¿Qué es 2FA (autenticación de dos factores)? Todo sobre ello

¿Qué es 2FA (autenticación de dos factores)?

Según Breach Alarm, cada semana se roban un millón de contraseñas. Eso supone 52 millones de contraseñas comprometidas al año. Es algo que da miedo.

Incluso la más mínima debilidad en una contraseña la hace susceptible de ser robada. Y si un pirata informático puede robar una de sus contraseñas, puede aprender mucho sobre usted.

La 2FA (autenticación de dos factores) puede protegerle incluso si le roban la contraseña. En este artículo, examinamos algunos de los principales ejemplos de 2FA, así como los pros y los contras de cada uno.

Resumen

• 2FA, o autenticación de dos factores, es un protocolo de seguridad que requiere que los usuarios proporcionen dos formas distintas de identificación para obtener acceso, lo que refuerza sustancialmente la protección de las cuentas más allá del simple uso de contraseñas.
• Los dos “factores” suelen implicar algo que el usuario conoce (por ejemplo, la contraseña o el PIN), y algo que el usuario tiene (por ejemplo, el smartphone para las OTP o los datos biométricos), lo que garantiza que el acceso no autorizado sea difícil incluso si uno de los factores se ve comprometido.
• Al implantar la 2FA, las empresas y los particulares pueden reducir significativamente el riesgo de filtración de datos, ataques de phishing y robo de identidad, creando un entorno digital más seguro.

No se convierta en víctima del cibercrimen. Proteja sus dispositivos con el mejor antivirus y su privacidad con la mejor VPN.

¿Cómo funciona la autenticación de dos factores?

Con la autenticación de dos factores, usted protege su cuenta utilizando un par de métodos de autenticación. Cada método es diferente, y el 2FA dificulta a los piratas informáticos el acceso a su cuenta.

La primera etapa de 2FA suele ser una contraseña. Tras introducir la contraseña, se le solicita un segundo tipo de autenticación. Estos suelen presentarse de las siguientes formas:

• Algo que tenga, como dispositivos móviles, que pueda utilizar para acceder a cuentas en línea.
• Un factor de conocimiento, que es algo que usted sabe y que nadie más debería saber.
• Un factor de posesión exclusivo de su cuerpo, como su huella dactilar.

La idea es proporcionarle algo más que una contraseña para la protección de sus cuentas en línea. Después de todo, las contraseñas no son perfectas. Pueden ser pirateadas por individuos malintencionados. Si añade un segundo factor de autenticación, podrá detener a los piratas informáticos en su camino.

Ejemplos de autenticación de dos factores

Existen varios tipos de 2FA que los sitios web y las aplicaciones pueden utilizar para confirmar la autenticación del usuario y evitar la filtración de datos. Aunque todos añaden una capa adicional de protección, algunos ejemplos son mucho más eficaces que otros.

Ejemplo nº 1 – Preguntas de seguridad

¿Cuál es el apellido de soltera de su madre?

¿Cómo se llamaba su primera mascota?

¿En qué calle creció?

Casi todo el mundo que ha creado una cuenta en línea en algún lugar se ha encontrado probablemente con esta forma de 2FA. Puede que sea el ejemplo más común. La teoría es que las preguntas de seguridad son eficaces porque solicitan información que sólo el usuario debe conocer.

Entonces, ¿cómo funcionan?

Cuando crea una cuenta, un sitio web le pide que cree una contraseña y responda a una pregunta de seguridad. A partir de ese momento, se le pedirá tanto la contraseña como la respuesta a su pregunta cuando intente iniciar sesión. Si no proporciona la respuesta correcta, su cuenta puede quedar bloqueada.

Suena bastante sencillo.

Y esa simplicidad puede ser un problema. Las preguntas de seguridad suelen referirse a información básica sobre usted, como los ejemplos que hemos compartido anteriormente. Si esa información está flotando en algún lugar de la red, la pregunta pierde eficacia.

Por ejemplo, supongamos que quiere conmemorar el fallecimiento de su primera mascota en las redes sociales. Comparte una foto y un poco de texto que casualmente contiene el nombre de la mascota. Si una de las preguntas de seguridad le pide ese nombre, acaba de compartir información que un pirata informático podría utilizar para eludir esta forma de autenticación de dos factores.

Los pros de las preguntas de seguridad

• Súper fácil de instalar.
• Es fácil recordar la respuesta.
• Por lo general, las preguntas se refieren a información lo suficientemente memorable como para no tener que escribirla.
• Pueden utilizarse en varios dispositivos.

Los contras de las preguntas de seguridad

• Los piratas informáticos pueden averiguar las respuestas a sus preguntas de seguridad si buscan lo suficiente.
• Los registros públicos pueden mostrar a menudo las respuestas a estas preguntas.
• Compartir información en las redes sociales podría comprometer este ejemplo de 2FA.

Ejemplo nº 2 – Mensajes SMS

Si le piden un número de teléfono al crear sus credenciales de acceso, lo más probable es que el sitio utilice mensajes SMS para la 2FA. Este tipo de autenticación es realmente sencillo. Usted se conecta a su cuenta con su nombre de usuario y contraseña. Pero antes de obtener acceso completo, se le pide que introduzca un código único que se envía a su teléfono móvil a través de un mensaje de texto.

Una vez que el código llega al dispositivo móvil del usuario, suele haber un límite de tiempo para su uso. Por ejemplo, un sitio puede darle un minuto para introducir el código antes de tener que solicitar otro. Introduzca el código y listo.

Este tipo de verificación en dos pasos supone que sólo usted tiene acceso a su dispositivo móvil. Los mensajes de texto no son fácilmente accesibles para los piratas informáticos, a menos que encuentren la forma de piratear el teléfono del usuario.

Aun así, la posibilidad de pirateo existe. Si alguien consigue acceder a su teléfono, las medidas de seguridad de los SMS podrían no funcionar. El pirata informático podría simplemente leer el SMS e introducir el código que reciba. Por supuesto, también necesitan tener su contraseña para conseguir enviar el SMS en primer lugar.

Las ventajas de los mensajes SMS

Extremadamente cómodo porque casi siempre tendrá acceso a su teléfono.

Suele ofrecer una opción para cambiar el número de teléfono vinculado a su cuenta si pierde su dispositivo o consigue un número nuevo.

Su código debería llegar al instante.

Los contras de los mensajes SMS

Si no confía en el servicio con el que ha creado la cuenta, es posible que no quiera compartir su número de teléfono con él.

Debe tener cuidado de que los proveedores de la cuenta no utilicen su número para hacer publicidad.

La falta de servicio celular puede imposibilitar la recepción de su código.

Algunos piratas informáticos pueden interceptar los mensajes SMS, aunque no es un proceso sencillo.

Ejemplo nº 3 – Mensajes de correo electrónico

Los mensajes de correo electrónico funcionan de forma similar a los mensajes SMS con una diferencia clave:

No necesita un dispositivo físico específico para acceder a ellos.

En lugar de enviar un código de verificación a través de un mensaje de texto, el proveedor de la cuenta lo envía a su dirección de correo electrónico. A continuación, puede acceder a este correo electrónico utilizando cualquier dispositivo que se conecte a Internet, lo que le ofrece más opciones para hacerse con el código.

Ésa es la buena noticia.

La mala noticia es que el correo electrónico es más fácil de piratear que los SMS. Un pirata informático sólo necesita su dirección de correo electrónico y su contraseña para entrar en su cuenta. Después de eso, no necesitan cambiar nada dentro de su bandeja de entrada. Sólo necesitan que se les envíe un código de verificación a la dirección de correo electrónico para poder acceder a la cuenta en la que intentan entrar.

Lo peor de todo es que probablemente no sabrá que un pirata informático ha eludido este tipo de verificación de identidad hasta que el correo electrónico con el código llegue a su bandeja de entrada. Y para entonces, probablemente sea demasiado tarde para hacer algo al respecto. Por esta razón, la mayoría de los proveedores que ofrecen autenticación de dos factores no utilizan el correo electrónico para transmitir ningún tipo de información sensible.

Los pros de los mensajes de correo electrónico

• Extremadamente cómodo gracias a la posibilidad de acceder al correo electrónico enviado en varios dispositivos.
• Le permite acceder a su cuenta sin complicaciones.
• Siempre que disponga de conexión a Internet, podrá acceder a su código.

Los contras de los mensajes de correo electrónico

• Una contraseña robada de su cuenta de correo electrónico da acceso a los piratas informáticos a cualquier código enviado a su correo electrónico.
• Puede que no se dé cuenta de que alguien ha pirateado su cuenta de correo electrónico hasta que el mensaje con el código de autenticación llegue a su bandeja de entrada.
• Está confiando en un método de comunicación no seguro.

Ejemplo nº 4 – Notificación push

Una vez más, la notificación push funciona de forma similar a los mensajes SMS, ya que depende de que usted tenga acceso a su teléfono. Pero la diferencia clave aquí es que no se envía ningún tipo de número de identificación personal a su dispositivo. Eso significa que no hay datos sensibles dentro de un correo electrónico o mensaje de texto.

En su lugar, recibe una notificación en su teléfono que le informa de que alguien está intentando acceder a su cuenta. Normalmente, esta notificación viene con la opción de aceptar o rechazar el intento de acceso. Si sabe que es usted quien está realizando el intento, pulse aceptar. Pero si no es usted quien está intentando acceder a su cuenta, puede pulsar rechazar y detener a quien esté intentando entrar.

Pero, ¿qué ocurre si usted y un pirata informático intentan acceder a su cuenta al mismo tiempo?

La mayoría de las notificaciones push resuelven ese problema proporcionando detalles generales sobre el dispositivo que se está utilizando para iniciar sesión. Por ejemplo, pueden darle la ubicación, la dirección IP y el tipo de dispositivo, que puede utilizar para confirmar que el intento de inicio de sesión procede de usted.

Por último, este método de autenticación está vinculado directamente a su teléfono, en lugar de a los servicios de SMS o correo electrónico que utilizan sus usuarios. Si no pulsa aceptar cuando le llegue la notificación, la persona que intente acceder a su cuenta no podrá entrar.

Los pros de las notificaciones push

• Proporciona información sobre la persona que intenta acceder a su cuenta.
• No transmite ningún dato sensible que un pirata informático pudiera utilizar para eludir las solicitudes de autenticación.
• Requiere que apruebe directamente las solicitudes de autenticación antes de que se proporcione acceso a una cuenta.

Los contras de las notificaciones push

• El teléfono móvil del usuario debe estar conectado a Internet para este proceso de seguridad. Si no está conectado, no recibirá ninguna notificación.
• Un solo toque proporciona acceso, lo que podría llevarle a aprobar accidentalmente una solicitud.

Ejemplo nº 5 – Contraseñas de un solo uso

Este método suele implicar el uso de una aplicación de smartphone para confirmar la identidad del usuario. Tras introducir la contraseña estándar en su cuenta, verá un código QR. Deberá utilizar su dispositivo móvil para escanear el código QR, que contiene una clave secreta.

Una vez que la clave secreta se carga en la aplicación de su smartphone, se genera una contraseña de un solo uso. Usted introduce esta contraseña en su cuenta para obtener acceso.

Es un método que depende de que usted tenga acceso a un dispositivo móvil, la aplicación correspondiente y una conexión a Internet. Sin embargo, las contraseñas están limitadas en el tiempo. Suelen caducar al minuto de haber sido generadas. Eso hace que sea muy difícil para cualquiera que no tenga acceso a su dispositivo móvil burlar este segundo tipo de autenticación.

Los pros de las contraseñas de un solo uso

• Aunque utilice una aplicación para acceder a su contraseña de un solo uso, su teléfono no necesita servicio móvil.
• Las claves secretas se almacenan en su dispositivo, lo que significa que no pueden ser interceptadas.
• Algunas aplicaciones le permiten sincronizar códigos entre distintos dispositivos.

Los contras de las contraseñas de un solo uso

• No podrá acceder a su contraseña de un solo uso si pierde la conexión a Internet o si su teléfono se queda sin batería.
• Los códigos pueden resultar inutilizables si el reloj de su teléfono no está sincronizado con la cuenta a la que intenta acceder.
• Los piratas informáticos podrían entrar por la fuerza en su cuenta si el servicio no limita los intentos de inicio de sesión.
• Las contraseñas de un solo uso suelen depender del uso de aplicaciones autenticadoras. Puede que necesite descargar varias de ellas para todas sus cuentas.

Ejemplo nº 6 – Claves universales de segundo factor (U2F)

La simplicidad es el nombre del juego con las llaves U2F.

Este método de autenticación utiliza un estándar abierto que se coloca en un dispositivo NFC o USB. También puede cargarse en una tarjeta inteligente. Cuando intenta iniciar sesión, introduce su contraseña y, a continuación, utiliza el dispositivo adecuado para completar la autenticación secundaria.

Por ejemplo, supongamos que utiliza un USB.

Todo lo que tiene que hacer es mantener ese dispositivo USB conectado a su ordenador cuando se conecte. Su cuenta en línea captará los datos del USB y los utilizará para verificar que usted es quien dice ser. En el caso de los dispositivos NFC y las tarjetas inteligentes, normalmente los escaneará sobre un lector para proporcionar una autenticación secundaria.

U2F se basa en un factor físico que garantiza el acceso. Eso significa que no hay posibilidad de que una contraseña o clave secreta sea interceptada en línea. Por supuesto, perder el factor físico le bloquea su cuenta.

Los pros de las llaves U2F

• Como factor físico, estas claves no pueden ser interceptadas digitalmente. Eso significa que los piratas informáticos no pueden ver su autenticación secundaria, aunque tengan acceso a su dispositivo.
• Sólo funcionan para el sitio en el que los ha registrado, lo que los hace a prueba de suplantación de identidad.

Los contras de las claves U2F

• Para utilizar este método debe conservar las llaves físicas de seguridad. Si pierde el dispositivo, podría perder el acceso a su cuenta.
• Depender de dispositivos físicos puede crear problemas de compatibilidad. Por ejemplo, su llave U2F puede tener un conector USB-A, lo que puede hacerla incompatible con dispositivos más nuevos que utilicen estándares USB más modernos.
• Al tratarse de una tecnología nueva, U2F no cuenta con un apoyo tan amplio como otros métodos de autenticación de dos factores.

Ejemplo nº 7 – Llamadas telefónicas

Es bueno hablar.

Gracias a las llamadas telefónicas que le proporcionan la autenticación de dos factores, sus conversaciones también pueden impedir que los piratas informáticos accedan a sus cuentas en línea.

Las llamadas telefónicas son sencillas. Usted facilita su número de teléfono al proveedor cuando configura su cuenta. Cuando intenta acceder, recibe una llamada del proveedor después de haber introducido su contraseña. Le entregan un código único, que usted introduce para acceder a su cuenta.

Es cómodo, sencillo y hace uso de un dispositivo que casi todo el mundo posee. Sin embargo, la verificación por llamada telefónica requiere que usted confíe lo suficiente en la llamada entrante como para responder a preguntas de seguridad o proporcionar una contraseña única si el proveedor de la cuenta las necesita.

Los pros de las llamadas telefónicas

• Son sencillas, fáciles y eficaces. Usted es la única persona en la llamada, lo que significa que es la única persona que oye el código de seguridad que debe utilizar.
• Casi todo el mundo tiene acceso a un teléfono. Ni siquiera necesita un teléfono inteligente. Los teléfonos fijos funcionan igual de bien con este método de autenticación.

Los contras de las llamadas telefónicas

• Si utiliza un teléfono inteligente, la recepción celular desempeña un papel importante. Si pierde la recepción, no podrá atender una llamada.
• Si pierde el teléfono o la tarjeta sim, no podrá utilizar este método de autenticación.
• En raras ocasiones, los piratas informáticos pueden clonar tarjetas sim y acceder a las cuentas mediante llamadas telefónicas.

Ejemplo nº 8 – Autenticación biométrica

¿Qué podría ser más seguro que algo que forma parte de su propio cuerpo?

Esa es la filosofía en la que se basa el uso de factores biométricos para la 2FA. Un factor biométrico es cualquier cosa que sea a la vez única y parte de su cuerpo. Las huellas dactilares son un excelente ejemplo. Nadie más tiene su huella dactilar exacta, lo que significa que nadie más puede acceder a una cuenta que requiera el escaneado de su huella dactilar para el acceso.

Lo mismo ocurre con el iris de su ojo. Muchas formas de autenticación de dos factores utilizan escáneres de iris para confirmar que accede la persona correcta. Este método se utiliza más comúnmente en los edificios, aunque algunos teléfonos inteligentes tienen ahora la capacidad de tomar escáneres de iris.

El reconocimiento facial y de voz también entran dentro de este paraguas. Nadie más tiene su cara y su voz exactas. Siempre que la técnica utilizada para escanear estos elementos suyos sea lo suficientemente detallada, podrá utilizar su voz o su rostro para acceder a su cuenta.

Los pros de los factores biométricos

• La autenticación biométrica utiliza partes de usted para proporcionar acceso. Eso hace que sea increíblemente difícil de piratear porque un pirata informático necesita tenerle físicamente presente para obtener acceso.
• Incluso los factores biométricos que pueden copiarse, como las huellas dactilares, requieren primero un acceso físico a usted. El reconocimiento de voz necesita una grabación de su voz, que tampoco es fácil de obtener.

Los contras de los factores biométricos

• Se necesita un equipo especial para escanear el factor biométrico y permitir el acceso.
• Un factor biométrico comprometido es inutilizable de por vida. Al fin y al cabo, no se pueden cambiar las huellas dactilares o la cara sin una cirugía exhaustiva.
• Muchas personas se sienten incómodas con la idea de facilitar sus identificadores biométricos a las empresas. Crean serios problemas de privacidad.

Recuperar el acceso

La autenticación de dos factores es estupenda en el sentido de que proporciona una capa adicional de protección a sus cuentas en línea. Pero no es perfecta. Hay todo tipo de cosas que pueden salir mal con la 2FA y que podrían dejarle bloqueado en su cuenta.

¿Quiere algunos ejemplos?

Supongamos que utiliza llaves de seguridad físicas como autenticación secundaria. Pierde la llave y ¡puf! pierde el acceso a su cuenta.

También hay que tener en cuenta la cuestión de los piratas informáticos. Los piratas informáticos expertos pueden acceder a los teléfonos inteligentes, las cuentas de correo electrónico y los mensajes SMS. Si confía en estos métodos para la autenticación de dos factores, un pirata informático podría aprovecharse. Sólo necesitan obtener acceso una vez para poder cambiar su cuenta y, potencialmente, cambiar su método de 2FA.

Entonces, ¿qué puede hacer ante estos problemas?

Usted confía en el último recurso que suelen ofrecer las cuentas que utilizan la autenticación de dos factores: el código de recuperación.

Piense en los códigos de recuperación como su red de seguridad. Son códigos estáticos que suele recibir cuando configura la autenticación de dos factores. Tiene que anotar el código y guardarlo en algún lugar seguro para poder utilizarlo si alguna vez pierde el acceso a su medio de proporcionar autenticación secundaria.

Considere la posibilidad de utilizar varios tipos de 2FA

¿Qué ocurre si la cuenta no ofrece un código de recuperación?

No está completamente de suerte. Algunos proveedores le permiten utilizar varios métodos de autenticación de dos factores. Por ejemplo, su aplicación bancaria local puede proporcionarle acceso biométrico, preguntas de seguridad y códigos SMS. Si no puede utilizar uno, por la razón que sea, es posible que pueda utilizar otro para acceder a su cuenta.

Aproveche la autenticación de dos factores

La autenticación de factor único, como las contraseñas de usuario, sólo protege su cuenta mientras usted sea la única persona que conoce la contraseña. Si alguien más se hace con ella, su cuenta se verá comprometida.

Las técnicas de autenticación multifactor crean más protección para las cuentas de usuario. Abordan directamente los problemas de seguridad utilizando un proceso de autenticación independiente para confirmar que la persona que intenta acceder es realmente la correcta.

Pero los métodos secundarios que utilizan los proveedores para autenticar a los usuarios no son perfectos.

Algunos son vulnerables a la piratería informática. Otros requieren que usted tenga acceso a un dispositivo físico, señal de teléfono móvil o conexión a Internet. Aun así, la autenticación de dos factores proporciona mucha más seguridad que la autenticación de un solo factor.

Cómo mantenerse seguro en línea:

• Utilice contraseñas seguras: Utilice una contraseña única y compleja para cada cuenta. Un gestor de contraseñas puede ayudarle a generarlas y almacenarlas. Además, active la autenticación de dos factores (2FA) siempre que esté disponible.
• Invierta en su seguridad: Comprar el mejor antivirus para Windows 11 es clave para su seguridad en línea. Un antivirus de alta calidad como Norton, McAfee o Bitdefender salvaguardará su PC de varias amenazas en línea, incluyendo malware, ransomware y spyware.
• Tenga cuidado con los intentos de phishing: Sea precavido cuando reciba comunicaciones sospechosas que le pidan información personal. Las empresas legítimas nunca le pedirán datos confidenciales por correo electrónico o mensaje de texto. Antes de hacer clic en cualquier enlace, asegúrese de la autenticidad del remitente.
• Manténgase informado: En nuestro blog cubrimos una amplia gama de temas de ciberseguridad. Y hay varias fuentes creíbles (en inglés) que ofrecen informes y recomendaciones sobre amenazas, como NIST, CISA, FBI, ENISA, Symantec, Verizon, Cisco, Crowdstrike y muchas más.

¡Manténgase seguro en Internet!

Preguntas más frecuentes

A continuación encontrará las preguntas más frecuentes.