Protégete

Escribes tu contraseña y ya estás dentro. Eso es la autenticación de un solo factor, y tiene una debilidad evidente: si otra persona descubre tu contraseña —a través de una filtración de datos, un correo de phishing o un inicio de sesión reutilizado—, también entra. La autenticación de dos factores, abreviada normalmente como 2FA, añade un segundo cerrojo, de modo que una contraseña robada por sí sola ya no basta para abrir tu cuenta.

La autenticación de dos factores consiste en demostrar quién eres con dos tipos de pruebas distintas antes de que te dejen entrar. Los profesionales de la seguridad agrupan esas pruebas en tres categorías, o factores: algo que sabes (una contraseña o un PIN), algo que tienes (un teléfono, una llave de seguridad física o una app que genera códigos) y algo que eres (una huella dactilar, el rostro u otro dato biométrico). La 2FA combina dos de estas categorías; por eso un código enviado a tu teléfono cuenta, pero dos contraseñas no: dos contraseñas son el mismo factor.

Cómo funciona la autenticación de dos factores

En la práctica suele funcionar así. Introduces tu usuario y tu contraseña como siempre. El servicio te pide entonces una segunda prueba: un código de seis dígitos de una app de autenticación, un toque en una notificación, un código por SMS o una pulsación en una llave física. Solo cuando ambas comprobaciones pasan quedas dentro. Como el segundo factor cambia constantemente o está físicamente ligado a un dispositivo que tú tienes, un atacante que solo posee tu contraseña se detiene en el segundo paso.

No todos los segundos factores son igual de fuertes. Los códigos enviados por SMS son los más habituales y mucho mejores que nada, pero los mensajes de texto pueden interceptarse o desviarse mediante una técnica llamada SIM swapping, en la que un atacante engaña a tu operador para que traslade tu número a su dispositivo. Las apps de autenticación —integradas en los gestores de contraseñas o independientes— generan los códigos en tu propio dispositivo usando un estándar abierto (TOTP), así que no hay ningún mensaje que interceptar. Las llaves de seguridad físicas y las passkeys, basadas en los estándares FIDO2 y WebAuthn, van un paso más allá: están diseñadas para resistir el phishing, porque la llave comprueba la dirección real del sitio antes de responder.

Qué segundos factores son los más fuertes

El phishing es justo la brecha que los segundos factores más fuertes están hechos para cerrar. Una página de inicio de sesión falsa y convincente puede capturar tanto tu contraseña como un código tecleado si te engañan para que los introduzcas. Una llave física o una passkey está vinculada al sitio auténtico, así que ni una copia de aspecto perfecto puede usarla. Por eso muchos equipos de seguridad recomiendan ahora abandonar los códigos SMS en favor de una app de autenticación como mínimo, y de llaves o passkeys para las cuentas más importantes.

• Activa la 2FA primero en tus cuentas más importantes: correo principal, banca y gestor de contraseñas
• Prefiere una app de autenticación (TOTP) o una llave de seguridad física a los códigos SMS, que pueden interceptarse con SIM swapping
• Usa llaves físicas o passkeys (FIDO2/WebAuthn) para las cuentas sensibles: resisten el phishing al comprobar el sitio real
• Guarda los códigos de respaldo de un solo uso sin conexión para poder volver a entrar si pierdes el teléfono
• Combina la 2FA con un gestor de contraseñas: cada contraseña es única y fuerte, y una sola filtración no abre nada

El argumento para activar la 2FA es simple: las contraseñas se filtran constantemente. Miles de millones de credenciales robadas circulan en línea por filtraciones pasadas, y la gente reutiliza la misma contraseña en muchos sitios, de modo que una sola filtración puede desbloquear varias cuentas. Un segundo factor rompe esa cadena. Aunque tu contraseña aparezca en una filtración, un atacante sigue sin poder entrar sin el código o el dispositivo que solo tú tienes. Por eso también un gestor de contraseñas y la 2FA funcionan bien juntos: el gestor mantiene cada contraseña única y fuerte, y la 2FA protege las cuentas que importan aunque una contraseña quede expuesta.

Por qué deberías activarla, y cómo

Configurar la 2FA lleva unos minutos por cuenta y se encuentra en los ajustes de seguridad o de inicio de sesión de la mayoría de los servicios. Empieza por las cuentas cuya pérdida dolería más: tu correo principal (porque puede restablecer todo lo demás), tus apps de banca y de pago, y tu propio gestor de contraseñas. Cuando puedas elegir, prefiere una app de autenticación o una llave física al SMS. Al activar la 2FA, el servicio suele mostrar un conjunto de códigos de respaldo de un solo uso: guárdalos en un lugar seguro y sin conexión, porque son tu forma de volver a entrar si pierdes el teléfono.

Perder el acceso a tu segundo factor es el temor que frena a mucha gente, y conviene planificarlo en lugar de evitarlo. Guarda tus códigos de respaldo, registra un segundo método cuando el servicio lo permita (por ejemplo una llave de reserva o un segundo dispositivo), y algunas apps de autenticación pueden sincronizar tus códigos de forma segura entre tus propios dispositivos, de modo que un teléfono perdido no te deje fuera. Los pocos minutos dedicados a las opciones de recuperación son mucho menos dolorosos que perder una cuenta a manos de quien adivinó o robó una sola contraseña.

¿Y si pierdes tu segundo factor?

La autenticación de dos factores es uno de los pasos de privacidad y seguridad de mayor valor que puedes dar, y en gran medida es gratuita. No arreglará una contraseña débil o reutilizada, y los códigos SMS no son infalibles, pero añadir cualquier segundo factor convierte tu contraseña de un único punto de fallo en un cerrojo entre dos. Para las cuentas que guardan tu identidad, tu dinero y tus mensajes, ese segundo cerrojo bien vale los pocos minutos que cuesta configurarlo.