Autenticación de dos factores: guía para contabilidad

Por qué la autenticación de dos factores es indispensable en auditoría y contabilidad

Los despachos de auditoría y contabilidad tratan diariamente datos financieros altamente confidenciales: cuentas fiscales, balances, recibos de nómina, coordenadas bancarias de cientos de empresas clientes. En 2025, según el informe anual de la ANSSI, los ataques de phishing dirigidos a profesiones reguladas han aumentado un 37% en un año. Ante esta amenaza, la autenticación de dos factores (2FA) —también llamada autenticación multifactor (MFA)— constituye la primera línea de defensa técnica recomendada.

La autenticación de dos factores se basa en un principio simple: para acceder a un sistema, el usuario debe demostrar su identidad mediante dos elementos distintos. El primero es generalmente «algo que sabe» (una contraseña), el segundo es «algo que posee» (un smartphone, una clave física) o «algo que es» (datos biométricos). Este mecanismo hace prácticamente imposibles los ataques por robo de contraseña únicamente, que representan aún el 81% de las violaciones de datos según el informe Verizon DBIR 2024.

Para los auditores y contables, la conformidad con el reglamento eIDAS y sus requisitos de identificación fuerte ya no es una opción: es una necesidad normativa y ética. Este artículo le explica, paso a paso, cómo configurar la 2FA en su despacho, qué herramientas elegir y cómo acompañar a sus colaboradores en esta transición.

---

Los métodos de autenticación de dos factores adaptados al sector contable

Las aplicaciones de autenticación (TOTP)

El método más extendido en los despachos contables es el uso de una aplicación que genera códigos temporales (TOTP — Time-based One-Time Password). Soluciones como Google Authenticator, Microsoft Authenticator o Authy generan un código de 6 dígitos renovado cada 30 segundos. Este código se asocia a un secreto compartido almacenado en la aplicación durante la fase de inscripción (escaneo de un código QR).

Ventajas para los despachos: despliegue sin costo adicional, funciona sin conexión, compatible con la práctica totalidad de software contables (Sage, Cegid, ACD, MyUnisoft). Inconveniente: si el colaborador pierde su teléfono, el procedimiento de recuperación debe anticiparse (códigos de respaldo a guardar en lugar seguro).

Las claves de seguridad físicas (FIDO2/WebAuthn)

Para los despachos que tratan volúmenes importantes de datos sensibles o están sujetos a auditorías frecuentes, las claves de seguridad materiales (tipo YubiKey o Feitian) ofrecen el nivel de protección más elevado. Basadas en los estándares FIDO2 y WebAuthn, son resistentes al phishing por diseño: la clave verifica criptográficamente el dominio del sitio antes de autenticarse, lo que neutraliza los ataques tipo «man-in-the-middle».

Cada vez más portales fiscales y plataformas de depósito obligatorio (DGFiP, infogreffe) tienden a aceptar estos estándares. Un despacho que gestiona un centenar de mandatos puede recuperar la inversión en claves (aproximadamente 50-80 € la unidad) en pocas semanas gracias a la reducción del tiempo de gestión de incidentes de seguridad.

OTP por SMS: a evitar para datos sensibles

Aunque los códigos enviados por SMS siguen siendo una opción en muchos sistemas, el NIST estadounidense (National Institute of Standards and Technology) los rebajó en 2016 de la categoría de métodos de autenticación fuerte. Los ataques por SIM swapping (transferencia fraudulenta de un número de teléfono a una tarjeta SIM controlada por un atacante) han afectado a varios despachos contables franceses en los últimos años. Para los accesos a datos fiscales o a herramientas de firma electrónica para despachos juridicos y contables, el OTP por SMS solo debe considerarse como solución de último recurso.

---

Cómo configurar la autenticación de dos factores: guía paso a paso

Paso 1 — Inventario de aplicaciones y definición del perímetro

Antes de cualquier despliegue técnico, haga un inventario exhaustivo de todas las aplicaciones utilizadas en su despacho:

• Software contables: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Mensajerías y herramientas colaborativas: Microsoft 365, Google Workspace, Slack
• Herramientas de gestión documental y firma: plataformas de depósito, herramientas de flujo de trabajo
• Accesos remotos: VPN, RDP, escritorios virtuales
• Portales clientes: espacios de intercambio de documentos con clientes

Para cada aplicación, verifique si la 2FA está disponible (sección «Seguridad» de la configuración) y qué método se soporta (TOTP, FIDO2, SMS). Clasifique las aplicaciones por criticidad en función de la sensibilidad de los datos accesibles.

Paso 2 — Despliegue técnico e inscripción de colaboradores

Para Microsoft 365, la configuración se realiza a través del portal Azure Active Directory (Entra ID). Active las «Security Defaults» o, para despachos con más de 10 colaboradores, configure políticas de Acceso Condicional (disponibles desde la licencia Business Premium). Estas políticas permiten exigir la 2FA solo bajo ciertas condiciones: acceso desde el exterior de la oficina, conexión desde dispositivo desconocido, horario inusual.

Para software contables, el procedimiento varía según el editor:

• Cegid Loop: configuración de seguridad > activar doble autenticación > generar códigos QR para cada usuario
• MyUnisoft: administración > seguridad > autenticación fuerte > obligar 2FA para todos los perfiles
• Sage 100 Cloud: contacte al administrador Sage o su distribuidor para activar el módulo MFA

Prevea una sesión de inscripción con cada colaborador (15 a 20 minutos por persona). Distribuya a cada usuario una ficha de síntesis con sus códigos de recuperación, a guardar en lugar seguro y físico (caja fuerte del despacho, por ejemplo).

Paso 3 — Política de gestión y procedimientos de emergencia

La implementación técnica es solo la mitad del trabajo. Una política de seguridad documentada debe precisar:

• Quién puede desactivar temporalmente la 2FA (solo el administrador de sistemas, nunca el colaborador mismo)
• Procedimiento de pérdida de dispositivo: bloqueo inmediato de la cuenta, regeneración de códigos de respaldo, reinscripción supervisada
• Frecuencia de revisión: auditoría semestral de accesos y métodos de autenticación
• Gestión de salidas: revocación inmediata de accesos y secretos 2FA en cualquier salida de colaborador

Esta política se integra naturalmente en su plan de continuidad de actividad (PCA) y en su registro de tratamiento de datos conforme al RGPD. Consultar el centro de ayuda Certyneo puede proporcionarle modelos de políticas adaptadas a estructuras pequeñas y medianas.

---

Integración de la 2FA con herramientas de firma electrónica

La firma electrónica avanzada o cualificada, tal como se define en el reglamento eIDAS, exige una identificación fuerte del firmante. Concretamente, cuando su despacho transmite una carta de encargo o contrato de prestación a firmar a un cliente, la plataforma de firma debe verificar la identidad del firmante de manera robusta. Es precisamente aquí donde interviene la 2FA.

En las plataformas de firma conformes con eIDAS (nivel avanzado o cualificado), el firmante recibe un enlace por correo electrónico, luego debe validar su identidad a través de un segundo canal (SMS, aplicación de autenticación o certificado cualificado). Este proceso crea un registro de auditoría con marca de tiempo y verificable criptográficamente, lo que constituye una prueba irrefutable en caso de litigio — un reto crucial para auditores y contables que empeñan su responsabilidad civil profesional en cada misión.

Para comprender los diferentes niveles de firma y elegir el adaptado a sus flujos documentales, se recomienda leer el guía completa de firma electrónica. Los despachos que utilizan Certyneo se benefician de una integración nativa de la 2FA en el proceso de firma, lo que reduce la fricción para el firmante manteniendo el nivel de conformidad requerido.

Debe prestarse especial atención a las cartas de encargo (obligatorias según la norma profesional 2400 del OEC) y a los informes de comisaría de cuentas: estos documentos empeñan la responsabilidad personal del profesional y requieren una trazabilidad de autenticación irreprochable. Puede incluso usar un generador de contratos por IA para automatizar la creación de estos documentos integrando desde el diseño los requisitos de autenticación fuerte.

---

Formar y sensibilizar a los colaboradores: el factor humano

El despliegue técnico más riguroso se vuelve ineficaz si los colaboradores no comprenden los retos o eluden los dispositivos de seguridad. En auditoría y contabilidad, los equipos están frecuentemente compuestos por perfiles muy variados: socios seniors, colaboradores juniors, pasantes, asistentes de dirección. La formación debe adaptarse a cada perfil.

Programa de sensibilización recomendado para un despacho de 5 a 30 personas:

1. Sesión de lanzamiento (1h): presentación de riesgos concretos (ejemplos de incidentes reales anonimizados en el sector), demostración en vivo de la configuración, preguntas/respuestas
2. Tutoriales en video cortos (3-5 minutos cada uno): un tutorial por aplicación crítica, disponibles en la intranet del despacho
3. Ejercicio de phishing simulado: envío de falso correo de phishing a los 3 meses del despliegue para medir la vigilancia real e identificar colaboradores que requieren acompañamiento adicional
4. Integración en la incorporación: todo nuevo colaborador configura su 2FA el primer día, con referente dedicado

El Colegio de Auditores y Contables (OEC) también ofrece recursos de formación continua sobre ciberseguridad en el marco de las obligaciones de formación anual (40 horas para auditores y contables colegiados). Estas formaciones pueden valorarse en su enfoque de calidad si su despacho está certificado ISO 9001 o aspira a certificación de ciberseguridad (etiqueta ExpertCyber de la ANSSI, por ejemplo).

Marco legal aplicable a la autenticación fuerte en auditoría y contabilidad

La implementación de autenticación de dos factores en un despacho de auditoría y contabilidad se inscribe en un marco normativo denso, articulado alrededor de varios textos fundamentales.

El Reglamento eIDAS n°910/2014 y su revisión eIDAS 2.0 (Reglamento UE 2024/1183) constituyen la base de referencia para todo lo relacionado con la identificación electrónica en Europa. El artículo 8 define tres niveles de confianza para los medios de identificación electrónica: bajo, sustancial y elevado. Para los actos que comprometen la responsabilidad profesional de un auditor y contador (firma de informes, validación de cuentas en línea), se requiere el nivel de confianza «sustancial» o «elevado», lo que implica obligatoriamente autenticación multifactor.

El RGPD (Reglamento UE 2016/679), en su artículo 32, impone a los responsables del tratamiento implementar «medidas técnicas y organizativas apropiadas» para garantizar la seguridad de los datos personales. Un despacho de auditoría y contabilidad trata datos personales sensibles (datos financieros, datos de salud a través de recibos de nómina con bajas médicas, etc.). La ausencia de 2FA en accesos a software contables probablemente constituya un incumplimiento de este artículo, exponiendo el despacho a sanciones que pueden alcanzar el 4% de la facturación anual mundial (artículo 83 RGPD).

El Código Civil, artículos 1366 y 1367, enmarcan el valor jurídico de la firma electrónica. El artículo 1367 precisa que «la fiabilidad de un procedimiento de firma electrónica se presume, hasta prueba en contrario, cuando el procedimiento implementa una firma electrónica cualificada». La autenticación fuerte es un componente esencial de esta presunción de fiabilidad.

La directiva NIS2 (Directiva UE 2022/2555), transpuesta a derecho francés por la ley n°2024-449 del 21 de mayo de 2024 y sus decretos de desarrollo, extiende las obligaciones de ciberseguridad a un amplio espectro de entidades. Aunque los despachos de auditoría y contabilidad no estén directamente listados como entidades esenciales, aquellos que proporcionan servicios digitales a entidades esenciales o importantes (centros sanitarios, colectividades locales, empresas de infraestructura crítica) pueden estar sujetos a obligaciones indirectamente a través de sus contratos de prestación.

La norma profesional 2400 del Colegio de Auditores y Contables impone además una obligación reforzada de diligencia en materia de seguridad de sistemas de información para despachos que realicen misiones legales. La ANSSI recomienda explícitamente la MFA como medida mínima en su guía «Seguridad de sistemas de información para micropymes y pymes» (edición 2024).

Responsabilidad civil profesional: en caso de violación de datos clientes resultante de ausencia de 2FA, el asegurador de RCP del despacho puede invocar falta caracterizada para reducir o rechazar su garantía. Se aconseja fuertemente conservar la documentación técnica de despliegue de la 2FA como prueba de diligencia.

Escenarios de uso: la 2FA en la práctica en despachos contables

Escenario 1 — Un despacho de auditoría y contabilidad de tamaño medio

Un despacho que agrupa unos quince colaboradores y gestiona aproximadamente 400 mandatos activos decidió desplegar la 2FA en el conjunto de sus herramientas tras un incidente de phishing que casi compromete el acceso a su software de nómina. La dirección optó por Microsoft Authenticator en Microsoft 365 (correo electrónico, SharePoint, Teams) y por las aplicaciones TOTP nativas de su software contable en la nube.

El despliegue se realizó en tres semanas: una semana de inventario y configuración, una semana de inscripción de colaboradores por grupos de cinco, una semana de seguimiento y corrección de problemas. Resultado: cero incidentes de compromiso de cuenta en los 12 meses siguientes, frente a dos incidentes el año anterior. El tiempo de gestión de incidentes de seguridad se redujo aproximadamente un 70%. El despacho también pudo justificar ante varios clientes grandes (incluyendo una pyme industrial cliente con carta de seguridad proveedores) que sus sistemas cumplían requisitos MFA.

Escenario 2 — Un despacho especializado en auditoría legal de pymes

Un despacho de comisaría de cuentas que gestiona sesenta mandatos de auditoría legal enfrentó una exigencia específica: sus clientes solicitan cada vez más prueba de cumplimiento RGPD al renovar las misiones. El despacho eligió desplegar claves de seguridad FIDO2 para los socios (acceso a expedientes más sensibles) y aplicaciones TOTP para colaboradores seniors, manteniendo OTP por SMS solo para accesos poco sensibles.

Paralelamente, el despacho integró firma electrónica avanzada en sus flujos de informes de comisaría, con autenticación fuerte sistemática del firmante. Gracias al registro de auditoría generado, dos posibles litigios con clientes que cuestionaban la fecha efectiva de remisión de un informe pudieron resolverse a favor del despacho presentando registros de autenticación con marca de tiempo. La reducción de plazos de firma de informes (de 5 días en promedio a menos de 24 horas) también permitió fluidificar la facturación y mejorar la tesorería del despacho aproximadamente un 15%.

Escenario 3 — Un despacho en fase de crecimiento externo

Una red regional de despachos contables que absorbió tres estructuras independientes en dos años se encontró con heterogeneidad importante de sistemas: algunos despachos absorbidos no tenían ninguna política de 2FA, otros utilizaban OTP por SMS. El grupo aprovechó esta integración para armonizar en solución unificada de gestión de identidades (IAM — Identity and Access Management) con 2FA obligatoria.

La inversión inicial (licencias IAM, formación, acompañamiento) se estimó en aproximadamente 8.000 € para el conjunto del grupo (aproximadamente 45 colaboradores). Como contrapartida, la reducción de costos ligados a incidentes de seguridad (intervenciones de proveedor informático, gestión de crisis) se estimó en 15.000-20.000 € en el primer año. El grupo también pudo negociar una reducción de su prima de seguros cibernéticos del orden del 20% proporcionando a su asegurador la documentación de despliegue de la 2FA.

Conclusión

La autenticación de dos factores ya no es un lujo reservado a grandes estructuras: es un imperativo de seguridad y conformidad para todo despacho de auditoría y contabilidad, independientemente de su tamaño. Entre los requisitos del RGPD, las recomendaciones de la ANSSI, las obligaciones eIDAS para firma electrónica y la presión creciente de clientes sobre normas de seguridad de sus proveedores, la 2FA se ha convertido en un estándar inevitable del sector.

La buena noticia: el despliegue es hoy accesible, rápido y poco costoso. Siguiendo los pasos descritos en este artículo — inventario de aplicaciones, elección de método adaptado, inscripción de colaboradores, redacción de política documentada — su despacho puede alcanzar un nivel de seguridad robusto en pocas semanas.

Certyneo integra nativamente la autenticación fuerte en sus flujos de firma electrónica, permitiéndole combinar conformidad eIDAS y seguridad MFA sin complejidad adicional. Descubra nuestras ofertas y tarifas o contacte a nuestro equipo para acompañamiento personalizado en conformidad de su despacho.