incontestable del sector.

La buena noticia: el despliegue es hoy accesible, rápido y de bajo costo. Siguiendo los pasos descritos en este artículo — inventario de aplicaciones, elección del método adaptado, inscripción de colaboradores, redacción de una política documentada — tu despacho puede alcanzar un nivel de seguridad robusto en pocas semanas.

Certyneo integra nativamente la autenticación fuerte en sus flujos de firma electrónica, permitiéndote combinar conformidad eIDAS y seguridad MFA sin complejidad adicional. Descubre nuestras ofertas y tarifas o contacta a nuestro equipo para un acompañamiento personalizado en la conformidad de tu despacho.