Los códigos de respaldo son lo que desearás haber tenido
Cuando configuras autenticación de dos factores, la mayoría de los servicios te dan un conjunto de códigos de respaldo de un solo uso. Estas son tus llaves de emergencia. Si tu teléfono se rompe, es robado, o borras accidentalmente tu aplicación autenticadora, los códigos de respaldo son cómo regresas.
Mucha gente pasa por alto este paso durante la configuración. Piensan que lo arreglarán más tarde, o toman una captura de pantalla de los códigos y olvidan dónde fue la imagen. Luego, seis meses más tarde, están bloqueados de su correo electrónico y enviando tickets de soporte.
No seas esa persona. Guardar códigos de respaldo toma dos minutos y puede ahorrarte horas de dolores de cabeza de recuperación.
Qué son realmente los códigos de respaldo
Los códigos de respaldo son cadenas pre-generadas de un solo uso (usualmente de 8-12 caracteres) que funcionan como sustituto de tu código TOTP. Cada código puede usarse exactamente una vez. La mayoría de los servicios te dan entre 5 y 10 de ellos.
Se generan al mismo tiempo que habilitas 2FA, y están vinculados a tu cuenta. No expiran a menos que regeneres un nuevo conjunto, lo cual invalida los viejos.
Piensa en ellos como llaves de casa de repuesto. No las usas todos los días, pero cuando necesitas una, realmente la necesitas.
Dónde almacenarlos
Hay algunos enfoques razonables, cada uno con compensaciones.
En un gestor de contraseñas
Esta es probablemente la opción más práctica para la mayoría de la gente. Si ya estás usando un gestor de contraseñas (1Password, Bitwarden, KeePass, etc.), agrega tus códigos de respaldo como una nota adjunta a la entrada de inicio de sesión relevante.
Por qué esto funciona: Tu gestor de contraseñas está cifrado, sincronizado entre dispositivos, y ya lo abres cuando inicias sesión en cosas. Los códigos están ahí cuando los necesitas.
El riesgo: Si pierdes acceso a tu gestor de contraseñas y tu autenticador al mismo tiempo, estás atascado. Esto es improbable si tu gestor de contraseñas usa un método de desbloqueo diferente (como una contraseña maestra o passkey) que tu aplicación autenticadora, pero vale la pena pensarlo.
Mitigación: Mantén al menos un método de respaldo fuera de tu gestor de contraseñas (como una copia impresa).
Impreso en papel, guardado en algún lugar seguro
Imprime tus códigos de respaldo y ponlos en algún lugar físicamente seguro: una caja fuerte en casa, un cajón cerrado, una caja a prueba de fuego. Algún lugar donde guardarías un pasaporte o acta de nacimiento.
Por qué esto funciona: El papel no puede ser hackeado remotamente. No necesita baterías ni conexión a internet. Seguirá siendo legible en diez años.
El riesgo: El papel puede quemarse, inundarse, o ser tirado por alguien que no sabe qué es. Tampoco es genial si necesitas tus códigos mientras viajas.
Mitigación: Etiqueta el claramente (pero no tan claramente que un desconocido sepa para qué son los códigos). Algo como “Códigos de recuperación de cuenta” está bien. No escribas las contraseñas asociadas junto a ellos.
En una unidad USB cifrada
Copia tus códigos de respaldo en un archivo de texto, ponlo en una unidad USB, y cifra la unidad (o al mínimo, cifra el archivo). Guarda la unidad en algún lugar seguro, como junto con tus copias impresas.
Por qué esto funciona: Obtienes una copia digital que es portátil y cifrada. Si necesitas viajar con tus códigos, puedes traer la unidad.
El riesgo: Las unidades USB fallan. También se pierden fácilmente porque son pequeñas. El cifrado solo funciona si recuerdas la contraseña. Y si eres el tipo de persona que tiene un cajón lleno de unidades USB misteriosas, buena suerte encontrando la correcta.
Mitigación: Etiqueta la unidad. Pruébala periódicamente para asegurarte de que aún funciona. Guarda la contraseña de cifrado en tu gestor de contraseñas (sí, esto crea una dependencia, pero es razonable si también tienes un respaldo impreso).
Dónde NO almacenarlos
Algunos lugares que parecen convenientes pero no son geniales:
- Un archivo de texto plano en tu escritorio. Cualquiera que obtenga acceso a tu computadora obtiene tus códigos. El malware puede leerlos. Probablemente borrarás accidentalmente el archivo durante una limpieza.
- Una captura de pantalla en tu carrete de fotos. Las bibliotecas de fotos de teléfono se sincronizan a la nube, aparecen en álbumes compartidos, y aparecen en lugares inesperados. No está cifrada.
- Un correo electrónico a ti mismo. Si alguien compromete tu correo, obtiene tus códigos de respaldo, lo cual es especialmente malo ya que el correo es usualmente la llave maestra para restablecer todo lo demás.
- Un post-it en tu monitor. Desearía que esto fuera obvio.
¿Cuántos métodos de respaldo deberías tener?
Dos es un buen número. Uno digital (gestor de contraseñas) y uno físico (copia impresa en un lugar seguro). Esto cubre los modos de falla principales: si la copia digital es inaccesible, tienes el papel; si el papel no está disponible, tienes la copia digital.
Ir más allá de dos agrega complejidad sin mucho beneficio a menos que estés protegiendo algo de valor inusualmente alto.
Regenera códigos cuando los uses
Cada vez que usas un código de respaldo, se consume. No funcionará de nuevo. Si recurriste a tus códigos, inicia sesión en el servicio y genera un nuevo conjunto. Luego actualiza todos los lugares donde almacenaste los viejos.
Algunos servicios te muestran cuántos códigos de respaldo te quedan. Verifica esto ocasionalmente. Si solo te quedan uno o dos, regenera.
Una rutina rápida para nuevas cuentas
Cada vez que habilitas 2FA en una cuenta nueva:
- Completa la configuración y confirma que tu autenticador funciona
- Copia los códigos de respaldo
- Pégalo en una nota en tu gestor de contraseñas
- Imprime una copia para tu respaldo físico
- Continúa con tu vida
Toma dos minutos. Establece esto como un hábito y nunca serás la persona desesperadamente buscando “bloqueado de cuenta teléfono perdido” a medianoche.
Si quieres probar tu configuración TOTP y asegurarte de que los códigos se están generando correctamente, puedes intentar 2fa.zip. Funciona en tu navegador y no envía nada a un servidor.