🔐 Qué es la autenticación en dos pasos y cómo activarla en tus cuentas más importantes
Una contraseña, por fuerte que sea, puede ser robada. Puede aparecer en una filtración de datos, ser capturada por phishing o adivinada mediante ataques automatizados. La autenticación en dos pasos — también llamada 2FA o verificación en dos pasos — es la medida que hace que eso deje de ser suficiente para que alguien acceda a tus cuentas.
Es probablemente el cambio de seguridad con mayor impacto que puedes hacer hoy, y activarlo lleva menos de cinco minutos por cuenta.
🔎 Qué es exactamente la autenticación en dos pasos
Es un sistema que requiere dos formas de verificación para acceder a una cuenta en lugar de solo una. La primera es tu contraseña — algo que sabes. La segunda es un código temporal que solo tú puedes obtener en ese momento — algo que tienes.
Aunque alguien consiga tu contraseña, sin ese segundo factor no puede entrar. Es como tener una cerradura con dos llaves distintas — necesitas las dos al mismo tiempo.
🧠 Tipos de segundo factor — cuál es más seguro
Códigos por SMS
El método más extendido. Cuando intentas entrar, recibes un SMS con un código de seis dígitos que debes introducir. Es fácil de usar pero es el menos seguro de los métodos disponibles.
El problema es que los SMS pueden ser interceptados mediante una técnica llamada SIM swapping — el atacante convence a tu operadora de que eres tú y transfiere tu número a una SIM bajo su control. También pueden ser interceptados en redes inseguras. Para cuentas muy sensibles como el banco o el correo, usa una opción más segura si está disponible.
Apps de autenticación — la opción recomendada
Apps como Google Authenticator, Authy o Aegis generan códigos de seis dígitos que cambian cada 30 segundos directamente en tu dispositivo, sin necesidad de conexión a internet. No pueden ser interceptados en tránsito porque nunca salen de tu teléfono.
Son la opción recomendada para la mayoría de usuarios. Google Authenticator es la más sencilla. Authy añade copias de seguridad cifradas en la nube, útil si cambias de móvil. Aegis es de código abierto y la preferida por los más preocupados por la privacidad — solo disponible en Android.
Notificaciones push
Recibes una notificación en tu móvil preguntando si eres tú quien intenta entrar. Solo tienes que pulsar «Sí» o «Aprobar». Es cómodo y seguro. Algunos servicios como Google y Microsoft lo usan por defecto.
Llaves de seguridad físicas
Dispositivos físicos como YubiKey que se conectan por USB o NFC. Son el método más seguro disponible — prácticamente imposibles de interceptar remotamente. Son la opción para quienes necesitan máxima seguridad, aunque tienen un coste y requieren llevar el dispositivo físico consigo.
⚙️ Cómo activar el 2FA en las cuentas más importantes
Gmail y cuenta de Google
Ve a myaccount.google.com → Seguridad → Verificación en dos pasos → Comenzar. Google te guiará por el proceso. Puedes elegir entre notificación push en tu móvil, app de autenticación o SMS. La notificación push es la opción por defecto y la más cómoda para usuarios de Android.
Outlook y cuenta de Microsoft
Ve a account.microsoft.com → Seguridad → Opciones de seguridad avanzadas → Verificación en dos pasos. Microsoft ofrece su propia app Microsoft Authenticator, que también acepta otras apps de autenticación estándar.
Ve a Configuración → Seguridad → Autenticación en dos pasos. Puedes elegir entre app de autenticación o SMS. La app de autenticación es la opción recomendada.
Ve a Configuración → Seguridad e inicio de sesión → Autenticación en dos factores. Igual que Instagram, ofrece app de autenticación o SMS.
Ve a Ajustes → Cuenta → Verificación en dos pasos → Activar. WhatsApp usa un PIN de seis dígitos que debes introducir periódicamente. No es el 2FA tradicional pero añade una capa de protección importante contra el robo de cuenta.
Banca online
La mayoría de bancos españoles tienen el 2FA activo por defecto para operaciones sensibles, usando SMS o su propia app. Verifica en la configuración de seguridad de tu banco que está activado y considera cambiar de SMS a la app oficial del banco si la ofrece.
🚫 Errores comunes que debes evitar
No guardar los códigos de recuperación
Cuando activas el 2FA, la mayoría de servicios te dan entre 8 y 10 códigos de recuperación de un solo uso para usar si pierdes acceso a tu segundo factor. Guárdalos en un lugar seguro — un papel en casa, un gestor de contraseñas — y nunca en el mismo dispositivo que usas para el 2FA. Sin esos códigos, si pierdes el móvil puedes quedarte bloqueado fuera de tu propia cuenta.
Compartir códigos de verificación
Un código de 2FA es de un solo uso y personal. Ninguna empresa, banco ni servicio técnico legítimo te pedirá nunca que compartas ese código. Si alguien te lo pide, es una estafa diseñada para tomar el control de tu cuenta en ese momento.
Usar solo SMS cuando hay opciones más seguras
El SMS es mejor que nada, pero si el servicio ofrece app de autenticación, úsala. El esfuerzo adicional es mínimo y la seguridad es significativamente mayor.
No activarlo en el correo electrónico
El correo es la cuenta más crítica. Si tienes que elegir solo una cuenta para proteger con 2FA, es el correo. Desde él se pueden restablecer las contraseñas de todas las demás.
❓ Preguntas frecuentes
¿Qué hago si pierdo el móvil y no puedo acceder al 2FA? Usa los códigos de recuperación que guardaste al activar el 2FA. Si no los tienes, cada servicio tiene un proceso de verificación de identidad para recuperar el acceso — suele requerir confirmar datos personales o esperar un período de seguridad. Por eso guardar los códigos de recuperación es tan importante.
¿Es molesto usar 2FA en el día a día? Solo añade unos segundos al proceso de inicio de sesión, y la mayoría de servicios solo te piden el segundo factor cuando accedes desde un dispositivo nuevo. Una vez que el dispositivo es reconocido, no vuelve a pedirlo hasta que cierras sesión o pasa un período de tiempo.
¿Puedo usar la misma app de autenticación para todas mis cuentas? Sí. Google Authenticator, Authy y Aegis pueden gestionar los códigos de múltiples cuentas en la misma app. Cada cuenta aparece como una entrada separada con su propio código rotativo.
¿El 2FA me protege completamente? Reduce drásticamente el riesgo pero no es infalible. Existen ataques de phishing en tiempo real que pueden capturar el código de 2FA mientras lo introduces. Las llaves físicas son el único método que los elimina completamente. Para la mayoría de usuarios una app de autenticación ofrece una protección más que suficiente.
✅ Conclusión
La autenticación en dos pasos es la medida de seguridad con mejor relación entre esfuerzo y protección que existe. Añade unos segundos al inicio de sesión y convierte una contraseña robada en algo prácticamente inútil para un atacante. Actívala hoy en tu correo electrónico, tu banco y tus redes sociales. Con eso ya estás significativamente mejor protegido que la mayoría de usuarios.
✍️ Artículo elaborado por el equipo de NexoDigital
