contraseña.org
● Segunda capa

Autenticación de dos factores (2FA)

La verificación en dos pasos detiene a la mayoría de los atacantes incluso cuando consiguen tu contraseña. Te contamos cómo funciona, qué tipos existen, cómo activarla y qué hacer si pierdes el segundo factor.

Actualizado: mayo 2026 Lectura: 7 min Categoría: Fundamentos

Qué es la autenticación en dos pasos

La autenticación de dos factores (2FA o MFA en su forma multifactor más amplia) es un sistema que exige al usuario presentar dos pruebas independientes para iniciar sesión: algo que sabe (la contraseña) y algo que tiene (un código generado en su móvil, una llave física, un mensaje a su teléfono) o algo que es (biometría).

Su efecto es desproporcionadamente útil: aunque un atacante consiga tu contraseña a través de una filtración o un phishing, no puede entrar sin el segundo factor. Estudios de las grandes plataformas han mostrado que activar 2FA bloquea más del 99 % de los intentos automatizados de toma de cuentas. Es probablemente la mejora de seguridad con mejor relación coste/beneficio que un usuario puede aplicar.

Tipos de segundo factor

Aplicación TOTP

Una app genera códigos numéricos que cambian cada 30 segundos a partir de una clave secreta compartida al activar 2FA. Ejemplos genéricos: apps abiertas tipo Aegis o Ente Auth.

Recomendado

Llave física (FIDO2/WebAuthn)

Un dispositivo USB o NFC que firma criptográficamente cada inicio de sesión. Resistente al phishing porque solo funciona en el dominio real.

Más seguro

SMS

Un código de un solo uso enviado por mensaje al móvil. Mejor que nada, pero vulnerable a intercambio de SIM y a interceptación del operador.

Solo si no hay otra

Hay otros métodos en uso: códigos por correo electrónico (no son un segundo factor real si la cuenta de correo no está bien protegida), aprobación por notificación push dentro de la app del servicio, y biometría en dispositivos como huella o reconocimiento facial. La biometría se considera generalmente un sustituto del primer factor (la contraseña) más que un segundo factor independiente.

Lo importante Cualquier 2FA es mejor que ninguno. Si el servicio solo ofrece SMS, actívalo. Si ofrece app o llave física, prefiere esas opciones.

Cómo activar 2FA paso a paso

Proceso típico (5-10 minutos por cuenta)

  1. Entra en la configuración de seguridad.Accede a la sección de seguridad, privacidad o cuenta del servicio que quieres proteger. Suele estar en el icono de perfil o en los ajustes.
  2. Busca «verificación en dos pasos».También aparece como 2FA, autenticación multifactor, doble autenticación, autenticación en dos pasos o login en dos pasos.
  3. Elige el método.Recomendación: app TOTP o llave física. SMS solo si no hay alternativa.
  4. Configura el método.Si es una app, escanea el código QR que muestra el servicio. Si es una llave física, conéctala y púlsala. Confirma con un código de prueba.
  5. Guarda los códigos de respaldo.El servicio te dará entre 8 y 10 códigos de un solo uso. Imprímelos, guárdalos en tu gestor de contraseñas o en un sitio físico seguro. Son tu seguro de vida si pierdes el segundo factor.

Dónde activarlo primero

Si vas a activar 2FA en pocos sitios, empieza por las cuentas críticas. El orden recomendado:

  1. Correo electrónico principal. Es la llave maestra de todas tus demás cuentas (porque por ahí pasan los enlaces de «restablecer contraseña»).
  2. Gestor de contraseñas, si lo usas.
  3. Banca y plataformas financieras.
  4. Almacenamiento en la nube (Drive, iCloud, etc.).
  5. Redes sociales y mensajería (WhatsApp tiene su propia verificación en dos pasos).
  6. Tiendas online donde tengas tarjeta guardada.

Qué hacer si pierdes el segundo factor

El escenario que más asusta a quien activa 2FA por primera vez: «¿y si me quedo sin el móvil donde tenía la app?». Hay varias salidas, en orden de preferencia:

  • Códigos de respaldo: si los guardaste al activar 2FA, introduces uno en lugar del código de la app y entras sin problema.
  • Segunda llave física o segundo dispositivo: la práctica más sólida es tener dos métodos activos, por ejemplo dos llaves físicas (una de uso diario, otra guardada en casa) o una app TOTP sincronizada en dos dispositivos.
  • Recuperación del proveedor: la mayoría de los servicios tienen un proceso de verificación de identidad para recuperar el acceso. Suele tardar varios días y requerir documentación.
Importante Activa siempre al menos dos métodos de 2FA o, como mínimo, guarda los códigos de respaldo en un sitio físico. Bloquearte de tus propias cuentas por perder el móvil es un escenario evitable.

2FA y phishing: lo que sí y lo que no protege

Un detalle importante: el 2FA por SMS o app TOTP no es resistente al phishing avanzado. Si un atacante te lleva a una página falsa que imita perfectamente la real, puedes introducir contraseña y código TOTP, y el atacante los reenvía en tiempo real al sitio legítimo. El único método que detiene esto es la llave física FIDO2/WebAuthn, que solo firma para el dominio correcto.

Para usuarios habituales, una app TOTP cubre el 99 % de las amenazas. Si gestionas cuentas de alto riesgo (administración de sistemas, criptomonedas, periodismo sensible), considera saltar directamente a una llave física.

2FA y contraseñas: no son sustitutos

El 2FA refuerza la contraseña, no la reemplaza. Una clave débil con 2FA sigue siendo una mala práctica: el atacante puede explotar el primer factor en otros contextos (reutilización, filtraciones, ingeniería social). La combinación correcta es contraseñas únicas y largas guardadas en un gestor, más 2FA en todas las cuentas que lo permitan.

Sigue aprendiendo

Cómo crear una contraseña segura

El primer factor importa tanto como el segundo. Empieza por una buena base.

Gestores de contraseñas

Muchos gestores también almacenan tus claves TOTP, todo en el mismo sitio.

10 errores comunes con contraseñas

Hábitos que dejan tus cuentas expuestas incluso con 2FA activado.

Refuerza también la contraseña

Una clave única y larga junto a la 2FA forma la combinación más sólida. Genera una nueva en segundos, sin enviarla a internet.

Crear contraseña