La autenticación de dos factores, en cristiano

La autenticación de dos factores es el ajuste de seguridad con mayor impacto que la mayoría de la gente no está usando. Los datos publicados por Microsoft dicen que bloquea más del 99% de las apropiaciones automatizadas de cuentas. Y aun así tiene fama de incómodo, en parte porque los tres tipos habituales ("código por SMS", "app autenticadora", "llave de seguridad") se mencionan como si fueran intercambiables. No lo son. Aquí va la versión práctica.

Qué hace realmente el 2FA

Las contraseñas se filtran constantemente. Volcados de bases de datos, páginas de phishing, malware en el navegador, reutilización de contraseñas: hay demasiadas formas de que una de las tuyas acabe en la hoja de cálculo de alguien. El 2FA añade una segunda comprobación ligada a algo que tienes, no solo a algo que sabes. Los atacantes que roben tu contraseña también tienen que robar ese segundo factor, en tiempo real, en el mismo dispositivo: mucho más difícil.

2FA por SMS

Llega un código de seis dígitos por mensaje de texto. Lo introduces. Es lo más fácil de usar porque cualquier teléfono ya lo soporta, y por eso mismo es el nivel mínimo de seguridad aceptable: suficiente para frenar bots de credential stuffing, pero vulnerable a ataques de intercambio de SIM (un atacante convence a la operadora de portar tu número) y a la interceptación silenciosa de SMS en redes débiles.

Bueno para: cuentas de bajo valor en las que prefieres no instalar otra app. Foros, tiendas, listas de correo.

Malo para: correo electrónico, banca, portales gubernamentales, cualquier cosa que controle otras cuentas.

Apps autenticadoras (TOTP)

Apps como Google Authenticator, 1Password, Bitwarden y Authy generan un código nuevo de seis dígitos cada 30 segundos, derivado de un secreto guardado solo en tu dispositivo. Sin SMS y sin operadora: los códigos funcionan sin conexión. Los ataques de phishing que capturan tu contraseña y un único código todavía pueden funcionar, pero el intercambio de SIM deja de ser relevante.

Consejo de configuración: cuando un sitio te muestre el código QR, guarda también el texto de la semilla (la mayoría de apps autenticadoras la exportan). Si pierdes el teléfono sin la semilla y sin códigos de recuperación, tendrás que resetear cada cuenta desde cero.

Bueno para: casi todo. La mayoría de proveedores de correo, redes sociales, exchanges de criptos y herramientas de desarrollo soportan TOTP, y es gratis.

Llaves de seguridad (FIDO2 / WebAuthn / passkeys)

Una llave USB o NFC (YubiKey, Titan, y desde hace poco también las "passkeys" integradas en el llavero de iOS y Android) que firma criptográficamente el desafío de login. Lo importante es que está ligada al dominio del sitio: una página de phishing idéntica a la real simplemente no obtendrá una firma. Es el único método 2FA habitual que derrota al phishing bien construido.

Bueno para: correo principal, gestor de contraseñas, cualquier cosa que no te puedas permitir perder. Compra dos llaves, registra ambas, guarda una en un cajón.

Dónde encajan los números temporales

Los números SMS temporales son perfectos para el paso inicial de registro, pero no son adecuados para el 2FA por SMS continuo: para cuando necesitaras recibir un código, el número ya habrá vuelto al pool. Buena práctica: regístrate con un número temporal, configura inmediatamente TOTP en los ajustes de seguridad de la cuenta y guarda los códigos de recuperación en sitio seguro. Entonces el número temporal puede desaparecer.

Los códigos de recuperación merecen una mención

Casi todas las pantallas de configuración del 2FA te ofrecen una lista de códigos de recuperación de un solo uso. Imprímelos o guárdalos en tu gestor de contraseñas. Son lo que te permite volver a entrar si pierdes todos los dispositivos. No te saltes este paso: recuperar una cuenta sin ellos suele exigir documentos de identidad y semanas de espera.

Recomendaciones rápidas

• Correo electrónico y gestor de contraseñas: llave de seguridad primero, TOTP como respaldo.
• Banco, bróker, exchange: el nivel más alto que ofrezcan.
• Redes sociales, herramientas de desarrollo, SaaS de trabajo: TOTP.
• Foro aleatorio que exige un número de teléfono: SMS temporal y luego TOTP tras el registro.