Curso y Certificación de PRL – 23 y Martes 24 de Febrero · Inscríbete por WhatsApp
logo adminduEmpresas más seguras,
más eficientes y más fuertes
Autenticación de Dos Factores en el SUT: Seguridad Necesaria, Proceso Inadecuado

Autenticación de Dos Factores en el SUT: Seguridad Necesaria, Proceso Inadecuado

29/1/2026 ADMINDU normativa-sst

La reciente implementación de la autenticación de dos factores (2FA) en la plataforma del Sistema Único de Trabajo (SUT) por parte del Ministerio del Trabajo del Ecuador responde a una necesidad legítima y necesaria: incrementar la seguridad de acceso a información sensible de empresas, trabajadores y procesos administrativos.

Sin embargo, aunque el objetivo de seguridad es correcto, la arquitectura del proceso de autenticación presenta serias deficiencias operativas que afectan directamente a técnicos, responsables de SST y profesionales encargados del cumplimiento normativo diario.

Este artículo analiza el problema desde una perspectiva técnica, operativa y de gestión, y plantea recomendaciones concretas para mejorar el sistema sin comprometer la seguridad.

1. Contexto de la autenticación en el SUT

El Ministerio del Trabajo anunció oficialmente la activación de un mecanismo de verificación en dos pasos, el cual funciona de la siguiente manera:

  1. El usuario ingresa con su usuario y contraseña.
  2. El sistema genera un código temporal de verificación.
  3. El código es enviado a los correos electrónicos registrados de la empresa o institución.
  4. El código tiene una vigencia limitada (5 minutos).
  5. Solo tras ingresar el código, se permite el acceso al sistema.

Desde el punto de vista conceptual, este modelo cumple con los principios básicos de la autenticación de múltiples factores.

2. El problema real: desalineación entre usuarios reales y correos de autenticación

El problema no es la autenticación 2FA en sí.
El problema es a quién se le envía el código.

En la práctica operativa del SUT:

  • Los correos registrados suelen pertenecer a:

    • Gerentes
    • Representantes legales
    • Dueños de empresas
    • Administradores generales

  • Los usuarios que operan el sistema diariamente suelen ser:

    • Técnicos de Seguridad y Salud en el Trabajo
    • Responsables de cumplimiento legal
    • Consultores externos
    • Personal administrativo delegado

Esta desconexión genera una cadena de ineficiencia operativa.

3. Impacto operativo en técnicos y responsables SST

En el día a día, la implementación actual provoca:

⏱️ Pérdida de tiempo crítica

Los técnicos deben:

  • Solicitar el código al gerente o dueño
  • Esperar que revise su correo
  • Esperar que lo reenvíe o lo comunique

En muchos casos:

  • El correo no se revisa de inmediato
  • El código expira
  • El proceso debe reiniciarse

Dependencia de terceros no operativos

El acceso al sistema queda supeditado a personas que:

  • No están involucradas en la operación diaria
  • No siempre están disponibles
  • No consideran prioritaria la gestión del SUT

Riesgo de incumplimiento normativo

El SUT no es una plataforma opcional. En ella se gestionan:

  • Avisos de accidentes de trabajo
  • Registro de comités
  • Obligaciones periódicas
  • Documentación legal obligatoria

La demora en el acceso puede traducirse en:

  • Incumplimientos
  • Sanciones
  • Observaciones en auditorías

4. Seguridad vs. usabilidad: un falso dilema

Uno de los errores más comunes en sistemas gubernamentales es asumir que:

“Más seguridad implica necesariamente menos usabilidad”.

Esto no es cierto.

Los estándares modernos de seguridad digital (ISO/IEC 27001, NIST, OWASP) establecen que un sistema seguro debe ser también:

  • Usable
  • Proporcional al riesgo
  • Alineado con los roles reales de los usuarios

La implementación actual del SUT protege la cuenta, pero bloquea la operación.

5. Análisis del error de arquitectura del proceso

Desde un punto de vista técnico, el problema se resume en:

Autenticación ligada a la entidad, no al rol

El SUT valida:

  • A la empresa
  • A la institución

Pero ignora:

  • El rol del usuario
  • La delegación operativa
  • La responsabilidad funcional

En sistemas modernos, la autenticación debe estar basada en roles y permisos, no solo en la titularidad legal.

6. Publicación oficial: intención correcta, solución incompleta

La publicación emitida por el Ministerio del Trabajo deja claro que:

  • La medida busca proteger a los usuarios
  • Se reconoce la sensibilidad de la información
  • Se adopta un enfoque preventivo

No obstante, no se aborda el impacto operativo, ni se ofrece una alternativa para los responsables técnicos.

Esto genera una brecha entre:

  • La intención normativa
  • La realidad operativa del sector productivo

7. Recomendaciones técnicas y de proceso

En ADMINDU como empresa de gestión industrial con experiencia en procesos y automatización de procesos presentamos recomendaciones realistas, alineadas con buenas prácticas internacionales:

✅ 1. Registro de correos técnicos autorizados

Permitir que la empresa registre:

  • Correos de técnicos SST
  • Correos de responsables de cumplimiento
  • Correos de consultores autorizados

El código 2FA debería enviarse a:

  • Correo principal (representante legal)
  • Correos secundarios autorizados

✅ 2. Autenticación basada en roles

Diferenciar claramente:

  • Usuario administrador (empresa)
  • Usuario técnico
  • Usuario consultor externo

Cada rol con:

  • Permisos definidos
  • Métodos de autenticación adecuados

✅ 3. Tokens o aplicaciones autenticadoras

Implementar opciones como:

  • Aplicaciones TOTP (Google Authenticator, Authy)
  • Tokens digitales por usuario
  • Verificación por app, no solo por correo

Esto reduce:

  • Dependencia del correo
  • Retrasos
  • Expiración innecesaria de códigos

✅ 4. Ventanas de validez adaptadas al contexto

Para usuarios técnicos:

  • Códigos con mayor ventana de validez
  • O sesiones confiables desde dispositivos registrados

✅ 5. Delegación formal y trazable

Permitir que el representante legal:

  • Delegue formalmente el acceso
  • Mantenga trazabilidad
  • Revise logs de acceso

Seguridad sin bloqueo operativo.

8. Beneficios de una implementación corregida

Con estas mejoras, el SUT lograría:

  • Mayor adopción y cumplimiento
  • Reducción de errores y retrasos
  • Mejor percepción del sistema
  • Seguridad real y no solo formal

En resumen

La autenticación de dos factores en el SUT es necesaria y correcta, pero su implementación actual no responde a la realidad operativa de las empresas y técnicos responsables.

La seguridad no debe convertirse en un obstáculo para el cumplimiento legal ni para la gestión de la Seguridad y Salud en el Trabajo. Un sistema verdaderamente seguro es aquel que protege la información sin paralizar la operación.

La solución no es eliminar el 2FA, sino rediseñar el proceso, incorporando roles, delegaciones y mecanismos modernos que reflejen cómo funciona realmente el trabajo en las organizaciones.

logo ADMINDU
Asesoría en SSTImplantación ISO 45001Gestión por ProcesosCapacitaciónPlanes y Precios

Recursos

BlogNormativaValidador títulos SSTDescargar BrochurePreguntas Frecuentes

Empresa

Sobre nosotrosContactoPolítica de privacidadTérminos y condiciones

Síguenos

WhatsApp icon
logo

Todos los derechos reservados © 2026 ADMINDU S.A.S.

Desarrollado por ADMINDU Lab

WhatsApp