guide

Cómo funciona la autenticación de dos factores: una guía para principiantes

6 min de lectura

Las contraseñas ya no son suficientes

Probablemente hayas escuchado esto antes, y es cierto. Las contraseñas, por sí solas, son una forma débil de proteger una cuenta.

Las personas las reutilizan en diferentes sitios. Eligen unas que son fáciles de adivinar. Las filtraciones de datos filtran millones de credenciales a la vez. Y los ataques de phishing engañan a las personas para que entreguen sus contraseñas voluntariamente.

La autenticación de dos factores (2FA) existe porque incluso una buena contraseña puede ser comprometida. La idea es sencilla: requerir una segunda prueba antes de conceder acceso.

Algo que sabes, algo que tienes

Los factores de autenticación se dividen en tres categorías:

  • Algo que sabes - una contraseña, PIN, o respuesta a una pregunta de seguridad
  • Algo que tienes - un teléfono, una llave de hardware, una aplicación autenticadora
  • Algo que eres - una huella dactilar, escaneo facial, u otra biométrica

El inicio de sesión estándar usa un factor: tu contraseña (algo que sabes). La autenticación de dos factores agrega un segundo, usualmente algo que tienes. Así que incluso si alguien roba tu contraseña, no puede entrar sin también tener tu dispositivo físico.

Esa es toda la concepto. Dos pruebas separadas, de dos categorías separadas.

Tipos de 2FA

No todos los segundos factores funcionan de la misma manera. Aquí están los más comunes.

Códigos SMS

El servicio envía un mensaje de texto con un código numérico a tu teléfono. Lo escribes para completar el inicio de sesión. Esta es la forma de 2FA más ampliamente disponible y la más fácil de configurar, ya que solo necesitas un número de teléfono.

La desventaja es que SMS tiene debilidades de seguridad conocidas. Los mensajes de texto pueden ser interceptados, y los atacantes pueden secuestrar números de teléfono a través del intercambio de SIM. Aún es mejor que no tener 2FA, pero hay opciones más fuertes.

Aplicaciones autenticadoras (TOTP)

Aplicaciones como Google Authenticator, Authy, o 1Password generan códigos temporales en tu dispositivo. Estos códigos cambian cada 30 segundos y se calculan usando un secreto compartido y la hora actual. Sin mensaje de texto, sin conexión de red necesaria.

Esto se llama TOTP, o Contraseña de Un Solo Uso Basada en Tiempo. Es más seguro que SMS porque los códigos nunca viajan por una red. Se generan y usan localmente. Si quieres entender la mecánica, hay una explicación detallada en ¿Qué es TOTP?.

Llaves de seguridad de hardware

Dispositivos físicos como una YubiKey o una llave Google Titan se conectan al puerto USB de tu computadora (o se conectan vía NFC o Bluetooth). Cuando se te solicita durante el inicio de sesión, tocas la llave para autenticarte.

Las llaves de hardware se consideran la forma más fuerte de 2FA. Son resistentes al phishing porque la llave se comunica directamente con el sitio web usando protocolos criptográficos. Un atacante necesitaría robar físicamente tu llave para usarla.

La compensación es el costo (típicamente $25-$50 por llave) y la necesidad de llevar el dispositivo contigo.

Notificaciones push

Algunos servicios envían una notificación push a tu teléfono pidiéndote que apruebes o niegues un intento de inicio de sesión. Tocas “Aprobar” y entras. Microsoft Authenticator y Duo usan este enfoque.

Es conveniente, pero la 2FA basada en push ha sido objetivo de ataques de “fatiga MFA”, donde un atacante activa repetidamente intentos de inicio de sesión hasta que el usuario aprueba uno solo para detener las notificaciones. Algunas implementaciones ahora requieren que ingreses un número que aparece en pantalla para mitigar esto.

Por qué importa la 2FA

Los números hacen un caso bastante claro. Google reportó que agregar cualquier forma de 2FA bloquea el 100% de los ataques automatizados de bots, el 99% de los ataques de phishing masivos, y el 66% de los ataques dirigidos. Microsoft encontró resultados similares: las cuentas con 2FA habilitada tienen un 99,9% menos de probabilidades de ser comprometidas.

Estas no son afirmaciones de marketing de proveedores de seguridad. Se basan en datos de miles de millones de intentos de inicio de sesión en cuentas reales.

Incluso si usas una contraseña fuerte y única para cada cuenta (y la mayoría de las personas no lo hacen), la 2FA proporciona una red de seguridad. Tu contraseña puede aparecer en una filtración, ser capturada por un keylogger, o filtrarse a través de un sitio de phishing. El segundo factor impide que el atacante realmente entre.

Cómo configurarla

Configurar 2FA varía ligeramente según el servicio, pero el proceso general es el mismo:

  1. Ve a la configuración de seguridad de tu cuenta
  2. Busca “Autenticación de dos factores”, “Verificación en dos pasos”, o “Autenticación multifactor”
  3. Elige tu método (se recomienda la aplicación autenticadora)
  4. Si usas una aplicación autenticadora, escanea el código QR que el servicio te muestra
  5. Ingresa el código de tu aplicación para confirmar que funciona
  6. Guarda los códigos de respaldo que proporciona el servicio, en algún lugar seguro y separado de tu contraseña

Todo el proceso toma alrededor de un minuto por cuenta.

Qué cuentas priorizar

Probablemente tengas docenas de cuentas en línea. Comienza con las que más importan:

  • Correo electrónico (si alguien entra a tu correo, puede restablecer contraseñas para todo lo demás)
  • Servicios bancarios y financieros
  • Almacenamiento en la nube (Google Drive, iCloud, Dropbox)
  • Cuentas de redes sociales
  • Gestor de contraseñas (si el tuyo soporta 2FA, y debería)

Inquietudes comunes

“¿Qué pasa si pierdo mi teléfono?” Esta es la preocupación más común. Para eso son los códigos de respaldo. Cuando configuras 2FA, el servicio te da un conjunto de códigos de recuperación de un solo uso. Imprímelos o guárdalos en una ubicación segura. Algunas aplicaciones autenticadoras también ofrecen respaldo en la nube.

“¿No es molesto?” Un poco. Iniciar sesión toma unos 10 segundos adicionales. La mayoría de los servicios recuerdan tu dispositivo durante 30 días, así que no necesitarás el código cada vez. La inconveniencia es menor comparada con lidiar con una cuenta comprometida.

“No soy lo suficientemente importante para ser objetivo.” La mayoría de las filtraciones de cuentas no son dirigidas. Son automatizadas. Los atacantes compran listas de credenciales filtradas y las prueban en miles de sitios. La 2FA detiene estos ataques masivos en frío.

Comienza

Si has estado posponiendo esto, elige una cuenta ahora mismo, tu correo es un buen lugar para empezar, y activa la 2FA. El proceso es rápido, y reducirás significativamente tu riesgo.

Si quieres probar generar códigos TOTP antes de configurar nada, puedes experimentar con 2fa.zip. Funciona en tu navegador, no almacena nada en un servidor, y te da una idea de cómo funcionan los códigos autenticadores.

Protege tus cuentas con autenticación de dos factores

Genera códigos TOTP al instante, directamente en tu navegador.

Prueba nuestro Generador de Códigos 2FA Gratuito

Publicaciones Relacionadas

Cómo almacenar códigos de respaldo de 2FA de forma segura

Tus códigos de respaldo son tu red de seguridad. Aquí está cómo almacenarlos para que estén disponibles cuando los necesites y seguros de cualquier otra…

Leer más