Protección adicional

Autenticación multifactor: una segunda barrera que los atacantes no pueden saltar

La autenticación multifactor (2FA) añade un paso adicional al iniciar sesión. Aunque un hacker robe tu contraseña, sin el segundo factor no podrá acceder a la cuenta. Aquí repasamos los métodos disponibles y cómo elegir el más seguro.

¿Qué es el 2FA y por qué lo necesitas?

El 2FA combina algo que sabes (contraseña) con algo que tienes (un código temporal, una llave) o algo que eres (biometría). Esto reduce drásticamente el riesgo cuando una contraseña se filtra o se adivina.

Métodos de autenticación multifactor

1. SMS (el más inseguro)

Recibes un código por SMS. Es el método más extendido pero también el más vulnerable: los atacantes pueden secuestrar la línea con SIM swapping o interceptar mensajes. Úsalo solo si no hay alternativas.

2. Mensajería (WhatsApp, Telegram)

Algunas plataformas envían códigos por apps de mensajería cifradas. Ofrecen mayor protección que el SMS, pero siguen dependiendo de la red del operador y del control del número de teléfono.

3. Aplicaciones de autenticación (TOTP)

Generan códigos temporales offline cada 30 segundos. Son más seguras que SMS y funcionan incluso sin cobertura. Ejemplos:

  • Google Authenticator
  • Microsoft Authenticator
  • Authy
  • Aegis Authenticator
  • Duo Mobile

4. Gestores con bóveda TOTP integrada

1Password, Bitwarden, Dashlane y otros gestores permiten guardar los códigos TOTP junto a las credenciales. Simplifica el inicio de sesión, aunque conviene recordar que ambos factores se guardan en el mismo lugar.

5. Llaves físicas (FIDO2/WebAuthn)

Son el método más robusto: dispositivos como YubiKey, Feitian o SoloKeys. Funcionan con USB, NFC o Lightning, y son resistentes a phishing porque validan el dominio antes de autenticar. Algunos portátiles y móviles ofrecen llaves de plataforma (Windows Hello, Passkeys, Face ID).

6. Biometría y autenticadores de dispositivo

Utilizan tu huella, rostro o PIN en un dispositivo de confianza. Son ideales como complemento, especialmente cuando el servicio soporta passkeys basadas en WebAuthn.

Comparativa rápida

Método Seguridad Comodidad Riesgos
SMS Baja Muy alta (sin apps adicionales) SIM swapping, interceptación, phishing
App TOTP Alta Media (requerir escanear códigos) Respaldo de códigos, robo del dispositivo
Llave física Muy alta Media (requiere hardware) Coste, gestionar copias de seguridad
Biometría/Passkeys Muy alta Muy alta Compatibilidad en servicios y dispositivos

Recomendaciones prácticas

  • Activa el método más fuerte disponible (llave física o app TOTP).
  • Guarda códigos de recuperación offline para emergencias.
  • Conserva al menos dos llaves físicas: una principal y una de respaldo.
  • Protege el acceso a tu app TOTP con contraseña o biometría.
  • Aprovecha las passkeys donde estén disponibles: simplifican y refuerzan el inicio de sesión.

FAQ rápidas

¿Qué pasa si pierdo la llave física?

Usa la llave de respaldo o los códigos de recuperación. Configura múltiples llaves al activar el 2FA.

¿Puedo migrar mis códigos TOTP a un nuevo móvil?

Sí. Exporta desde la app (Authy sincroniza en la nube; Google/Microsoft permiten exportar escaneando un código QR) o usa el respaldo de tu gestor.

¿Por qué no confiar en el SMS?

El SMS viaja por redes vulnerables y depende del operador. Hay ataques de SIM swapping, redirecciones y malware que leen mensajes. Usa apps o llaves físicas siempre que puedas.

Checklist multifactor

  • Activa 2FA en todos los servicios críticos.
  • Prioriza apps TOTP o llaves físicas sobre SMS.
  • Configura varias llaves o factores de respaldo.
  • Educa a tu equipo sobre phishing y cómo validar las solicitudes de códigos.
  • Integra 2FA con políticas de Zero Trust y gestores de contraseñas.

Limitación de garantías

password.es se proporciona «tal cual». No garantizamos la disponibilidad del servicio ni la seguridad absoluta de las contraseñas generadas. El usuario es responsable de combinar el 2FA con otras prácticas de seguridad.