SecuryBlack
Blog/2fa

Guía completa de autenticación en dos pasos (2FA)

·7 min de lectura
Guía completa de autenticación en dos pasos (2FA)

Tu contraseña, por muy segura que sea, puede acabar filtrada en una brecha de datos. ¿Qué ocurre entonces? Si solo usas contraseña, el atacante tiene acceso directo. Si usas autenticación en dos pasos (2FA), necesita algo más. Esta guía te explica todo lo que necesitas saber.

¿Qué es la autenticación en dos pasos?

La autenticación en dos pasos (2FA, del inglés Two-Factor Authentication) es un método de seguridad que requiere dos elementos para verificar tu identidad:

  1. Algo que sabes — Tu contraseña
  2. Algo que tienes — Tu teléfono, una llave física o una app

Solo cuando ambos factores se verifican, obtienes acceso. Si un atacante tiene tu contraseña pero no tiene tu teléfono, no puede entrar.

Métodos de 2FA: del menos al más seguro

1. SMS (menos seguro)

Te envían un código por mensaje de texto al móvil.

Ventaja: Fácil de configurar, no necesitas ninguna app.

Problema: Los SMS pueden ser interceptados mediante SIM swapping (un atacante convence a tu operadora de transferir tu número a otra SIM).

2. App de autenticación (recomendado)

Una app genera códigos temporales de 6 dígitos que cambian cada 30 segundos.

Apps populares:

  • Google Authenticator
  • Microsoft Authenticator
  • Authy (permite backup en la nube)

Ventaja: No depende de tu operadora telefónica. Los códigos se generan localmente.

3. Llave de seguridad física (más seguro)

Un dispositivo USB que debes conectar físicamente para autenticarte.

Ejemplos: YubiKey, Google Titan

Ventaja: Inmune a phishing — el dispositivo verifica que estás en el sitio real. Es el método más seguro que existe.

Desventaja: Cuesta entre 25-60€ y necesitas llevarla encima.

Cómo activar 2FA en los servicios más comunes

Gmail / Google

  1. Ve a myaccount.google.com/security
  2. Busca "Verificación en dos pasos"
  3. Elige tu método (app recomendada)
  4. Escanea el código QR con tu app

Microsoft / Outlook

  1. Ve a account.microsoft.com/security
  2. Selecciona "Verificación en dos pasos"
  3. Sigue las instrucciones

Instagram

  1. Configuración → Seguridad → Autenticación en dos pasos
  2. Elige "App de autenticación"
  3. Escanea el QR

WhatsApp

  1. Configuración → Cuenta → Verificación en dos pasos
  2. Configura un PIN de 6 dígitos

Bancos

La mayoría de bancos españoles ya implementan 2FA obligatorio para operaciones sensibles. Revisa la configuración de seguridad de tu banca online.

Códigos de recuperación: no los pierdas

Al activar 2FA, la mayoría de servicios te darán códigos de recuperación. Son tu plan B si pierdes el acceso a tu segundo factor (por ejemplo, si pierdes el teléfono).

Consejo: Guarda estos códigos en un lugar seguro — no en el mismo teléfono donde tienes la app de autenticación. Opciones:

  • En un gestor de contraseñas
  • Impresos en un lugar seguro
  • En un USB cifrado

Errores comunes con 2FA

  1. Activar solo SMS — Mejor que nada, pero vulnerable a SIM swapping
  2. No guardar los códigos de recuperación — Si pierdes el móvil, pierdes el acceso
  3. Activar 2FA solo en el email — Actívalo en todos los servicios que lo permitan
  4. Pensar que 2FA hace innecesaria una buena contraseña — Son complementarios, no sustitutos

¿2FA es infalible?

No. Ningún sistema es 100% seguro. Pero 2FA hace que un ataque sea enormemente más difícil. Un atacante ya no solo necesita tu contraseña (que puede obtener de una filtración), también necesita tu dispositivo físico.

Según Google, activar 2FA bloquea el 100% de los bots automatizados, el 99% de los ataques de phishing masivo y el 90% de los ataques dirigidos.

El primer paso es saber si tus contraseñas ya están filtradas. Compruébalo gratis con SecuryBlack y activa 2FA donde sea más urgente.