Preguntas frecuentes sobre 2FA

Añade una capa de protección además de la contraseña, normalmente un código de 6 dígitos generado por una app autenticadora. Aunque la contraseña se filtre, sin el código un atacante no puede entrar.

TOTP (Time-based One-Time Password, contraseña de un solo uso basada en el tiempo) es el algoritmo estándar definido en el RFC 6238. Combina una clave secreta con la hora actual para generar un código de 6 dígitos que cambia cada 30 segundos. Google Authenticator, Authy y 2FAA usan este algoritmo.

TOTP usa el tiempo actual como variable (cambia cada 30 s); HOTP usa un contador (incrementa con cada uso). TOTP es más común porque no requiere sincronizar contadores entre dispositivos.

Sí. El SMS es vulnerable al SIM swapping — el atacante convence al operador para transferir tu número a su SIM. Las apps autenticadoras generan los códigos en el propio dispositivo y no dependen de la red móvil, lo que es mucho más seguro.

La mayoría de servicios tienen 2FA en Seguridad o Configuración de la cuenta. Busca 'Autenticación de dos factores', 'Verificación en dos pasos' o 'Verificación de inicio de sesión'. El servicio mostrará un QR — escanéalo con tu app autenticadora para empezar a generar códigos.

Configuración de usuario → Mi cuenta → Activar autenticación de dos factores. Escanea el QR con tu app y mete el código de 6 dígitos. Discord te mostrará códigos de respaldo — guárdalos en un sitio seguro.

Settings → Password and authentication → Enable two-factor authentication. Elige 'Set up using an app', escanea el QR con 2FAA o cualquier app, introduce el código y guarda los códigos de respaldo.

Sí. Al configurar 2FA puedes escanear el mismo QR en varios dispositivos. Todos generarán el mismo código. También puedes guardar la clave secreta y añadirla en otro dispositivo después. 2FAA permite importar / exportar claves.

Son códigos de un solo uso que el servicio te proporciona al activar 2FA. Sirven para entrar si pierdes acceso a la app autenticadora (móvil perdido, reseteado…). Guárdalos en un lugar seguro — sin ellos y sin la app puedes quedarte bloqueado de la cuenta permanentemente.

Usa los códigos de respaldo. Si no los tienes, contacta con el soporte del servicio con verificación de identidad. Algunos permiten desactivar 2FA por email de recuperación. Para prevenir, usa 2FAA para gestionar claves en el navegador y exporta una copia de seguridad.

La causa más habitual es un reloj desincronizado. Los códigos TOTP dependen del tiempo exacto — un desfase de 30 segundos puede invalidar el código. Comprueba que el reloj del dispositivo está en modo automático/red. Verifica también que estás usando la clave correcta para la cuenta correcta.

En Google Authenticator pulsa ⋯ → Transferir cuentas → Exportar cuentas. Aparece un QR con todas tus claves. Escanéalo en el móvil nuevo con Google Authenticator, o usa la herramienta de importación de 2FAA para pasarlas al navegador.

Sí, siempre que funcione totalmente en el navegador y no envíe datos al servidor. 2FAA genera todos los códigos TOTP localmente con JavaScript. La clave se guarda en el almacenamiento local del navegador y nunca se transmite. Puedes verificarlo desde DevTools → Network.

Es cómodo, pero crea un punto único de fallo. Si pierdes el acceso a esa app, lo pierdes todo. Conviene guardar códigos de respaldo, exportar las claves a una copia segura, o usar dos métodos en paralelo.

Es difícil pero no imposible. Los ataques de phishing en tiempo real pueden interceptar códigos, pero el atacante debe usarlos en 30 segundos. El riesgo más real es la ingeniería social (te convencen de dar el código) o malware en el dispositivo. Aun así, 2FA con app sigue siendo de las mejores defensas contra el robo de cuentas.

2FAA es un conjunto de herramientas 2FA gratuitas y de código abierto. Incluye un autenticador TOTP en el navegador, una herramienta para importar de Google Authenticator, una extensión de Chrome con autorrelleno y un servidor MCP para agentes de IA. Todo se ejecuta en local.

No. Todas las claves se guardan en el almacenamiento local del navegador (o en chrome.storage.local en la extensión). Nada se envía al servidor. No hay sistema de cuentas, ni telemetría de tus datos 2FA.

Sí. 2FAA es una Progressive Web App (PWA). Tras la primera visita puedes instalarla y usarla totalmente offline. Generar códigos TOTP no necesita internet.