Autenticación de dos factores (2FA)
Lectura de aproximadamente 4 minutos
Última actualización: 2026-03-22
Qué es la autenticación de dos factores
La autenticación de dos factores (2FA - Two-Factor Authentication) es un mecanismo que refuerza la seguridad de las cuentas al requerir un factor de autenticación adicional además de la contraseña al iniciar sesión.
Los 3 factores de autenticación se clasifican en "conocimiento (contraseña, etc.)", "posesión (smartphone, etc.)" y "biometría (huella dactilar, etc.)". La autenticación de dos factores combina 2 de estos factores diferentes. La combinación más común es contraseña (conocimiento) + aplicación de autenticación del smartphone (posesión).
Incluso si la contraseña se filtra por credential stuffing o una brecha de datos, si la autenticación de dos factores está habilitada, el atacante no podrá iniciar sesión. Según una investigación de Google, incluso la 2FA basada en SMS puede prevenir el 96% de los secuestros de cuentas.
Tipos y niveles de seguridad de la autenticación de dos factores
La importancia de la resistencia al phishing
Al elegir el tipo de autenticación de dos factores, lo más importante a considerar es la resistencia al phishing.
La autenticación por SMS y TOTP pueden ser vulneradas si el usuario introduce el código en un sitio de phishing. Los atacantes realizan "phishing en tiempo real", retransmitiendo las entradas del usuario al sitio legítimo en tiempo real para eludir la 2FA. Esta técnica se ha automatizado con herramientas como Evilginx, reduciendo la barrera técnica.
En cambio, las llaves de seguridad FIDO2 y las passkeys verifican el dominio durante la autenticación, por lo que la autenticación no se completa en sitios de phishing. Para cuentas que requieren alta seguridad (correo electrónico, finanzas, cuentas de administrador, etc.), se recomienda encarecidamente utilizar métodos de autenticación con resistencia al phishing.
Consideraciones para la implementación
- Almacenamiento de códigos de recuperación: En caso de pérdida del dispositivo de autenticación, guarde los códigos de recuperación en un lugar seguro (impresos en papel y guardados en una caja fuerte, almacenados en un gestor de contraseñas, etc.). Sin medios de recuperación, no podrá acceder a su cuenta.
- Medios de autenticación de respaldo: Si utiliza una llave de seguridad como medio principal de autenticación, es recomendable tener una llave de repuesto o configurar TOTP como respaldo.
- Configurar en todas las cuentas: Configure 2FA en todas las cuentas importantes: correo electrónico, redes sociales, almacenamiento en la nube, servicios financieros, etc. La cuenta de correo electrónico debe protegerse con máxima prioridad, ya que se utiliza para restablecer contraseñas de otros servicios.
- Combinación con SSO: Si configura una 2FA robusta en el proveedor de SSO, todos los servicios vinculados quedarán protegidos.
Conceptos erróneos comunes
- La autenticación por SMS es suficientemente segura
- Los SMS pueden ser vulnerados por ataques de intercambio de SIM y phishing en tiempo real. Es mucho más seguro que no tener nada, pero para cuentas importantes se recomiendan métodos más robustos como TOTP o llaves de seguridad.
- Si configuro la autenticación de dos factores, puedo usar una contraseña simple
- La autenticación de dos factores es una capa de defensa adicional, no un sustituto de contraseñas débiles. La máxima seguridad se obtiene combinando una contraseña robusta con la autenticación de dos factores.
Diferencias entre autenticación por SMS y autenticación TOTP
Autenticación por SMS
Envía un código al número de teléfono. No requiere aplicación adicional y es fácil de usar, pero es vulnerable a ataques de intercambio de SIM. No funciona fuera de cobertura. Sin resistencia al phishing.
Autenticación TOTP
La aplicación de autenticación genera códigos dentro del dispositivo. No requiere conexión y funciona sin conexión. No se ve afectada por el intercambio de SIM. No tiene resistencia al phishing, pero es más segura que SMS.