¿Qué es 2FA?
En resumen: al iniciar sesión necesitas algo más que la contraseña (normalmente un código de 6 dígitos en el móvil). Aunque la contraseña se filtre, un atacante no podrá entrar. Este artículo explica el principio, los métodos y su seguridad.
¿Qué son los "dos factores"?
Hay tres tipos de "factores" de autenticación (escoge 2 de 3 y tienes 2FA):
- Algo que sabes — contraseña, PIN.
- Algo que tienes — móvil, llave física, código de recuperación.
- Algo que eres — huella, Face ID (suele usarse solo para desbloquear el dispositivo).
Solo contraseña = 1 factor. Contraseña + código de 6 dígitos = 2 factores — eso es 2FA.
Comparación de métodos 2FA comunes
| Método | Seguridad | Uso recomendado |
|---|---|---|
| Llave física (YubiKey) | Máxima | Email, gestor de contraseñas, admin GitHub |
| Passkey | Muy alta | Apple, Google, GitHub si lo soportan |
| App autenticadora (TOTP) | Alta | La opción más común — úsala por defecto |
| Notificación push | Media | Si el servicio lo soporta nativamente |
| SMS | Baja | Cuando no hay otra opción |
¿Cómo se genera un código TOTP?
TOTP (Time-based One-Time Password, RFC 6238) es el algoritmo detrás de Google Authenticator, Authy y 2FAA. El principio es simple:
- Al activar 2FA el servicio te da una clave secreta(cadena Base32), normalmente como QR.
- La app combina la clave con la hora actual para calcular un código de 6 dígitos.
- El código cambia cada 30 segundos. El servidor hace el mismo cálculo para verificar tu código.
- La clave secreta nunca viaja por la red — no hay nada que un atacante intermedio pueda interceptar.
Prueba 2FA en 60 segundos
2FAA es un autenticador TOTP gratuito en el navegador, sin instalación ni registro.
Preguntas frecuentes
¿Qué es 2FA exactamente?
2FA significa Two-Factor Authentication (autenticación de dos factores). Al iniciar sesión, además de la contraseña, debes aportar un segundo factor — normalmente un código de 6 dígitos en el móvil. Aunque tu contraseña se filtre, un atacante no podrá entrar sin el segundo factor.
¿Es lo mismo 2FA que verificación en dos pasos?
En la práctica son el mismo concepto. Google lo llama 'Verificación en dos pasos', Discord y GitHub lo llaman '2FA', PayPal lo llama 'verificación de dos pasos'. Todo se reduce a añadir una capa más además de la contraseña.
¿Qué método 2FA es el más seguro?
De mayor a menor seguridad: Llaves físicas (como YubiKey) > Passkey > Apps autenticadoras (TOTP) > Notificaciones push > SMS. El SMS es el más débil por los ataques de SIM swapping, pero tenerlo es mejor que no tener ninguno.
¿Debo activar 2FA en todas mis cuentas?
Es muy recomendable en cuentas importantes: email, banca, gestor de contraseñas, redes sociales, GitHub, Discord, cuentas de juego con pago vinculado. Para cuentas de bajo valor es opcional.
¿Se puede romper la 2FA?
El SMS 2FA puede caer por SIM swapping. Las apps 2FA pueden caer ante proxies de phishing si te engañan para introducir el código en una web falsa. Las llaves físicas y Passkey verifican el dominio real y resisten phishing. 2FA no es infalible, pero detiene la mayoría de ataques comunes.