Errores de Autenticación

¿"Invalid credentials", códigos MFA rechazados, o fallos de inicio de sesión repentinos después de cambiar la contraseña? Sigue estos pasos en orden — el clock drift (paso 2) es la causa oculta más común.

Advertisement · 728×90
🔑

Errores de Autenticación

Fallos de inicio de sesión, problemas de MFA, y errores de credenciales en VPN, apps, o network shares

⚠ Síntomas comunes

  • "Authentication failed", "Invalid credentials", o "Access denied" al iniciar sesión
  • Los códigos MFA se generan correctamente pero igual son rechazados
  • Funciona en un dispositivo pero no en otro con las mismas credenciales
  • Empieza a fallar de repente después de un cambio de contraseña o una actualización de política
  • 1

    Verifica tus credenciales en un lugar que sepas que funciona

    Antes de cambiar configuraciones, inicia sesión en la cuenta desde el navegador, no desde la app.

    Cuenta personal (Google, Microsoft, banco, etc.): usa la página de inicio de sesión del proveedor → flujo de recuperación de contraseña si hace falta.

    Cuenta de trabajo: inicia sesión en el portal web/webmail de la empresa en su lugar → si eso falla, usa el reset self-service del proveedor (personal) o contacta a IT (trabajo).

  • 2

    Sincroniza el reloj de tu sistema — el clock skew causa fallos de autenticación

    Kerberos y el MFA basado en TOTP necesitan que la hora del sistema sea precisa dentro de 5 min respecto al servidor — 6 min de drift rechaza credenciales válidas. En Windows, abre un Command Prompt elevado → ejecuta:

    w32tm /resync /force

    En Mac: System Settings → General → Date & Time → activa "Set automatically".

  • 3

    Vuelve a registrar tu app de autenticación MFA

    Códigos MFA rechazados aunque parezcan válidos = el reloj de la app de autenticación se ha desincronizado. Google Authenticator: Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator: se sincroniza automáticamente, pero reinstalar + volver a añadir la cuenta es el fix más confiable.

  • 4

    Borra las credenciales guardadas (cached) de Windows Credential Manager

    Las credenciales cached desactualizadas sobrescriben lo que escribes al iniciar sesión. Abre Control Panel → Credential Manager → Windows Credentials → elimina las entradas del sistema al que estás accediendo (busca el nombre del server/app) → vuelve a intentar la autenticación.

  • 5

    Revisa si hay problemas de certificado o TLS

    Algunos fallos de auth en realidad son fallos de TLS handshake mal reportados como errores de credenciales — revisa los detalles del error de la app por si hay advertencias de certificado expirado/no confiable.

    Dispositivo de trabajo: suele ser un root certificate expirado en el proxy de SSL inspection de tu empresa → IT necesita actualizarlo.

    Dispositivo personal: suele ser que Windows o el antivirus necesitan una actualización, o que el antivirus está haciendo su propio SSL scanning → actualiza ambos, o desactiva temporalmente el HTTPS scanning del antivirus.

  • 1

    Verifica tus credenciales en un lugar que sepas que funciona

    Abre Safari → inicia sesión directamente desde el navegador, no desde la app.

    Cuenta personal (Google, Microsoft, banco, etc.): usa la página de inicio de sesión del proveedor → flujo de recuperación de contraseña si hace falta.

    Cuenta de trabajo: inicia sesión en el portal web/webmail de la empresa en su lugar → si eso falla, usa el reset self-service del proveedor (personal) o la herramienta self-service de la empresa/IT (trabajo) — antes de hacer cualquier cambio local.

  • 2

    Sincroniza el reloj de tu sistema — el clock drift causa fallos de autenticación

    Kerberos y el MFA basado en TOTP necesitan que el reloj de tu Mac sea preciso dentro de 5 min respecto a la hora del servidor. Activa System Settings → General → Date & Time → Set time and date automatically → para una resincronización inmediata, abre Terminal y ejecuta:

    sudo sntp -sS time.apple.com
  • 3

    Vuelve a registrar tu app de autenticación MFA

    Códigos MFA rechazados aunque parezcan correctos = el reloj de la app de autenticación se ha desincronizado. Google Authenticator: Settings → Time Correction for Codes → Sync Now.

    Microsoft Authenticator: se sincroniza automáticamente, pero reinstalar + volver a añadir tu cuenta de trabajo mediante el portal de registro MFA de tu empresa es el fix más confiable para rechazos persistentes.

  • 4

    Elimina las credenciales desactualizadas de macOS Keychain

    macOS guarda las contraseñas/tokens en Keychain — las entradas viejas de antes de un cambio de contraseña sobrescriben silenciosamente lo que escribes al iniciar sesión.

    Abre Keychain Access (Spotlight → Keychain Access) → busca el hostname del server/nombre de la app/dominio de la empresa → elimina las entradas anteriores a tu último cambio de contraseña o que parezcan duplicadas → vuelve a intentar la autenticación. macOS te pedirá credenciales nuevas.

  • 5

    Revisa si hay errores de certificado o TLS

    Algunos fallos de auth en realidad son errores de TLS handshake mal reportados como "contraseña incorrecta". En Safari, haz clic en Show Details en cualquier advertencia de certificado → revisa el emisor y la fecha de expiración.

    Mac de trabajo: suele ser el proxy de SSL inspection de tu empresa con un root certificate expirado → IT necesita renovarlo.

    Mac personal: suele ser que macOS mismo necesita una actualización, o que un software de seguridad de terceros está haciendo su propio SSL scanning. Revisa también Keychain Access → keychain SystemCertificates por si hay algo expirado/no confiable.

  • 1

    Verifica las credenciales en un lugar que sepas que funciona

    # Test login via curl (e.g. check web portal response)
    curl -v -u username:password https://your-company-portal.com

    # Test Kerberos ticket (if using Active Directory)
    kinit username@DOMAIN.COM
    klist
  • 2

    Sincroniza el reloj de tu sistema

    # Check current time and NTP sync status
    timedatectl status

    # Enable automatic NTP sync
    sudo timedatectl set-ntp true

    # Force immediate sync
    sudo systemctl restart systemd-timesyncd
    timedatectl show-timesync --all

    Kerberos (en entornos corporativos de Active Directory) requiere que el reloj sea preciso dentro de 5 minutos respecto al servidor.

  • 3

    Vuelve a sincronizar tu app de autenticación MFA

    Google Authenticator: abre la app → menú de tres puntos → Time correction for codes → Sync now. Microsoft Authenticator: reinstalar + volver a añadir la cuenta es el fix más confiable si los códigos son rechazados aunque parezcan válidos.

  • 4

    Borra las credenciales guardadas del keyring

    # List and delete stale credentials (GNOME Keyring)
    sudo apt install seahorse -y
    seahorse

    # Or clear Kerberos ticket cache
    kdestroy

    # Clear NTLM/SMB cached credentials
    rm -rf ~/.local/share/keyrings/*.keyring

    En Seahorse (Passwords and Keys): Passwords → Login → elimina las entradas del sistema al que no puedes autenticarte.

  • 5

    Revisa si hay problemas de certificado o TLS

    # Test SSL/TLS handshake and certificate chain
    openssl s_client -connect your-server.com:443 -showcerts

    # Update CA certificates if corp root CA is expired
    sudo update-ca-certificates

    # Add a corporate root CA to the trusted store
    sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
    sudo update-ca-certificates
💡

Chequeo rápido: Si las mismas credenciales funcionan bien en tu teléfono pero fallan en tu laptop, el problema casi siempre es clock drift o credenciales cached específicamente en la laptop — empieza con los pasos 2 y 4.

Advertisement · 728×90

Preguntas Relacionadas

Respuestas rápidas para este problema

Primero verifica que tu contraseña sea correcta iniciando sesión directamente en el portal de tu empresa. Si tu cuenta usa MFA, asegúrate de que la hora de tu app de autenticación esté sincronizada. Los errores de autenticación también son causados por clock skew — activa "Set time automatically" en tu configuración de fecha/hora. Si tienes problemas específicamente con la VPN, revisa también nuestra guía de VPN.
Tres causas comunes y no tan obvias: (1) El reloj de tu sistema está desfasado más de 5 minutos, lo que hace que Kerberos y el MFA basado en TOTP rechacen credenciales válidas. (2) Tu dispositivo tiene credenciales cached desactualizadas guardadas en Windows Credential Manager que sobrescriben lo que escribes. (3) Un mismatch de certificado TLS/SSL entre tu PC y el servidor de autenticación se está reportando como un fallo de inicio de sesión. Revisa las tres antes de resetear tu contraseña.
Esto apunta al paso 5 — un problema de TLS/certificado en lugar de que tus credenciales sean incorrectas. Es común en redes corporativas que usan un proxy de SSL inspection; si el certificado de ese proxy expiró o no es confiable para tu dispositivo, cualquier inicio de sesión HTTPS puede fallar con un engañoso error de "authentication". Esto también se relaciona con nuestra guía de Sitio Web Bloqueado, que cubre las advertencias de certificado antes de las páginas de bloqueo.
🧑‍💻

¿Sigues sin poder entrar? Un técnico puede revisar lo que tú no puedes acceder.

Group Policy, los certificate stores, y los logs del identity provider a menudo necesitan acceso de admin a nivel de IT para diagnosticarse. Conéctate con un técnico verificado para soporte remoto.

Habla con un Técnico

Los problemas de autenticación a menudo se relacionan con estos.

Advertisement · 728×90