Como: Activar la autenticación de dos factores

La autenticación de dos factores (o "2FA", por sus siglas en inglés) es una forma de hacer más seguras sus cuentas en línea añadiendo un requisito de prueba adicional ("factores") junto a su contraseña cuando inicia sesión. Puede ser algo que sepas (como una contraseña o un PIN), algo que tengas (como una clave de seguridad o un teléfono móvil), o algo que esté unido a ti o sea inseparable de ti (como tu huella dactilar o tu rostro). 

Probablemente ya utilices 2FA en algunos aspectos de tu vida. Cuando utilizas un cajero automático para sacar dinero, tienes que tener tu tarjeta bancaria física (algo que tienes) y tu PIN (algo que sabes). La 2FA para servicios en línea utiliza la misma lógica básica. 

¿Cómo funciona la 2FA en Internet?  anchor link

Muchos servicios en línea -incluidos Facebook (así como Instagram y WhatsApp), Apple, Google, X, Reddit, WeChat, Telegram y TikTok- ofrecen 2FA como alternativa a la autenticación solo con contraseña. Una vez activada, se te pedirá una contraseña y un método secundario de autenticación.  

Este método secundario puede ser uno de varios: un mensaje SMS, un código rotativo generado por una app autenticadora, una notificación push o un dispositivo USB (llamado llave de seguridad). 

Una aplicación de autenticación genera códigos rotatorios de seis dígitos específicos para cada sitio web que hayas registrado. Muchas empresas ofrecen aplicaciones de autenticación gratuitas, como Google Authenticator y Authy. Algunos gestores de contraseñas también funcionan como aplicaciones de autenticación, así que no hay razón para que tengas que pagar por una. Las aplicaciones 2FA suelen utilizar contraseñas de un solo uso basadas en el tiempo (TOTP), contraseñas numéricas únicas generadas por un algoritmo. Esto significa que son de un solo uso y válidas durante un breve periodo. De hecho, la mayoría de las aplicaciones 2FA muestran una cuenta atrás, normalmente de 30 segundos, que indica cuándo cambiará el código. En estos casos, el segundo factor es tu teléfono móvil, algo que (normalmente) posees.  

También es posible que encuentres la "2FA basada en notificaciones push", que es común con empleadores y servicios como Duo u Okta, pero también es posible que ya la hayas utilizado con una cuenta de Google, Apple o Microsoft. También es popular entre los servicios de juegos, como Steam y Blizzard. Con la 2FA basada en push, el servicio puede enviar un aviso a uno de tus dispositivos durante el inicio de sesión. Este aviso le indicará que alguien (posiblemente usted) está intentando iniciar sesión, y una ubicación estimada para el intento de inicio de sesión. A continuación, puedes aprobar o rechazar el intento.  

Un segundo factor también puede ser otro dispositivo físico que se compra por separado, llamado llave de seguridad. Las llaves de seguridad se conectan al ordenador o al teléfono mediante USB, o se conectan a los teléfonos de forma inalámbrica con NFC. Al igual que las aplicaciones antes mencionadas, se registran en un sitio web y no se puede acceder a él sin facilitar la clave. Las claves de seguridad son la forma más potente de 2FA, pero no están tan extendidas en los sitios web como otras opciones. 

Cuando optes por usar 2FA, tendrás que introducir tu contraseña y, a continuación, el segundo factor —el código enviado por SMS o generado en tu aplicación 2FA, o una clave de seguridad— para iniciar sesión en tu cuenta. 

¿Por qué debo activar la 2FA?  anchor link

2FA le ofrece una mayor seguridad en su cuenta. Incluso si alguien consiguiera su contraseña, no podría acceder a su cuenta a menos que también tuviera su teléfono móvil u otro medio secundario de autenticación. Esto es importante, ya que las filtraciones de datos con las contraseñas de los usuarios son habituales. Todo el tiempo se producen filtraciones de sitios web que revelan la contraseña y el nombre de usuario de una persona. El 2FA no es una alternativa al uso de contraseñas fuertes y únicas, pero puede proporcionar una pequeña capa extra de seguridad en caso de que alguien haya dado con oro introduciendo tu nombre de usuario y contraseña en un sitio diferente. 

Además, la 2FA con clave de seguridad y la autenticación con clave de paso son efectivamente a prueba de suplantación de identidad, porque la clave no funcionará en un sitio para el que no esté registrada. Pero este no es el caso de otras formas de 2FA, como los códigos generados en aplicaciones o a partir de mensajes SMS. En los últimos años, los ataques de phishing se han sofisticado lo suficiente como para pedir códigos 2FA, contra los que los SMS y las aplicaciones autenticadoras no tienen protección. 

¿Hay desventajas en el uso de la 2FA?  anchor link

Aunque el 2FA ofrece un medio de autenticación más seguro, aumenta el riesgo de que te bloqueen la cuenta. Por ejemplo, si pierdes el teléfono, cambias de número o viajas a un país sin activar el roaming, puedes perder el acceso a tus cuentas. Lo mismo ocurre con las claves de seguridad, que son más fáciles de perder que un teléfono. 

Muchos servicios 2FA ofrecen una breve lista de códigos de "copia de seguridad" o "recuperación" de un solo uso. Cada código funciona una vez para entrar en tu cuenta, y después ya no se puede usar. Si te preocupa perder el acceso a tu teléfono u otro dispositivo de autenticación, imprime estos códigos y llévalos contigo. Seguirán funcionando como "algo que tienes", siempre que hagas una sola copia y la guardes cerca. Recuerda mantener los códigos en un lugar seguro y asegúrate de que nadie más los vea o tenga acceso a ellos en ningún momento. Si utilizas o pierdes tus códigos de copia de seguridad, puedes generar una nueva lista la próxima vez que puedas acceder a tu cuenta. 

Algunas aplicaciones móviles 2FA resuelven este problema ofreciendo la opción de hacer una copia de seguridad de la información que genera los códigos de un solo uso. Así, si pierdes el teléfono, puedes hacer una copia de seguridad. Para la mayoría de la gente, hacer una copia de seguridad de sus códigos de autenticación es una buena idea. Pero puede que prefieras no hacer copias de seguridad de los códigos de autenticación si te preocupa la seguridad del servicio en el que los guardas y estás seguro de que no perderás o romperás tu teléfono. Si los activas, comprueba la documentación de la aplicación para asegurarte de que utiliza el cifrado de extremo a extremo para esas copias de seguridad.  

La 2FA por SMS es mejor que nada, pero puede plantear problemas porque la mensajería SMS no es muy segura. Puede que un atacante sofisticado que tenga acceso a la red telefónica (como una agencia de inteligencia o una operación del crimen organizado) intercepte y use los códigos enviados por SMS. También se dan casos en que un atacante menos sofisticado (como un particular) ha conseguido desviar llamadas o mensajes de texto destinados a un número propio, o ha accedido a servicios de compañías telefónicas que muestran los mensajes enviados a un número de teléfono sin tenerlo. SIMEl intercambio de también es un problema potencial, que ocurre cuando alguien transfiere tu número de teléfono a un dispositivo que controla, engañando a tu operador de telefonía móvil (o siendo un infiltrado). Una vez hecho esto, pueden acceder a cualquier código 2FA por SMS o, peor aún, restablecer la contraseña por SMS. La Comisión Federal de Comercio ha intentado alejar a las empresas de la 2FA por SMS. 

Cuando sea posible, opta por utilizar una aplicación de autenticación, una contraseña o una clave de seguridad en lugar de SMS. También deberías consultar a tu operador de telefonía móvil si ofrece alguna herramienta de protección contra el intercambio de SIM. Puede ser un PIN o una contraseña verbal que tengas que dar cuando llames al servicio de atención al cliente para hacer cambios. 

Además, utilizar una 2FA basada en SMS significa que puedes estar dando más información a un servicio con la que no te sientes cómodo. Supongamos que utilizas TikTok y te registraste utilizando un seudónimo . Incluso si evitas dar a TikTok tu información de identificación, e incluso si accedes al servicio solo a través de Tor o una VPN, si activas SMS 2FA, TikTok tendrá un registro de tu número de móvil. Eso significa que, si es obligado por un tribunal, TikTok puede vincular su cuenta a usted a través de su número de teléfono. Puede que esto no sea un problema para ti, especialmente si ya usas tu nombre legal en un servicio determinado, pero si mantener tu anonimato es importante, piénsatelo dos veces antes de usar SMS 2FA. 

Incluso después de activar 2FA, asegúrese de seguir utilizando un gestor de contraseñas para crear contraseñas fuertes y únicas. Consulte nuestra guía para crear contraseñas seguras para obtener consejos. 

¿Qué pasa con las Passkeys?  anchor link

Las claves de acceso son una nueva opción para iniciar sesión que proporciona toda la seguridad de la 2FA, con muchas menos complicaciones. Una clave de acceso son aproximadamente 100-1400 bytes de datos aleatorios, generados en tu dispositivo (como tu teléfono, portátil o llave de seguridad) con el propósito de iniciar sesión en un sitio web específico. No es ni una contraseña ni un 2FA, pero puede sustituir funcionalmente a ambos. 

En lugar de pedirte que introduzcas tu contraseña y un código, las passkeys incorporan un segundo factor. Cada vez que utilices la contraseña para iniciar sesión, es posible que el navegador o el sistema operativo te pidan que vuelvas a introducir el PIN de desbloqueo del dispositivo. Si utilizas una huella dactilar o el reconocimiento facial para desbloquear el dispositivo, es posible que el navegador te pida que vuelvas a introducir tu huella dactilar o que muestres tu cara para confirmar que eres tú quien te pide que inicies sesión. Esto supone dos factores de autenticación: el dispositivo que almacena tu clave de acceso es algo que tienes, y va acompañado de algo que sabes (el PIN) o de algo que eres (una huella dactilar o un rostro).  

Si ya utilizas 2FA en un sitio determinado, una clave de acceso te resultará mucho más cómoda y puede ser más segura. Los métodos 2FA por SMS o aplicación de autenticación son vulnerables a los ataques de phishing, ya que un sitio falso puede pedirte el código de un solo uso y pasarlo al sitio real junto con tu contraseña falsificada. Las claves de acceso son más seguras que los SMS o las aplicaciones de autenticación 2FA porque no son vulnerables a la suplantación de identidad. Tu navegador sabe exactamente a qué sitio corresponde cada clave y no se deja engañar por sitios falsos. 

¿Cómo puedo activar 2FA?  anchor link

Nota: si aún no usas un gestor de contraseñas y has empezado a usar contraseñas únicas para cada sitio, hazlo primero. Usar contraseñas únicas para cada sitio ayuda enormemente por sí solo. 

La activación de la 2FA difiere de una plataforma a otra, al igual que la terminología utilizada. Una lista extensa de sitios que soportan 2FA está disponible en https://2fa.directory/. El plan de seguridad de cada uno tiene necesidades diferentes, y ni siquiera todos los sitios web te ofrecerán opciones para diferentes formas de 2FA, pero cuando tengas el lujo de elegir, piensa en cada tipo de 2FA en este orden:  

• Las claves de acceso son sólidas y fáciles de usar (cuando funcionan correctamente), pero siguen siendo una tecnología nueva que no siempre se ofrece y que, si no se implementa correctamente, puede causar problemas en el proceso de inicio de sesión que resultan frustrantes de solucionar. 
• Las llaves de seguridad son muy fuertes, pero su uso puede resultar molesto, ya que siempre hay que llevar la llave física encima. 
• La autenticación basada en notificaciones push proporciona una seguridad media y es fácil de usar, pero sólo está disponible para un pequeño número de servicios web y, como no está estandarizada, puede significar que acabes con un montón de aplicaciones de autenticación diferentes en tu teléfono. 
• La autenticación mediante aplicaciones Authenticator/TOTP es muy común hoy en día, y proporciona un nivel medio de seguridad, pero puede ser molesto copiar/pegar códigos entre aplicaciones, especialmente en dispositivos móviles.
• El SMS proporciona el nivel más bajo de seguridad, puede ser molesto de usar en algunas circunstancias (o imposible si no tienes servicio móvil), pero sigue siendo mejor que nada si es la única opción que se ofrece. 

Una vez que hayas hurgado en la configuración de la cuenta y hayas encontrado la opción de activar la 2FA, a menudo tendrás que dar un paso más para finalizar el proceso. El funcionamiento también depende del tipo de 2FA que utilices y del propio sitio web, pero normalmente es así:  

• Si eliges utilizar una clave de acceso, el sitio creará y almacenará una clave de acceso en el dispositivo en el que lo hagas (como tu teléfono o portátil). Deberás tener ese dispositivo específico a mano para iniciar sesión con esa clave, aunque algunos gestores de contraseñas sincronizarán la clave entre dispositivos. Muchos servicios seguirán exigiéndote un nombre de usuario y una contraseña, por lo que es posible que, de momento, tengas que utilizar otra forma de 2FA. 
• Si optas por una clave de seguridad, tendrás que insertar la clave, confirmar que quieres crear una credencial (depende de la propia clave, pero normalmente significa tocar la clave o pulsar un botón en ella) y luego seguir las instrucciones para terminar de vincularla a tu cuenta. En cuanto a sitios web se requiere una segunda forma de 2FA como respaldo cuando utilizas una clave de seguridad, quizá tengas que configurarla primero.
• Si utilizas una aplicación de autenticación móvil, tendrás que escanear un código QR en la pantalla de tu ordenador con tu teléfono. A continuación, tu teléfono empezará a generar códigos rotatorios y tendrás que introducir uno de ellos para demostrar que has completado el proceso correctamente. 
• Si activas el SMS, recibirás un código que deberás teclear para finalizar el proceso de activación de 2FA. 

El proceso de habilitar la 2FA puede ser desalentador al principio, pero puedes hacerlo más fácil dividiéndolo en proyectos más pequeños.  

Empieza por tus cuentas de correo electrónico. Como la mayoría de los servicios permiten restablecer la contraseña por correo electrónico, cualquiera que se haga con tu dirección puede restablecerla para acceder a otros servicios. A continuación, configúralo para cualquier servicio que haga copias de seguridad de tus archivos, como una cuenta de Apple, Google o Microsoft. Después, las redes sociales y las aplicaciones de comunicación deberían ser las siguientes en tu lista de prioridades. A partir de ahí, puedes marcar la lista en el sitio del directorio 2FA para buscar los sitios web que utilizas.