Guía de configuración de la autenticación en dos pasos
Lectura de 10 min aprox.
Por muy segura que sea tu contraseña, existen métodos de ataque que una contraseña por sí sola no puede prevenir. Si tu contraseña es robada mediante una estafa de phishingo se filtra de la base de datos de un servicio, la fortaleza de la contraseña pierde todo sentido. Una medida eficaz contra estos riesgos es la "autenticación en dos pasos". Este artículo explica cómo funciona la autenticación en dos pasos, cómo configurarla, compara los distintos métodos y analiza cómo combinarla con contraseñas para reforzar la seguridad.
Limitaciones de las contraseñas por sí solas
Incluso si generas una contraseña con más de 128 bits de entropía usando el medidor de fortaleza de passtsuku.com, la fortaleza de la contraseña por sí sola no puede defenderte contra los siguientes tipos de ataques.
- Ataques de phishing: Redirigir a los usuarios a páginas de inicio de sesión falsas para que introduzcan sus contraseñas
- Keyloggers: Malware que registra las pulsaciones del teclado y roba contraseñas
- Filtraciones del servidor: La base de datos del proveedor de servicios es hackeada y las contraseñas se filtran
- Ingeniería social: Explotar vulnerabilidades psicológicas humanas para obtener contraseñas
Lo que estos ataques tienen en común es que explotan la debilidad estructural de depender de un solo factor - la contraseña - para la autenticación. Cuando la autenticación depende de un solo factor, toda la cuenta queda vulnerable en el momento en que ese factor se ve comprometido. Según el informe de seguridad de Microsoft de 2024, las cuentas con autenticación en dos pasos tienen un 99,9% menos de riesgo de acceso no autorizado en comparación con las cuentas que solo usan contraseña. En 2025, esta tendencia continúa, y con el aumento de los ataques de phishing potenciados por IA, la importancia de la autenticación en dos pasos ha crecido aún más.
El principio detrás de esta cifra es simple. Para acceder a una cuenta, un atacante debe lograr simultáneamente robar la contraseña y obtener un dispositivo físico o falsificar datos biométricos - tipos de ataques completamente diferentes - lo que aumenta exponencialmente la dificultad. Esta es la esencia de la "defensa en profundidad", un concepto fundamental en el mundo de la seguridad.
¿Qué es la autenticación en dos pasos?
La autenticación en dos pasos (2FA: Two-Factor Authentication) es un mecanismo que requiere un factor de autenticación adicional además de la contraseña al iniciar sesión. Los factores de autenticación se clasifican en tres categorías principales.
- Factor de conocimiento: Información que solo el usuario conoce (contraseñas, códigos PIN, preguntas de seguridad)
- Factor de posesión: Algo que solo el usuario posee (smartphone, llave de seguridad, tarjeta IC)
- Factor biométrico: Características físicas del usuario (huella dactilar, rostro, iris)
La autenticación en dos pasos combina dos factores de diferentes categorías. Por ejemplo, una combinación común es una contraseña (factor de conocimiento) y una aplicación de autenticación en el smartphone (factor de posesión). Incluso si la contraseña se filtra, el atacante no puede iniciar sesión sin poseer físicamente el smartphone, lo que previene el acceso no autorizado.
Cabe señalar que "autenticación en dos pasos" y "autenticación multifactor" (MFA: Multi-Factor Authentication) suelen confundirse, pero son estrictamente diferentes. La autenticación en dos pasos se refiere a un proceso de inicio de sesión con dos pasos, mientras que la autenticación multifactor significa usar múltiples factores de diferentes categorías. Por ejemplo, introducir una contraseña seguida de una pregunta de seguridad es "dos pasos" pero no "multifactor", ya que ambos son factores de conocimiento. Desde el punto de vista de la seguridad, la autenticación multifactor que combina factores de diferentes categorías es más robusta.
Principales métodos de autenticación en dos pasos y comparación
Aplicaciones de autenticación (TOTP)
Las aplicaciones de autenticación como Google Authenticator y Microsoft Authenticator generan contraseñas de un solo uso basadas en el tiempo (TOTP). Se genera un nuevo código de 6 dígitos cada 30 segundos, y se introduce este código al iniciar sesión.
TOTP funciona combinando una clave secreta (semilla) compartida entre el servidor y la aplicación con la hora actual para calcular un hash HMAC-SHA1, del cual se deriva un número de 6 dígitos. Como los códigos se generan sin conexión, no hay riesgo de interceptación durante la transmisión. Está estandarizado en RFC 6238 y es actualmente el método de autenticación en dos pasos más recomendado.
Autenticación por SMS
Este método envía un código de un solo uso por SMS al número de teléfono registrado. Aunque es fácil de configurar, conlleva riesgos como los ataques de SIM swap(donde los atacantes se hacen pasar por el usuario ante el operador para obtener una SIM de reemplazo) y la interceptación de SMS. El NIST de EE.UU. (Instituto Nacional de Estándares y Tecnología) clasificó la autenticación por SMS como un autenticador "restringido" en sus directrices SP 800-63B de 2016, recomendando la migración a métodos más seguros. Es mejor posicionarla como alternativa cuando las aplicaciones de autenticación no están disponibles.
Llaves de seguridad (FIDO2 / WebAuthn)
Este método autentica insertando una llave de seguridad física como YubiKey en un puerto USB o tocándola por NFC. Con el protocolo FIDO2, el navegador verifica criptográficamente el dominio durante la autenticación, por lo que las credenciales nunca se envían aunque seas redirigido a un sitio falso. Este mecanismo de "verificación de origen" proporciona la mayor resistencia contraataques de phishing. Google obligó a todos sus empleados (aproximadamente 85.000) a usar llaves de seguridad en 2018, y reportó cero compromisos de cuentas por phishing desde entonces.
Para más información sobre llaves de seguridad compatibles con FIDO2, busca llaves de seguridad FIDO2 en Amazon puede ser útil.
Comparación por método
Qué método elegir depende del equilibrio entre los requisitos de seguridad y la comodidad. A continuación se resumen las características de los tres métodos principales.
| Método | Seguridad | Resistencia al phishing | Facilidad de configuración | Coste | Recomendado para |
|---|---|---|---|---|---|
| SMS | Media | Baja | Alta | Gratis | Alternativa cuando otros métodos no están disponibles |
| App de autenticación (TOTP) | Alta | Media | Alta | Gratis | Recomendado para la mayoría de usuarios |
| Llave de seguridad (FIDO2) | Máxima | Máxima | Media | 25 - 70 € | Quienes manejan datos financieros o confidenciales |
Un error común es la opinión extrema de que "la autenticación por SMS es peligrosa y no debería usarse". Esto no es preciso. Incluso la autenticación por SMS reduce significativamente el riesgo de acceso no autorizado en comparación con la autenticación solo con contraseña. Sin embargo, incluso al usar aplicaciones de autenticación, los atacantes pueden bombardear a los usuarios con solicitudes de autenticación para agotarlos, una técnica conocida comoataque de fatiga MFA. Lo más importante es evitar no tener ninguna autenticación en dos pasos configurada - incluso si SMS es la única opción disponible, siempre debe activarse.
Configuración de la autenticación en dos pasos en servicios principales
Muchos servicios principales admiten la autenticación en dos pasos. A continuación se indican las ubicaciones de configuración en servicios representativos.
Cuenta de Google
Ve a la configuración de "Seguridad" de tu cuenta de Google y selecciona "Verificación en dos pasos". Puedes elegir entre una aplicación de autenticación, SMS o una llave de seguridad. Como tu cuenta de Google está vinculada a muchos servicios como Gmail, Drive y YouTube, debería ser la máxima prioridad para activar la autenticación en dos pasos.
Apple ID
En tu iPhone, ve a "Ajustes", toca tu nombre y activa "Autenticación de dos factores" en "Inicio de sesión y seguridad". Se muestra un código de verificación de 6 dígitos en los dispositivos de confianza, protegiendo todo el ecosistema de Apple.
Amazon
Ve a "Cuenta y listas" en Amazon, selecciona "Inicio de sesión y seguridad" y activa "Verificación en dos pasos". Como la información de la tarjeta de crédito está vinculada a las cuentas de compras en línea, se recomienda encarecidamente configurar la autenticación en dos pasos.
Instituciones financieras y banca en línea
Muchos bancos y casas de bolsa ofrecen autenticación en dos pasos mediante tokens de contraseña de un solo uso o aplicaciones. Como estas cuentas están directamente vinculadas a activos financieros, elige el método de autenticación más fuerte disponible. Junto con la protección de tu cuenta de correo electrónico, las cuentas de instituciones financieras deberían ser la máxima prioridad para configurar la autenticación en dos pasos.
Combinación de contraseñas con autenticación en dos pasos
El hecho de haber activado la autenticación en dos pasos no significa que puedas descuidar la fortaleza de la contraseña. La autenticación en dos pasos es solo una "capa adicional de defensa", y la contraseña sigue siendo la primera línea de defensa.
La medida de seguridad ideal es combinar una contraseña fuerte generada por passtsuku.com (más de 16 caracteres, 4 tipos de caracteres, más de 80 bits de entropía) con la autenticación en dos pasos mediante una aplicación de autenticación. Con esta defensa de dos capas, tu cuenta permanece segura a menos que ocurran simultáneamente una filtración de contraseña y el robo del dispositivo físico. Sin embargo, también existen ataques dirigidos a las sesiones después del inicio de sesión, por lo que comprenderla prevención del secuestro de sesiones también es importante.
En el futuro, se espera que la autenticación sin contraseña mediante passkeys se generalice, haciendo innecesarias las contraseñas. Sin embargo, a fecha de 2024, los servicios que admiten passkeys son aún limitados, y durante este período de transición, combinar contraseñas fuertes con autenticación en dos pasos sigue siendo la defensa más práctica.
Consideraciones importantes al implementar la autenticación en dos pasos
- Guarda los códigos de recuperación de forma segura: Al configurar la autenticación en dos pasos, la mayoría de los servicios emiten códigos de recuperación (códigos de respaldo). Imprime estos códigos en papel y guárdalos en un lugar seguro en caso de pérdida o avería del smartphone. Si pierdes tu smartphone sin haber guardado los códigos de recuperación, corres el riesgo de quedar completamente bloqueado de tu cuenta.
- Configura aplicaciones de autenticación en múltiples dispositivos: Como precaución en caso de que tu smartphone principal no esté disponible, configura la aplicación de autenticación en otro dispositivo como una tableta.
- Prioriza las aplicaciones de autenticación sobre SMS: Desde el punto de vista de la seguridad, prioriza las aplicaciones de autenticación (TOTP) sobre la autenticación por SMS. El SMS debe evitarse cuando sea posible debido al riesgo de ataques de SIM swap e interceptación explotando vulnerabilidades del protocolo SS7.
Lista de verificación para configurar la autenticación en dos pasos
Sigue esta lista de verificación para configurar la autenticación en dos pasos en tus cuentas, empezando por las más importantes.
- Configura una aplicación de autenticación para cuentas de correo (Gmail, Outlook, etc.)
- Configura el método de autenticación más fuerte para instituciones financieras (bancos, corredores, exchanges de criptomonedas)
- Configura una aplicación de autenticación para redes sociales (X, Instagram, Facebook)
- Configura la autenticación en dos pasos para sitios de comercio electrónico (Amazon, etc.)
- Configura la autenticación en dos pasos para almacenamiento en la nube (Google Drive, Dropbox, iCloud)
- Imprime los códigos de recuperación de cada servicio en papel y guárdalos en un lugar seguro
- Guarda copias de seguridad de la aplicación de autenticación (función de exportación) en un dispositivo separado
- Genera contraseñas fuertes y únicas para cada servicio con passtsuku.com y combínalas con la autenticación en dos pasos
Es importante practicar tanto el fortalecimiento de tus contraseñas como la implementación de la autenticación en dos pasos, no solo una u otra. Al generar contraseñas fuertes con passtsuku.com y combinarlas con la autenticación en dos pasos, puedes mejorar significativamente la seguridad de tus cuentas en línea.
Para quienes deseen conocer más sobre la implementación de la autenticación en dos pasos, guías de autenticación multifactor en Amazon puede ser útil.
Lo que puedes hacer ahora mismo
- Abre la configuración de "Seguridad" de tu cuenta de Google y activa la autenticación en dos pasos con una aplicación de autenticación (Google Authenticator o Microsoft Authenticator)
- Configura la autenticación en dos pasos para cuentas de correo y servicios financieros como máxima prioridad
- Imprime los códigos de recuperación en papel y guárdalos en un lugar seguro de tu hogar
- Genera contraseñas únicas de más de 16 caracteres para cada servicio con passtsuku.com y combínalas con la autenticación en dos pasos
- Configura gradualmente la autenticación en dos pasos para los servicios restantes como redes sociales y sitios de comercio electrónico
Preguntas frecuentes
- ¿Cuál es la diferencia entre verificación en dos pasos y autenticación de dos factores?
- La verificación en dos pasos es un término general para autenticarse dos veces. La autenticación de dos factores combina específicamente dos tipos diferentes de "conocimiento," "posesión" y "biometría."
- ¿Es segura la autenticación por SMS?
- La autenticación SMS es mejor que nada, pero conlleva riesgos por ataques de intercambio de SIM y vulnerabilidades del protocolo SS7. Recomendamos opciones más seguras como apps de autenticación o llaves de hardware.
- ¿Qué debo priorizar al configurar 2FA?
- Primero cuentas de correo (usadas para restablecer contraseñas), luego servicios financieros, almacenamiento en la nube y redes sociales.
¿Te resultó útil este artículo?