Autentificación en dos pasos: agrega más seguridad a tu cuenta

Bienvenidos a esta Guía sobre Autentificación en dos pasos: agrega más seguridad a tu cuenta. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Dentro de las medidas de protección de las cuentas, la correcta gestión de contraseñas es crucial. Que tenga (de ser posible) más de 8 dígitos alfanuméricos, que no se repita entre varias cuentas, que se cambie con frecuencia. Pero a veces, esto no es suficiente. Si por algún error se filtra tu contraseña, tu cuenta estará en riesgo. Para evitar esto, en muchas aplicaciones y servicios online puedes activar otra medida de seguridad: el doble factor de autentificación, o la autentificación en dos pasos (F2A). Hablaremos de esto, en este artículo.

La autenticación de dos factores (2FA) se define como un sistema de seguridad en el que el usuario, al intentar acceder a un sistema o aplicación, debe verificar su identidad de dos maneras distintas en lugar de solo con una contraseña. Este artículo explica la autenticación de dos factores en detalle y enumera sus beneficios, proceso y mejores prácticas en 2025.

¿Qué es el F2A?

En condiciones normales, para iniciar sesión puedes usar un nombre de usuario y una contraseña. Pero si lo que deseas es aumentar tu nivel de seguridad y la aplicación o web te lo permite, el F2A entra en juego.

Esta capa extra de seguridad, varía en cada aplicación. Una vez ingresado usuario y contraseña, vamos a necesitar resolver una medida más de seguridad. En algunas, es una pregunta de seguridad. En otras, puede ser un token, un código enviado a nuestro móvil o email, un dispositivo físico como USB, etc.

En algunos artículos, se diferencia la verificación en dos pasos (aquella que utiliza algo que envían, como un SMS) de la autentificación en dos pasos (que utiliza algo que tienes, como tus huellas digitales o tu rostro). Ambas tienen el mismo propósito, aunque por supuesto, el F2A es más seguro que la verificación, dado que al ser algo que te envían por email o SMS, puede ser interceptado, mientras que el F2A al ser algo que tú ya tienes, sería difícil ser interceptado.

En algunos dispositivos nuevos, el hecho de poder usar el patrón más la huella digital, permiten agregar capas extras de seguridad permanente. Lo bueno, es que muchas aplicaciones y sitios nos permiten guardar un dispositivo como “de confianza”, lo que significa que cuando iniciemos sesión desde ese dispositivo, no será necesario usar el F2A.

Desde luego, en estos casos es necesario recalcar que el dispositivo “de confianza” debería ser de uso exclusivo nuestro, totalmente asegurado (de ser posible con huella y código seguro) y extremar las medidas de prevención al usarlo.

Profundicemos

En la actualidad, una empresa típica funciona con múltiples activos: soluciones de software como servicio (SaaS) y aplicaciones de terceros. Esto incluye servicios tan cotidianos como el correo electrónico y operaciones sensibles como el acceso a los datos de los clientes. Para cada uno de estos servicios, los empleados reciben credenciales de usuario y, para asegurarse de que estas credenciales no provoquen un agujero de seguridad, los empleados deben practicar una buena higiene de contraseñas. 

Una buena higiene de contraseñas implica cambiarlas a intervalos regulares, hacerlas lo más complejas posible (combinaciones de letras, números y símbolos) y no repetirlas en distintas aplicaciones. Sin embargo, todo esto deja mucho margen para el error humano. Las contraseñas mal colocadas y las contraseñas sencillas y descifrables (por ejemplo, 12345) son los puntos más débiles de la seguridad empresarial, y los piratas informáticos lo saben muy bien. Si la fuerza bruta no funciona, prueban el phishing y otros ataques de ingeniería social para obtener acceso a las credenciales de los usuarios.

Las contraseñas son cosa del pasado 

Según el informe sobre violaciones de datos de 2024 de Verizon, el 80 % de las violaciones de datos se deben al uso de fuerza bruta o a credenciales robadas o perdidas. La postura de seguridad de una organización depende claramente de lo bien resguardados que estén sus diversos recursos, aplicaciones y servicios. A pesar de los múltiples niveles de seguridad de la infraestructura, el nivel de seguridad se reduce a lo bien diseñadas que estén las contraseñas. 

Todo esto indica que una organización no puede depender únicamente de las contraseñas tradicionales. Aquí es donde entra en juego la autenticación de dos factores. En pocas palabras, la 2FA implica dos pasos necesarios para la autenticación. El primer paso suele ser una contraseña tradicional, mientras que el segundo paso puede ser cualquier forma de autenticación que normalmente se basa en algo que el usuario tiene, como contraseñas de un solo uso (OTP), llaveros que generan tokens, escáneres de huellas dactilares o simplemente notificaciones automáticas enviadas a dispositivos móviles. Este paso adicional garantiza que incluso si los piratas informáticos obtienen acceso a la contraseña, seguirán necesitando otra información que el usuario posee personalmente para poder acceder a ella.

La autenticación de dos factores es un subconjunto de la autenticación multifactor (MFA). Mientras que la 2FA se limita a solo dos pasos de verificación, la MFA generalmente requiere más de dos pasos. La autenticación multifactor generalmente se implementa en los puntos de entrada a recursos de misión crítica. Por ejemplo, una aplicación bancaria puede requerir que los usuarios ingresen una contraseña como primer paso, ingresen una contraseña de un solo uso con límite de tiempo para el segundo paso de verificación y escaneen la huella digital como tercer paso para mayor seguridad. Sin embargo, la 2FA es la forma más común de MFA, especialmente cuando se trata de servicios de cara al cliente. 

Tipos Comunes de 2FA:

1. Códigos SMS: Se envía un código temporal a tu teléfono móvil.
2. Aplicaciones de Autenticación: Generan códigos de un solo uso (OTP) que cambian cada cierto tiempo. Ejemplos:
   • Google Authenticator
   • Microsoft Authenticator
   • Authy
3. Llaves de Seguridad Físicas: Dispositivos USB o NFC que debes conectar o acercar a tu dispositivo. Ejemplos:
   • YubiKey
   • Titan Security Key
4. Biometría: Huellas dactilares, reconocimiento facial o escaneo de iris.
5. Notificaciones Push: Se envía una notificación a tu dispositivo móvil que debes aprobar.

Tipos de implementación de 2FA

1. 2FA de cara al empleado

Se trata de una autenticación de dos factores a nivel interno y corporativo, que normalmente se aplica al correo electrónico, VPN, acceso remoto y servicios de terceros, como aplicaciones para compartir archivos, repositorios en la nube, etc. Las empresas deben asegurarse de que esta implementación sea uniforme en todos los niveles de la organización.

2. 2FA de cara al cliente

Se trata de un proceso de autenticación en capas por el que deben pasar los consumidores de los productos, aplicaciones o servicios de una organización para obtener mayor seguridad. Normalmente, nos encontramos con la autenticación de dos factores orientada al cliente en las soluciones bancarias. Esto suele implementarse para cumplir con los acuerdos de nivel de servicio y mantener el cumplimiento normativo.

La autenticación de dos factores no es solo una cuestión de seguridad. Según el sector en el que se desempeñe la organización, también puede ser un mandato regulatorio. Algunos sectores que suelen emplear la autenticación de dos factores son el de la atención médica (que tiene que cumplir estrictas regulaciones HIPAA), el comercio electrónico, las redes sociales y la educación (teniendo en cuenta que la pandemia de COVID-19 ha obligado a que la mayor parte de la educación se imparta en línea en todo el mundo).

Ejemplo de 2FA

Un ejemplo de autenticación de dos factores en las redes sociales lo encontramos en Instagram, que normalmente solo pide una contraseña para iniciar sesión. Sin embargo, también permite a los usuarios la opción de añadir un segundo paso de autenticación mediante un código de seguridad enviado como mensaje de texto o a través de una aplicación de autenticación. Esta sería una opción inteligente a tener en cuenta, especialmente para los influencers cuya marca depende en gran medida de su feed de Instagram.

Principales ventajas de la autenticación de dos factores

Los principales beneficios de un sistema de autenticación de dos factores son muchos, entre ellos: 

1. Reduce la superficie de ataque al reducir el error humano

Una empresa es tan débil como su contraseña más débil, y mantener docenas de contraseñas con los mandatos de higiene adecuados es bastante difícil. No es de extrañar que los ciberataques se dirijan predominantemente a los puntos de acceso al sistema que solo requieren contraseñas. La 2FA es un gran paso hacia el aumento de la seguridad. Es muy improbable que los piratas informáticos descifren cada paso del proceso de autenticación para obtener acceso.

2. Primer paso hacia un modelo de seguridad de confianza cero

Un modelo de seguridad de confianza cero es un concepto de seguridad que supone que todos los dispositivos, aplicaciones, usuarios y redes (ya sean internos o externos) no son confiables y necesitan medidas de seguridad adicionales. Esta no es una medida sorprendente, considerando que se prevé que se produzcan delitos cibernéticos. Abre una nueva ventanacostará al mundo 10,5 billones de dólares anuales para 2025. El primer paso hacia una estrategia de seguridad sin perímetro es proteger todos los puntos de acceso con seguridad adicional.

3. Permite a las empresas adoptar políticas BYOD

La pandemia de COVID-19 ha provocado un aumento inesperado en la cantidad de usuarios remotos. Las empresas que ni siquiera consideraban políticas BYOD en el pasado ahora se han visto obligadas a enfrentar redes y dispositivos externos que acceden a sus sistemas. Un sistema de autenticación de dos factores obliga a las empresas a enfrentar todos los escenarios BYOD e implementar medidas de autenticación adecuadas.

4. Ayuda a cumplir con las regulaciones de la industria.

Normas como la directiva del Consejo de Examen de Instituciones Financieras Federales (FFIEC) exigen la autenticación basada en múltiples factores para las transacciones bancarias por Internet. Cuando este tipo de mandatos regulan la industria, la forma más fácil de cumplir es implementar un proceso de autenticación de dos factores.

5. Aprovecha los avances de hardware en la vida cotidiana.

La informática ha avanzado a pasos agigantados a lo largo de los años. El público en general ahora tiene en sus manos hardware y capacidades informáticas muy potentes. De hecho, los avances llegan a las personas cada pocos meses. Tiene sentido aprovechar este poder para avanzar en los mecanismos de autenticación, protegiendo así los datos personales.

No hay duda de que la autenticación de dos factores beneficia a las empresas de todos los tamaños. La siguiente sección explica en qué consiste el proceso de autenticación de dos factores y qué se necesita para que las empresas lo implementen con éxito.

Explicación del proceso de autenticación de dos factores

La autenticación de dos factores, al igual que todos los procesos de autenticación multifactor, se basa en el principio de «factores». Cuando decimos que el usuario pasa por dos pasos de autenticación, en realidad queremos decir que se utilizan dos factores con el usuario. Las implementaciones de 2FA más eficaces utilizan una combinación de diferentes factores.

1. Factor de conocimiento (lo que sabe el usuario): Se trata de una contraseña, una pregunta de seguridad o un número PIN que, idealmente, sólo conoce el usuario. Suele ser el primer nivel de autenticación y es el más utilizado. 
2. Factor de posesión (lo que el usuario tiene): se trata de una autenticación basada en algo que el usuario tiene, como un teléfono móvil, una tarjeta SIM, una tarjeta inteligente o un llavero. Incluso si un hacker obtiene acceso a la contraseña, también necesita acceder a una de estas posesiones para penetrar con éxito en el sistema. 
3. Factor inherente (qué es el usuario) : se trata de una autenticación basada en rasgos biológicos únicos, como la huella dactilar, el iris del ojo y los rasgos faciales . Normalmente, esto requiere un hardware de lectura, una base de datos y un software para procesar la autenticación. 
4. Factor de ubicación (dónde se encuentra el usuario) : se basa en la ubicación desde donde proviene la solicitud de acceso del usuario. Utiliza la dirección IP de la solicitud y la geolocalización del usuario si está disponible.
5. Factor de tiempo (cuando el usuario está) : se basa en el momento en que el usuario solicita acceso. Por ejemplo, si el horario laboral de un empleado es entre las 9:00 a. m. y las 5:00 p. m. y no se le ha otorgado acceso para iniciar sesión después de esa hora, se rechaza la solicitud.

Los factores que debe utilizar cada organización se basan en varios aspectos: ¿está orientada al cliente o al empleado? ¿A qué dispositivos y aplicaciones tienen acceso los usuarios que intentan acceder? ¿En qué puntos de la aplicación o el sistema se implementa la autenticación de dos factores?

Componentes de la autenticación de dos factores

Comprendamos en detalle los siete componentes de 2FA.

1. Fichas

Los tokens son identificadores únicos que se les dan a los usuarios para su autenticación. Existen distintos tipos de tokens de autenticación. Los tokens de seguridad son aquellos generados por hardware, como dispositivos habilitados para USB y llaveros. Los tokens de software son aquellos generados en el mismo dispositivo.

Los teléfonos móviles son los vehículos más comunes para interceptar tokens. La función de autenticación de dos factores más básica que admiten las aplicaciones y los servicios implica el envío de tokens al usuario a través de un mensaje de texto o una llamada de voz. 

2. Notificaciones push

Esto implica enviar una notificación al dispositivo del usuario detallando la solicitud de acceso y otros detalles como la ubicación, el dispositivo desde el que se originó la solicitud y la dirección IP. Esto no implica ningún código o token real como tal. Todo lo que el usuario debe hacer es aceptar la solicitud a través de una aplicación de autenticación. Esto elimina los ataques de intermediarios en los que los piratas informáticos intentan interceptar mensajes de texto y voz.

3. Biometría

Estos tokens no son códigos sino huellas dactilares, mapas faciales y patrones de retina . Es un factor inherente a la autenticación y requiere el hardware adecuado para funcionar.

4. Contraseña de un solo uso basada en tiempo (TOTP)

Los OTP basados ​​en tiempo se generan en el dispositivo con el que el usuario intenta iniciar sesión. Por lo general, adoptan la forma de un código QR. Al escanear este código con un teléfono móvil, se genera un código que es válido solo durante un período de tiempo específico. Luego, el usuario puede ingresarlo en el sitio web o la aplicación a la que desea acceder.

5. Fichas U2F

Los tokens de segundo factor universal (U2F) son una versión de los tokens de hardware. El hardware se monta en el dispositivo al que se accede a través de un USB. Se genera un nuevo token al presionar un pequeño botón «generar». El token generado se utiliza luego para obtener acceso.

6. WebAuth

La API de autenticación web (o WebAuthn) permite que las aplicaciones de terceros utilicen las funciones integradas de los ordenadores portátiles, los navegadores y otros dispositivos. Utiliza criptografía basada en clave pública. Se trata de una de las formas de autenticación más seguras, aunque el proceso está muy vinculado a los dispositivos específicos para los que está diseñado.

7. Autenticador

El autenticador es el hardware o software que reconoce y autentica a los usuarios mediante los tokens introducidos. Dentro de una organización, se trata de un sistema uniforme que acepta o rechaza la solicitud de acceso y crea sesiones de usuario. Suele funcionar en sincronía con otros sistemas, como las soluciones de gestión de identidades y accesos (IAM) . Estas suelen implementarse como software, hardware o una combinación de ambos. Las organizaciones también pueden optar por servicios de terceros para hacer lo mismo.

Una parte clave de este proceso es la forma en que el autenticador se vincula con los datos de autenticación de la organización. Los datos de autenticación de la organización consisten en contraseñas cifradas almacenadas, OTP, patrones faciales, etc. Ya sea un sistema interno o una solución de terceros, esta comunicación debe realizarse teniendo en cuenta la seguridad y el cumplimiento normativo.

Configuración de la autenticación de dos factores

Al diseñar un proceso de autenticación, las organizaciones deben identificar todos los puntos de acceso del sistema. Una vez identificados estos puntos, las partes interesadas deben decidir cuáles de ellos requieren 2FA para una mayor seguridad. Se utiliza una consola de administración centralizada (que suele ser parte de la IAM) para configurar los factores necesarios en cada uno de estos puntos. Estos suelen estar relacionados con las políticas de acceso. 

La autenticación adaptativa , o autenticación basada en el contexto, utiliza políticas de autenticación condicional para otorgar acceso a los usuarios. Estas políticas se activan en función de cómo, cuándo y desde dónde llega la solicitud de inicio de sesión. Dentro del mismo sistema, la aplicación A puede configurarse para utilizar una contraseña tradicional y un OTP basado en texto, mientras que una aplicación B más crítica puede configurarse para incluir la autenticación adaptativa basada en tiempo y ubicación como uno de sus factores.

Constantemente aparecen nuevas formas de tokens y autenticadores. Una buena configuración de 2FA requiere un delicado equilibrio entre seguridad, facilidad de uso y escalabilidad. 

Las 10 mejores prácticas para implementar y gestionar la autenticación de dos factores en 2025

Teniendo en cuenta los diversos matices que se requieren para implementar y gestionar la autenticación de dos factores, aquí están las mejores prácticas que las organizaciones deben seguir para obtener los mejores resultados.

1. Cree una lista completa de puntos de acceso

El primer paso para crear un sistema de autenticación de dos factores es revisar todos los activos, aplicaciones y servicios que se utilizan en las redes de la organización. Esta tarea puede resultar más difícil de lo que parece, ya que también hay que tener en cuenta las aplicaciones de uso diario, como el correo electrónico y los comunicadores internos, como Slack. 

Una vez que se haya enumerado todo, desde el correo electrónico hasta el acceso a la base de datos, seleccione solo aquellos que sean lo suficientemente vulnerables como para ser atacados por piratas informáticos. Habilitar la autenticación de dos factores para cada punto de acceso del sistema puede resultar excesivo. 

2. Elija factores de autenticación en función de los requisitos de la organización

No todos los puntos de acceso requieren las mismas estrategias de autenticación. Las soluciones de autenticación de dos factores rara vez son un sistema que se adapte a todos. Por lo tanto, elegir soluciones estándar e incorporarlas a la infraestructura no es una buena idea. Las organizaciones deben considerar qué hardware y software utilizan y cómo pueden aprovechar esto para crear un proceso de implementación de 2FA óptimo. Por ejemplo, si todos los empleados poseen dispositivos con escáneres de huellas dactilares, ese puede ser uno de los factores de autenticación implementados.

3. Considere los mandatos de la industria

Las industrias como la atención médica están sujetas a mandatos estrictos como HIPAA, que incluso dictan cómo se deben almacenar los datos con fines de privacidad. En casos como este, se deben considerar los tokens adecuados. Los tokens de notificación push, biométricos y WebAuthn son los factores más seguros a día de hoy. Para evitar las elevadas multas que siguen a una filtración de datos, invertir en estos tokens tiene todo el sentido.

4. Tenga en cuenta los costos de implementación, gestión y escalamiento

Como sucede con cualquier actividad relacionada con la seguridad, los costos deben calcularse antes de la implementación. Los tokens basados ​​en OTP son los más económicos de implementar. Pero, ¿el sistema se adaptará a la visión de la empresa de seguir innovando? Es necesario responder a esta pregunta, con disposiciones para agregar factores de autenticación adicionales cuando sea necesario.

5. Crear el equilibrio óptimo entre usabilidad y seguridad

Si bien es tentador agregar puntos de control de 2FA en cada punto de acceso posible, esto genera una mala planificación. Cuando se trata de una autenticación de cara al cliente, demasiados pasos de autenticación pueden hacer que los usuarios abandonen la aplicación. Cuando se trata de una autenticación de cara al empleado, los requisitos de autenticación constantes solo afectarán la productividad. La autenticación de dos factores solo debe implementarse en puntos cruciales. Si es necesario, la combinación de 2FA con otras prácticas como SSO brinda una buena seguridad. 

6. Tenga a mano opciones de recuperación de cuenta

La mayoría de los factores de autenticación son efímeros por naturaleza (se basan en el tiempo o el contexto). Los usuarios pueden extraviar fácilmente los tokens basados ​​en hardware. Lo mismo ocurre con los teléfonos: se pueden romper o perder muy fácilmente. En caso de que un usuario ya no pueda acceder a un canal de autenticación, se deben implementar medidas para que pueda iniciar sesión de todos modos. Esto no significa que el usuario pueda simplemente volver a la contraseña tradicional. Los administradores deben poder cambiar el canal de autenticación a pedido o proporcionar algo similar a «Olvidé mi contraseña».

7. Garantizar la compatibilidad cuando se trata de soluciones de terceros

Las soluciones de terceros pueden presumir de contar con lo último en autenticación de dos factores (biometría y demás), pero ¿serán compatibles con la infraestructura existente de la organización? ¿La solución crecerá con la organización o, al menos, funcionará junto con otras soluciones de seguridad? Las partes interesadas deben analizar sus soluciones de IAM y PAM existentes antes de tomar una decisión.

8. Proporcionar múltiples opciones de autenticación para los usuarios.

Siempre es mejor asumir que el mismo conjunto de tokens no estará disponible para el usuario en cada momento. Por ejemplo, al intentar verificar una nueva cuenta de YouTube durante su creación, el usuario tiene tres opciones: un OTP basado en tiempo enviado al correo electrónico, un SMS enviado al móvil o una llamada telefónica al móvil. El usuario puede seleccionar una de estas opciones en función de la accesibilidad a cada una.

9. Evaluar y actualizar periódicamente el plan de autenticación

Las empresas crecen día a día. La mayor parte de la infraestructura ya no se encuentra en las instalaciones. Las soluciones y los servicios dinámicos basados ​​en la nube hacen que la infraestructura sea algo vivo y en crecimiento. Todos los días se agregan nuevos puntos de acceso y los roles de los usuarios también cambian constantemente. Todos los días surgen nuevas capacidades de hardware y los sistemas complejos llegan a las manos de los usuarios cotidianos. Con todo esto en mente, es mejor reevaluar la estrategia de autenticación de dos factores a intervalos programados. 

10. Considere la escalabilidad y disponibilidad de tokens basados ​​en voz y texto

Al utilizar tokens basados ​​en voz y texto, las empresas deben admitir múltiples operadores para garantizar una alta disponibilidad. Las opciones de enrutamiento dinámico garantizan que todas las solicitudes de tokens se gestionen de manera inmediata y precisa. El sistema debe escalar para grandes volúmenes de solicitudes. Los usuarios esperan una respuesta inmediata a las solicitudes de tokens y la autenticación, salvo que los usuarios y empleados se encuentren bloqueados fuera del sistema.

¿Es infalible?

En el mundo de hoy, nos hemos acostumbrado a buscar blancos o negros. Pero como sabemos, en el ámbito de la tecnología esto no es tan simple. Lo cierto es que estas medidas de seguridad, representan otra barrera de protección, pero la verdad es que nada es totalmente seguro. Pero combinando un comportamiento precavido y responsable, con una contraseña segura y una activación correcta del F2A, definitivamente complicarán más las cosas para posibles atacantes.

No es necesario activar el F2A en absolutamente todos los sitios o apps (aunque nunca está de mas hacerlo), pero te recomendamos que la actives en los sitios cruciales, donde guardes información muy importante o manejes dinero (ya sabes: Fornite, Cuentas Bancarias, Google Drive, Gmail, etc.).

Recuerda de todas formas, que el ser precavido y responsable en el uso de tus dispositivos, evitará o disminuirá las posibilidades de caer en manos de un atacante.

Podemos recomendarte también, que en las aplicaciones con F2A externo, revises la aplicación Autenticator, que te permite servir como capa extra, dotando códigos de un solo uso, temporales y variables,

Descargar Aplicaciones de 2FA:

• Google Authenticator:
  • Android (Google Play)
  • iOS (App Store)
• Microsoft Authenticator:
  • Android (Google Play)
  • iOS (App Store)
• Authy:
  • Sitio Web Oficial (Versiones para Android, iOS, Windows y Mac)
• YubiKey (Llave Física):
  • Sitio Web Oficial

¿Te gustaría saber cómo configurarlo en alguna plataforma específica?

Para concluir, es necesario recordar que esta medida no exime mantener contraseñas seguras, cambiarlas con frecuencia y no repetirlas.

Recuerda, si te gusto el artículo, dejarme tus comentarios en mis RRSS.