Saltar al contenido principal

¿Qué es la autenticación en dos pasos (2FA)?

Lectura de 2 min aprox.

La autenticación de dos factores (2FA) es un método de seguridad que evita el acceso no autorizado a una cuenta combinando la autenticación por contraseña con otro factor de autenticación diferente. Aunque se filtre la contraseña, nadie puede iniciar sesión sin el segundo factor de autenticación, lo que mejora enormemente la seguridad de la cuenta. Según un estudio de Microsoft de 2024, las cuentas con la autenticación de dos factores activada pueden bloquear más del 99,9% de los accesos no autorizados.

Antecedentes históricos

El concepto de la autenticación de dos factores se remonta a los cajeros automáticos bancarios de la década de 1980. La combinación de una tarjeta de cajero (algo que se posee) y un PIN (algo que se sabe) es uno de los primeros ejemplos de autenticación de dos factores en la práctica. Con la difusión de internet, en la década de 2000 se introdujeron tokens de contraseña de un solo uso para la banca en línea. En la década de 2010, Google introdujo la autenticación de dos factores en Gmail, acelerando su adopción entre los usuarios generales. Hoy en día, la tecnología de llaves de acceso impulsada por la FIDO Alliance está impulsando la transición hacia métodos de autenticación más seguros y fáciles de usar.

Los tres factores de autenticación

Los factores de autenticación se clasifican a grandes rasgos en tres tipos. «Algo que se sabe» es información que solo conoce la persona, como una contraseña o un código PIN. «Algo que se posee» se refiere a un dispositivo físico que solo posee la persona, como un teléfono inteligente o una llave de seguridad. «Algo que se es» utiliza las características físicas de la persona, como la huella dactilar o el reconocimiento facial. La autenticación de dos factores verifica la identidad combinando dos factores diferentes de entre estos.

Para quienes desean aprender de forma sistemática los fundamentos de la tecnología de autenticación, libros sobre autenticación de seguridad (Amazon) también son una referencia útil.

La diferencia entre la autenticación de dos factores y la autenticación multifactor

La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) se confunden a menudo, pero en sentido estricto son diferentes. La autenticación de dos factores significa que hay dos pasos de autenticación, y puede cumplirse incluso con factores del mismo tipo (por ejemplo, una contraseña más una pregunta de seguridad). La autenticación multifactor, en cambio, exige combinar factores de tipos diferentes (conocimiento más posesión, conocimiento más biometría, etc.). Desde el punto de vista de la seguridad, la autenticación multifactor, que combina factores de tipos diferentes, es más robusta. En la práctica, aunque se le llame «autenticación de dos factores», en la mayoría de los casos en realidad está implementada como autenticación multifactor.

Principales métodos de autenticación

El método más utilizado es la contraseña de un solo uso (OTP) enviada por SMS o correo electrónico. Sin embargo, como los SMS conllevan el riesgo de ataques de intercambio de SIM, se considera más seguro el método TOTP (contraseña de un solo uso basada en el tiempo), que usa aplicaciones de autenticación como Google Authenticator o Authy. Para una seguridad aún mayor, se recomienda el método FIDO2/WebAuthn, que usa llaves de seguridad de hardware como YubiKey.

Casos de uso reales

«Tras hacer obligatoria la autenticación de dos factores en toda la empresa, los inicios de sesión no autorizados a través de phishing se redujeron un 95% interanual. En particular, los departamentos que introdujeron llaves de seguridad FIDO2 han tenido cero incidentes.»

Flujo de autenticación

Introducir ID y contraseña
Verificar el primer factor
Solicitar OTP / llave de seguridad
Verificar el segundo factor
Inicio de sesión correcto

Errores prácticos comunes

Un error común al introducir la autenticación de dos factores es la idea de que «la autenticación por SMS es suficiente». La ruta de comunicación de los SMS no está cifrada y existe el riesgo de ataques de intercambio de SIM o de que se exploten vulnerabilidades del protocolo SS7. Siempre que sea posible, elige una aplicación de autenticación o una llave de hardware. La gestión de los códigos de recuperación también es importante. Si no guardas tus códigos de recuperación en un lugar seguro como prevención ante la pérdida o avería del dispositivo, podrías acabar bloqueado fuera de tu propia cuenta. Al combinar una contraseña robusta generada con passtsuku.com y la autenticación de dos factores, puedes reforzar la seguridad de tu cuenta en múltiples capas.

También vale la pena aprovechar la información sobre cómo configurar la autenticación de dos factores y guías de autenticación multifactor (Amazon) para lograr una vida en línea más segura.

Términos relacionados

¿Te resultó útil este artículo?

XHatena