Autenticación de dos factores (2FA) - La mejor defensa para tus cuentas

最終更新: 2026-03-02

この記事は約 5 分で読めます

Qué es la autenticación de dos factores (2FA)

La autenticación de dos factores (2FA) refuerza la seguridad de la cuenta al requerir una segunda forma de verificación además de tu contraseña.

Los "factores" de autenticación se dividen en tres categorías amplias:

  • Factor de conocimiento: algo que sabes (contraseña, PIN)
  • Factor de posesión: algo que tienes (smartphone, llave de seguridad)
  • Factor de inherencia: algo que eres (huella dactilar, reconocimiento facial)

La 2FA combina dos factores diferentes de estas categorías. La combinación más común es una contraseña (conocimiento) con un código de tu smartphone (posesión).

Por qué las contraseñas solas no son suficientes

La autenticación solo con contraseña conlleva los siguientes riesgos:

  • Ataques de phishing: páginas de inicio de sesión falsas roban tu contraseña
  • Filtraciones de datos: un servicio comprometido filtra tu contraseña
  • Ataques de fuerza bruta: herramientas automatizadas adivinan tu contraseña mediante prueba exhaustiva
  • Keyloggers: el malware registra tus pulsaciones de teclas
  • Ingeniería social: la manipulación psicológica te engaña para revelar tu contraseña

Con la 2FA activada, incluso si tu contraseña se ve comprometida, un atacante no puede iniciar sesión sin el segundo factor. Ten en cuenta que los ataques de phishing están evolucionando para dirigirse también a los códigos de 2FA, por lo que mantenerse vigilante sigue siendo importante.

Tipos de 2FA

Autenticación por SMS

Se envía un código de 6 dígitos por SMS a tu número de teléfono registrado al iniciar sesión. Aunque es el método más ampliamente adoptado, es la forma más débil de 2FA debido a riesgos como los ataques de intercambio de SIM (secuestro del número de teléfono) y la interceptación de SMS.

TOTP (contraseña de un solo uso basada en tiempo)

Aplicaciones como Google Authenticator, Authy y Microsoft Authenticator generan un nuevo código de 6 dígitos cada 30 segundos. TOTP es más seguro que SMS y funciona sin conexión.

TOTP funciona haciendo que tanto el servidor como la aplicación generen códigos a partir de una clave secreta compartida y la hora actual usando el mismo algoritmo. No se necesita comunicación de red, eliminando el riesgo de interceptación.

FIDO2/WebAuthn (llaves de seguridad)

Este método utiliza llaves de seguridad físicas como YubiKey o la autenticación biométrica de tu smartphone. Ofrece la mayor resistencia contra ataques de phishing. Para una comprensión más profunda, un libro de referencia sobre autenticación FIDO2 es un recurso valioso.

Una ventaja clave de FIDO2 es que la autenticación está vinculada al dominio. No funcionará en un sitio falso, previniendo fundamentalmente los ataques de phishing.

Notificaciones push

Se envía una notificación push a tu smartphone al iniciar sesión, y simplemente tocas "Aprobar" para autenticarte. Aunque es conveniente, es vulnerable a los "ataques de fatiga de MFA" - donde un atacante te inunda con solicitudes de aprobación esperando un toque accidental.

Cómo configurar la 2FA

Aquí tienes una descripción general de cómo configurar la 2FA en los principales servicios:

  1. Abre la página de configuración de seguridad del servicio
  2. Busca "Autenticación de dos factores" o "Verificación en dos pasos"
  3. Elige un método de autenticación (se recomienda la aplicación TOTP)
  4. Escanea el código QR con tu aplicación TOTP
  5. Ingresa el código mostrado para completar la configuración
  6. Guarda tus códigos de recuperación en un lugar seguro

La importancia de los códigos de recuperación

Los códigos de recuperación (códigos de respaldo) emitidos durante la configuración de 2FA son tu último recurso para acceder a tu cuenta si pierdes tu smartphone. Anótalos y guárdalos de forma segura, o guárdalos en tu gestor de contraseñas.

Métodos de 2FA recomendados

Listados de mayor a menor seguridad:

  1. Llave de seguridad FIDO2 (la más fuerte): resistente al phishing
  2. Aplicación TOTP (recomendada): funciona sin conexión, sin riesgo de interceptación
  3. Notificación push (buena): fácil de usar, pero cuidado con los ataques de fatiga de MFA
  4. Autenticación por SMS (mínima): mucho mejor que nada, pero conlleva riesgo de intercambio de SIM

Independientemente del método, activar la 2FA mejora drásticamente la seguridad de tu cuenta. Si aún no la has configurado en alguno de tus servicios, ahora es el momento. Explorar libros sobre autenticación multifactor puede ayudarte a comprender la gama completa de opciones disponibles.

Resumen

Combina la 2FA con una seguridad de contraseña sólida para reforzar la protección de tu cuenta. Saber cómo manejar los ataques de phishing y las respuestas a filtraciones de datos también ayuda cuando tus credenciales son el objetivo.

Usa IP Check-san para verificar la puntuación de seguridad de tu navegador y comprobar la seguridad de tu entorno de conexión.

Para las definiciones de los términos técnicos utilizados en este artículo, visita nuestro glosario.

Compartir
B!

Artículos relacionados

Seguridad de contraseñas - Cómo crear contraseñas fuertes y gestionarlas

Aprende qué hace fuerte a una contraseña, cómo usar gestores de contraseñas, cómo verificar filtraciones y errores comunes que debes evitar.

¿Qué son las Passkeys? Cómo funciona la autenticación sin contraseña

Comprende cómo funciona la autenticación con passkeys basada en FIDO2, en qué se diferencia de las contraseñas y cómo configurarla en los servicios compatibles.

Ataques de credential stuffing - El peligro de reutilizar contraseñas

Aprende cómo los ataques de credential stuffing explotan credenciales filtradas y medidas prácticas para protegerte de esta amenaza creciente.