Errores de Autenticación
Fallos de inicio de sesión, problemas de MFA, y errores de credenciales en VPN, apps, o network shares
⚠ Síntomas comunes
- "Authentication failed", "Invalid credentials", o "Access denied" al iniciar sesión
- Los códigos MFA se generan correctamente pero igual son rechazados
- Funciona en un dispositivo pero no en otro con las mismas credenciales
- Empieza a fallar de repente después de un cambio de contraseña o una actualización de política
-
1
Verifica tus credenciales en un lugar que sepas que funciona
Antes de cambiar configuraciones, inicia sesión en la cuenta desde el navegador, no desde la app.
Cuenta personal (Google, Microsoft, banco, etc.): usa la página de inicio de sesión del proveedor → flujo de recuperación de contraseña si hace falta.
Cuenta de trabajo: inicia sesión en el portal web/webmail de la empresa en su lugar → si eso falla, usa el reset self-service del proveedor (personal) o contacta a IT (trabajo). -
2
Sincroniza el reloj de tu sistema — el clock skew causa fallos de autenticación
Kerberos y el MFA basado en TOTP necesitan que la hora del sistema sea precisa dentro de 5 min respecto al servidor — 6 min de drift rechaza credenciales válidas. En Windows, abre un Command Prompt elevado → ejecuta:
w32tm /resync /forceEn Mac: System Settings → General → Date & Time → activa "Set automatically".
-
3
Vuelve a registrar tu app de autenticación MFA
Códigos MFA rechazados aunque parezcan válidos = el reloj de la app de autenticación se ha desincronizado. Google Authenticator: Settings → Time Correction for Codes → Sync Now. Microsoft Authenticator: se sincroniza automáticamente, pero reinstalar + volver a añadir la cuenta es el fix más confiable.
-
4
Borra las credenciales guardadas (cached) de Windows Credential Manager
Las credenciales cached desactualizadas sobrescriben lo que escribes al iniciar sesión. Abre Control Panel → Credential Manager → Windows Credentials → elimina las entradas del sistema al que estás accediendo (busca el nombre del server/app) → vuelve a intentar la autenticación.
-
5
Revisa si hay problemas de certificado o TLS
Algunos fallos de auth en realidad son fallos de TLS handshake mal reportados como errores de credenciales — revisa los detalles del error de la app por si hay advertencias de certificado expirado/no confiable.
Dispositivo de trabajo: suele ser un root certificate expirado en el proxy de SSL inspection de tu empresa → IT necesita actualizarlo.
Dispositivo personal: suele ser que Windows o el antivirus necesitan una actualización, o que el antivirus está haciendo su propio SSL scanning → actualiza ambos, o desactiva temporalmente el HTTPS scanning del antivirus.
-
1
Verifica tus credenciales en un lugar que sepas que funciona
Abre Safari → inicia sesión directamente desde el navegador, no desde la app.
Cuenta personal (Google, Microsoft, banco, etc.): usa la página de inicio de sesión del proveedor → flujo de recuperación de contraseña si hace falta.
Cuenta de trabajo: inicia sesión en el portal web/webmail de la empresa en su lugar → si eso falla, usa el reset self-service del proveedor (personal) o la herramienta self-service de la empresa/IT (trabajo) — antes de hacer cualquier cambio local. -
2
Sincroniza el reloj de tu sistema — el clock drift causa fallos de autenticación
Kerberos y el MFA basado en TOTP necesitan que el reloj de tu Mac sea preciso dentro de 5 min respecto a la hora del servidor. Activa System Settings → General → Date & Time → Set time and date automatically → para una resincronización inmediata, abre Terminal y ejecuta:
sudo sntp -sS time.apple.com -
3
Vuelve a registrar tu app de autenticación MFA
Códigos MFA rechazados aunque parezcan correctos = el reloj de la app de autenticación se ha desincronizado. Google Authenticator: Settings → Time Correction for Codes → Sync Now.
Microsoft Authenticator: se sincroniza automáticamente, pero reinstalar + volver a añadir tu cuenta de trabajo mediante el portal de registro MFA de tu empresa es el fix más confiable para rechazos persistentes. -
4
Elimina las credenciales desactualizadas de macOS Keychain
macOS guarda las contraseñas/tokens en Keychain — las entradas viejas de antes de un cambio de contraseña sobrescriben silenciosamente lo que escribes al iniciar sesión.
Abre Keychain Access (Spotlight → Keychain Access) → busca el hostname del server/nombre de la app/dominio de la empresa → elimina las entradas anteriores a tu último cambio de contraseña o que parezcan duplicadas → vuelve a intentar la autenticación. macOS te pedirá credenciales nuevas. -
5
Revisa si hay errores de certificado o TLS
Algunos fallos de auth en realidad son errores de TLS handshake mal reportados como "contraseña incorrecta". En Safari, haz clic en Show Details en cualquier advertencia de certificado → revisa el emisor y la fecha de expiración.
Mac de trabajo: suele ser el proxy de SSL inspection de tu empresa con un root certificate expirado → IT necesita renovarlo.
Mac personal: suele ser que macOS mismo necesita una actualización, o que un software de seguridad de terceros está haciendo su propio SSL scanning. Revisa también Keychain Access → keychain System → Certificates por si hay algo expirado/no confiable.
-
1
Verifica las credenciales en un lugar que sepas que funciona
# Test login via curl (e.g. check web portal response)
curl -v -u username:password https://your-company-portal.com
# Test Kerberos ticket (if using Active Directory)
kinit username@DOMAIN.COM
klist -
2
Sincroniza el reloj de tu sistema
# Check current time and NTP sync status
timedatectl status
# Enable automatic NTP sync
sudo timedatectl set-ntp true
# Force immediate sync
sudo systemctl restart systemd-timesyncd
timedatectl show-timesync --allKerberos (en entornos corporativos de Active Directory) requiere que el reloj sea preciso dentro de 5 minutos respecto al servidor.
-
3
Vuelve a sincronizar tu app de autenticación MFA
Google Authenticator: abre la app → menú de tres puntos → Time correction for codes → Sync now. Microsoft Authenticator: reinstalar + volver a añadir la cuenta es el fix más confiable si los códigos son rechazados aunque parezcan válidos.
-
4
Borra las credenciales guardadas del keyring
# List and delete stale credentials (GNOME Keyring)
sudo apt install seahorse -y
seahorse
# Or clear Kerberos ticket cache
kdestroy
# Clear NTLM/SMB cached credentials
rm -rf ~/.local/share/keyrings/*.keyringEn Seahorse (Passwords and Keys): Passwords → Login → elimina las entradas del sistema al que no puedes autenticarte.
-
5
Revisa si hay problemas de certificado o TLS
# Test SSL/TLS handshake and certificate chain
openssl s_client -connect your-server.com:443 -showcerts
# Update CA certificates if corp root CA is expired
sudo update-ca-certificates
# Add a corporate root CA to the trusted store
sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates
Chequeo rápido: Si las mismas credenciales funcionan bien en tu teléfono pero fallan en tu laptop, el problema casi siempre es clock drift o credenciales cached específicamente en la laptop — empieza con los pasos 2 y 4.