Códigos de recuperación - Acceso de respaldo para MFA

Lectura de 2 min aprox.

Un código de recuperación (Recovery Code / Backup Code) es un método de autenticación de respaldo para recuperar el acceso a una cuenta cuando se pierde o se avería el dispositivo utilizado para la autenticación multifactor (MFA). Suele ser un conjunto de códigos de un solo uso que se muestran una única vez al configurar la MFA, y cada código solo puede usarse una vez. Dado que la avería de un smartphone o la pérdida de una llave de seguridad le puede ocurrir a cualquiera, guardar los códigos de recuperación con antelación es una medida de seguridad imprescindible en la gestión de la MFA.

Formato y funcionamiento habituales

El formato de los códigos de recuperación varía según el servicio, pero el patrón más común es un conjunto de diez códigos alfanuméricos de 8 caracteres. Servicios importantes como Google, GitHub y Dropbox adoptan este formato.

El servicio almacena los códigos de recuperación en forma de hash y, cuando un usuario introduce un código, lo autentica comparando los valores hash. Los códigos usados se invalidan de inmediato y no pueden reutilizarse.

Métodos de almacenamiento seguro

Dado que los códigos de recuperación son la «última línea de defensa de la MFA», elegir cómo almacenarlos es sumamente importante. Si los guardas en el lugar equivocado, los propios códigos de recuperación se convierten en una puerta de entrada para los ataques.

El riesgo de que los propios códigos de recuperación se conviertan en objetivo de ataque

Dado que solo con la contraseña más un código de recuperación se puede acceder a una cuenta, los atacantes apuntan a los códigos de recuperación como una «puerta trasera» que elude la MFA. Como técnicas de robo de cuentas, se han reportado casos de obtener códigos de recuperación mediante ingeniería social, así como casos de robar toda la base de datos de un gestor de contraseñas con malware.

Como contramedida, es importante aplicar una protección sólida al propio lugar de almacenamiento de los códigos de recuperación. Si los guardas en un gestor de contraseñas, haz que la contraseña maestra sea suficientemente fuerte y configura también MFA en el propio gestor de contraseñas. Si los imprimes en papel, aplica de forma rigurosa el control de acceso físico (cajas fuertes, cerraduras).

Flujo de recuperación

Diseño de recuperación en la era de las passkeys

Con la difusión de las passkeys, el enfoque de la recuperación también está cambiando. Como las passkeys se sincronizan en la nube a través del Llavero de iCloud o del Gestor de Contraseñas de Google, se ha reducido el riesgo de perder el acceso a una cuenta por la pérdida de un único dispositivo. Sin embargo, cuando es necesario recuperar el propio Apple ID o la cuenta de Google, los códigos de recuperación tradicionales siguen siendo el último recurso.

En entornos corporativos se recomienda un diseño de varias capas: además de las passkeys, registrar una llave de seguridad de respaldo y que los administradores de TI guarden de forma segura los códigos de recuperación. La guía de implementación de llaves de seguridad y qué ocurre cuando roban tu cuenta también son referencias útiles para el diseño de la recuperación.libros sobre seguridad de cuentas (Amazon) también son útiles en la práctica.

Casos de uso reales

«Durante un viaje de negocios al extranjero se me averió el smartphone y dejé de poder acceder a mi app TOTP. Con los códigos de recuperación que había guardado de antemano en mi gestor de contraseñas, pude recuperar el acceso a todas mis cuentas, sin ningún impacto en el trabajo. Si no los hubiera guardado, creo que habría quedado bloqueado durante varios días.»

Los fundamentos de la autenticación de dos factores también explican los pasos para configurar los códigos de recuperación.