Solución de Problemas de MFA en Salesforce
Desde febrero de 2022, la autenticación multifactor (MFA) es obligatoria para cada inicio de sesión directo en la interfaz de Salesforce. Cuando MFA deja de funcionar, se queda completamente bloqueado. Esta guía cubre los problemas más comunes y sus soluciones.
Problema 1: Teléfono perdido o roto
Si el dispositivo con tu aplicación Salesforce Authenticator (o una app TOTP de terceros) se pierde, es robado o se rompe, no podrás aprobar el aviso de MFA por ti mismo.
Qué hacer:
1 Contacta a tu administrador de Salesforce — es la única persona que puede restaurar el acceso.
2 El administrador navega a Configuración → Usuarios → [Tu registro de usuario].
3 En la sección "Registro de aplicación: Salesforce Authenticator", el administrador hace clic en Desconectar para eliminar el dispositivo antiguo.
4 El administrador hace clic en Generar código de verificación temporal para crear un código de un solo uso que te permita iniciar sesión.
5 Después de iniciar sesión con el código temporal, Salesforce te pedirá registrar MFA nuevamente con tu nuevo dispositivo.
Códigos temporales expiran
Los códigos de verificación temporales son válidos de 1 a 24 horas según la configuración del administrador. Úsalos de inmediato.
Problema 2: Salesforce Authenticator no envía notificaciones push
Si abres la aplicación Salesforce Authenticator y no aparece nada —sin aviso de aprobación— intenta estas soluciones en orden:
1 Verifica tu conexión a Internet. La app requiere acceso a Internet para recibir notificaciones push. Cambia entre Wi-Fi y datos móviles para probar.
2 Cierra y vuelve a abrir la app. En iOS, desliza hacia arriba desde el selector de apps. En Android, elimínala de recientes.
3 Asegúrate de que las notificaciones estén activadas. Ve a Configuración → Notificaciones → Salesforce Authenticator y confirma que las notificaciones push estén permitidas.
4 Intenta iniciar sesión de nuevo. Vuelve a la página de inicio de sesión de Salesforce y haz clic en "Enviar notificación nuevamente" o ingresa tus credenciales otra vez para activar un nuevo push.
5 Usa el código TOTP en su lugar. En la app Salesforce Authenticator, el código de 6 dígitos mostrado debajo del nombre de la cuenta funciona incluso sin Internet. Introdúcelo en la pantalla de verificación de Salesforce.
Problema 3: Código TOTP rechazado
Si el código de 6 dígitos de tu app de autenticación (Salesforce Authenticator, Google Authenticator, Authy, etc.) es rechazado:
- Verifica el reloj de tu teléfono. Los códigos TOTP dependen del tiempo y requieren un reloj exacto. Ve a Configuración → Fecha y hora y habilita "Ajustar automáticamente".
- Espera el siguiente código. Cada código es válido por 30 segundos. Si lo ingresaste al final de la ventana, espera el siguiente.
- Asegúrate de usar la cuenta correcta. Si tienes varias organizaciones Salesforce registradas en tu app, verifica que estás leyendo el código de la organización correcta.
Problema 4: Bloqueado y no puedes contactar al administrador
Si tu administrador no está disponible:
- Verifica si tu organización usa SSO. El inicio de sesión SSO omite MFA nativo de Salesforce si el proveedor de identidad maneja la autenticación. Intenta iniciar sesión a través del portal SSO de tu empresa (p. ej., panel de Okta).
- Usa un método de verificación alternativo. Si tu administrador configuró una llave de seguridad (U2F/WebAuthn) o un autenticador integrado como método secundario, prueba uno de ellos.
- Contacta al soporte de Salesforce directamente. Abre un caso en help.salesforce.com. Se requerirá verificación de identidad.
Problema 5: El administrador necesita restablecer MFA para un usuario
Si eres administrador de Salesforce ayudando a un usuario:
1 Ve a Configuración → Usuarios y busca al usuario.
2 En "Registro de aplicación: Salesforce Authenticator", haz clic en Desconectar.
3 Si el usuario también registró una app TOTP, ve a "Registro de aplicación: Generador de contraseña de un solo uso" y haz clic en Desconectar.
4 Haz clic en Generar código de verificación temporal. Establece un tiempo de expiración (por defecto 24 horas) y comparte el código de forma segura con el usuario.
5 El usuario inicia sesión con su contraseña más el código temporal y se le pedirá registrar MFA nuevamente.
Buenas prácticas de seguridad
Entrega los códigos temporales mediante un canal seguro —llamada telefónica o mensaje encriptado. Nunca los envíes por correo en texto plano junto con el nombre de usuario.
Métodos MFA soportados por Salesforce
| Método | Cómo funciona | Funciona sin Internet? |
|---|---|---|
| Salesforce Authenticator (push) | Toca "Aprobar" en una notificación push | No |
| Salesforce Authenticator (TOTP) | Ingresa el código de 6 dígitos mostrado en la app | Sí |
| App TOTP de terceros | Ingresa un código de Google Authenticator, Authy, etc. | Sí |
| Llave de seguridad (U2F/WebAuthn) | Toca una llave USB/NFC física | Sí |
| Autenticador integrado | Usa Touch ID, Face ID o Windows Hello | Sí |
Prevención de bloqueos futuros de MFA
- Registra múltiples métodos MFA. Agrega tanto una app TOTP como una llave de seguridad como respaldo.
- Mantén códigos de respaldo. Algunas organizaciones permiten a los administradores generar códigos de respaldo —guárdalos en un gestor de contraseñas seguro.
- Documenta tu cadena de administradores. Conoce quiénes son tus administradores de Salesforce y cómo contactarlos fuera de Salesforce (teléfono, Slack, etc.).