Autenticación de dos factores (2FA)

Definición

💡 Autenticación de dos factores (2FA): una capa de seguridad que te obliga a demostrar quién eres dos veces antes de acceder a tu correo electrónico. Piensa en nombre de usuario y contraseña (algo que sabes), más un código de tu teléfono (algo que tienes). Básicamente, es como un portero que revisa tanto tu identificación como tu invitación antes de dejarte entrar al club.

¿Qué hace la 2FA?

La cosa es así: las contraseñas son pésimas para proteger tu correo electrónico. Alguien puede adivinarlas, robarlas en una filtración de datos o engañarte para que las entregues en una estafa de phishing. Y una vez que tienen tu contraseña, ya están dentro.

La autenticación de dos factores soluciona ese problema al exigir una segunda prueba de identidad. Aunque los hackers roben tu contraseña, igual no pueden acceder a tu cuenta sin ese segundo factor (normalmente un código enviado a tu teléfono o generado por una app de autenticación). Según la investigación de Google, activar la 2FA bloquea el 100% de los ataques automatizados de bots y el 96% de los ataques masivos de phishing. No es una mejora pequeña.

En el caso del correo electrónico, esto importa todavía más de lo normal. Tu bandeja de entrada es la llave maestra de todo lo demás. Restablecimientos de contraseña, extractos financieros, documentos de trabajo, conversaciones privadas. Si alguien entra en tu correo, básicamente puede apoderarse de tu vida digital. ¿De qué sirve una contraseña segura si un solo enlace de phishing lo arruina todo? La 2FA es la cerradura que de verdad funciona.

Tipos de 2FA

Tienes varias opciones para ese segundo factor, y no todas son igual de seguras:

Los códigos por SMS son los más comunes. Introduces tu contraseña y luego el servicio te envía por SMS un código de 6 dígitos a tu teléfono. Simple, funciona en todas partes, pero no es la opción más segura. Ni de cerca. Los hackers pueden interceptar mensajes SMS mediante SIM swapping o ataques de ingeniería social contra tu operador.

Las apps de autenticación generan códigos basados en el tiempo que cambian cada 30 segundos (por eso se llaman códigos TOTP, pero bueno). Apps como Google Authenticator, Authy o Microsoft Authenticator crean estos códigos sin conexión, lo que hace que sea mucho más difícil robarlos. Esto es lo que recomienda la mayoría de la gente de seguridad para proteger tu cuenta de correo electrónico.

Las llaves de seguridad físicas son dispositivos físicos (como YubiKey, unos 25-50 dólares) que conectas a tu computadora o tocas con tu teléfono. ¿Necesitas la opción más segura? Esta es. Son las más seguras porque, literalmente, no hay nada que los hackers puedan interceptar. Pero tienes que llevarlas contigo y, si la pierdes, te quedarás fuera hasta que uses tu método de respaldo.

La autenticación biométrica usa tu huella dactilar o tu rostro para verificar que eres tú. Es bastante cómoda en teléfonos, aunque técnicamente suele usarse junto con otro factor en lugar de sustituirlo por completo.

La mayoría de la gente empieza con códigos SMS porque son fáciles y luego se pasa a apps de autenticación cuando se da cuenta de que el SMS no es gran cosa. Las llaves de seguridad físicas son sobre todo para personas con necesidades de alta seguridad (periodistas, activistas, ejecutivos).

Cómo activar la 2FA

Configurar esto lleva unos cinco minutos y varía ligeramente según el proveedor.

En Gmail:

• Ve a la configuración de tu cuenta de Google en myaccount.google.com
• Haz clic en Seguridad en la barra lateral izquierda
• Desplázate hasta Cómo inicias sesión en Google y haz clic en Verificación en 2 pasos
• Haz clic en Comenzar y sigue las instrucciones
• Elige tu segundo factor (número de teléfono para SMS o app de autenticación)
• Guarda tus códigos de respaldo en un lugar seguro por si pierdes acceso a tu teléfono

En Outlook:

• Inicia sesión en account.microsoft.com
• Haz clic en Seguridad en la parte superior
• Selecciona las opciones de Seguridad avanzada
• En Verificación en dos pasos, haz clic en Activar
• Sigue el asistente de configuración (normalmente empieza con tu número de teléfono)
• Descarga la app Microsoft Authenticator si prefieres usar códigos basados en app

En Yahoo Mail:

• Ve a la página Seguridad de la cuenta de Yahoo
• Haz clic en Verificación en dos pasos
• Actívala
• Introduce tu número de teléfono para recibir códigos SMS
• Verifica el código que te envíen
• Genera métodos de respaldo por si tu teléfono deja de funcionar

Proton Mail en realidad te obliga a seguir un proceso ligeramente distinto, porque se toman la seguridad muy en serio. Admiten apps de autenticación TOTP y llaves de seguridad físicas, pero deliberadamente no ofrecen SMS (porque es menos seguro).

Buenas prácticas

Usa una app de autenticación, no SMS. Sí, el SMS es más fácil de configurar. Pero también es más fácil de secuestrar. Las apps de autenticación son realmente más seguras y casi igual de cómodas una vez que ya las tienes funcionando.

Guarda tus códigos de respaldo de inmediato. Todos los servicios te dan un conjunto de códigos de un solo uso cuando activas la autenticación de dos factores. Hazles una captura de pantalla, imprímelos, guárdalos en un gestor de contraseñas. Lo que te funcione. Simplemente no te saltes este paso, porque cuando tu teléfono se rompa a las 11 de la noche, los vas a necesitar.

Activa también la 2FA en tu correo de recuperación. Si tu cuenta de correo de respaldo no está protegida, los hackers pueden usarla para restablecer tu contraseña y saltarse por completo la 2FA. Más o menos anula el propósito.

Registra varios dispositivos si es posible. La mayoría de los servicios te permiten configurar la 2FA en tu teléfono y tu tablet. Hazlo. La redundancia te salva cuando un dispositivo no está disponible.

No uses el mismo segundo factor en todas partes. Si usas SMS para todo y alguien te hace SIM swapping, podrá acceder a todas tus cuentas de una sola vez. Varíalo. Usa una app de autenticación para las cuentas importantes y SMS para las de menor riesgo.

Revisa tus dispositivos de confianza con regularidad. ¿Esa laptop del trabajo que devolviste hace dos años? Sigue en tu lista de dispositivos de confianza. Ve a limpiarlo cada pocos meses.

Contenido relacionado

• Privacidad del correo electrónico en Spark: todo lo que necesitas saber
• Spark presenta buzones compartidos para equipos

Términos relacionados

• Autenticación de correo electrónico
• Correo electrónico de phishing
• Certificado de correo electrónico
• Cuenta de correo electrónico