La au­te­n­ti­ca­ción de dos factores es un sistema de seguridad que añade una segunda capa de ve­ri­fi­ca­ción al acceso a tus cuentas, además de la co­n­tra­se­ña. Esta ve­ri­fi­ca­ción adicional puede ser, por ejemplo, un código que recibes en tu sma­r­t­pho­ne. De esta forma, se reduce co­n­si­de­ra­ble­me­n­te el riesgo de accesos no au­to­ri­za­dos, incluso si tu co­n­tra­se­ña ha sido robada.

¿Qué es la ve­ri­fi­ca­ción en dos pasos?

La ve­ri­fi­ca­ción en dos pasos o au­te­n­ti­ca­ción de dos factores combina dos co­m­po­ne­n­tes di­fe­re­n­tes e in­de­pe­n­die­n­tes para la ide­n­ti­fi­ca­ción de un usuario au­to­ri­za­do. Un ejemplo sencillo de este tipo de ve­ri­fi­ca­ción se lleva a cabo dia­ria­me­n­te en los cajeros au­to­má­ti­cos o en las cajas de los su­pe­r­me­r­ca­dos. Para sacar dinero o pagar la compra siempre se requieren dos factores: la tarjeta de débito y el PIN (o firma). Así, la ve­ri­fi­ca­ción en dos pasos solo funciona cuando ambos factores se combinan co­rre­c­ta­me­n­te. El mismo principio se puede aplicar para proteger las cuentas de correo ele­c­tró­ni­co o en tiendas ele­c­tró­ni­cas u otros grandes portales web.

Sin embargo, una abru­ma­do­ra mayoría de las cuentas en Internet solo están pro­te­gi­das por un co­m­po­ne­n­te. Para iniciar sesión en una cuenta de correo ele­c­tró­ni­co, en servicios en la nube o en tiendas online solo es necesario in­tro­du­cir una única co­n­tra­se­ña, con lo que, si esta llegara a caer en manos de personas no au­to­ri­za­das, tendrían acceso inmediato a correos ele­c­tró­ni­cos sensibles, datos de cuentas o archivos pe­r­so­na­les. Para evitarlo, pro­vee­do­res como Dropbox, Google o Amazon están im­ple­me­n­ta­n­do cre­cie­n­te­me­n­te una au­te­n­ti­ca­ción de dos factores en sus servicios como medida de seguridad adicional. Este proceso puede ser muy diferente, ya que las opciones para combinar los factores son muy amplias.

Crear una dirección de e-mail de empresa
Descubre una forma nueva de usar tu e-mail
  • Escribe e-mails perfectos con funciones op­cio­na­les de IA (opcional)
  • Añade cre­di­bi­li­dad a tu marca
  • Incluye dominio, filtro antispam y reenvío de correo ele­c­tró­ni­co

¿Cómo funciona la ve­ri­fi­ca­ción en dos pasos?

La in­fo­r­ma­ción necesaria para de­te­r­mi­nar los factores puede ser diversa. Sin embargo, los factores más im­po­r­ta­n­tes y am­plia­me­n­te uti­li­za­dos son:

  • Tarjeta de acceso o token de seguridad
  • PIN (número de ide­n­ti­fi­ca­ción personal)
  • Códigos de au­to­ri­za­ción bancaria
  • Co­n­tra­se­ñas
  • Ca­ra­c­te­rí­s­ti­cas bio­mé­tri­cas (por ejemplo, huellas digitales, voz, iris)

Todos estos factores permiten la legítima ide­n­ti­fi­ca­ción de una persona, pues son elementos que la persona sabe, tiene o que están ab­so­lu­ta­me­n­te ligados a ella (“conocer”, “tener”, “saber”). El ejemplo del cajero au­to­má­ti­co muestra que en el día a día los tokens de seguridad se combinan con otros factores. Este método tiene la de­s­ve­n­ta­ja de que las personas au­to­ri­za­das siempre tienen que llevar el token consigo, lo que en si­tua­cio­nes de descuido (p. ej., al in­tro­du­cir mal la clave) puede resultar en un acceso denegado.

Por esta razón, en el ámbito de la ve­ri­fi­ca­ción en dos pasos en la web, cada vez se utilizan más métodos de ve­ri­fi­ca­ción de usuarios au­to­ri­za­dos que no dependen de tokens físicos tra­di­cio­na­les o que, al menos, reducen el riesgo de pérdida. No­r­ma­l­me­n­te, además de la co­n­tra­se­ña, el sistema genera un código au­to­má­ti­co, conocido como co­n­tra­se­ña de un solo uso (One-Time Password u OTP). Este OTP se envía al sma­r­t­pho­ne del usuario au­to­ri­za­do, ya sea por SMS, correo ele­c­tró­ni­co o mediante una apli­ca­ción es­pe­cí­fi­ca de au­te­n­ti­ca­ción. Así se garantiza que solo la persona que posee ese código de seguridad adicional pueda acceder a la cuenta. La ventaja es que el código solo se puede usar una vez y deja de ser válido au­to­má­ti­ca­me­n­te tras un corto periodo de tiempo.

Nota

Se pueden di­s­ti­n­guir dos tipos pri­n­ci­pa­les de co­n­tra­se­ñas de un solo uso: las TOTP (Time-based One-Time Password) son co­n­tra­se­ñas basadas en el tiempo y generan un nuevo código cada 30 segundos, in­de­pe­n­die­n­te­me­n­te de si se ha usado o no. En cambio, las HOTP (HMAC-based One-Time Password) se basan en un contador y generan un nuevo código cada vez que se solicita, el cual sigue siendo válido hasta que se utiliza.

La ve­ri­fi­ca­ción en dos pasos sin necesidad de un token físico o tarjeta de acceso ofrece, además, la ventaja de poder definir métodos de respaldo para recibir el código de seguridad. Por ejemplo, si no tienes acceso a la app, puedes co­n­fi­gu­rar una al­te­r­na­ti­va para recibir el código por SMS o mediante una llamada te­le­fó­ni­ca con el código dictado au­to­má­ti­ca­me­n­te.

¿Por qué es im­po­r­ta­n­te usar la au­te­n­ti­ca­ción de dos factores?

Si es casi imposible ga­ra­n­ti­zar la seguridad de tus cuentas al cien por cien ¿por qué tomarse la molestia de co­n­fi­gu­rar una ve­ri­fi­ca­ción en dos pasos? La respuesta es obvia: este proceso eleva el nivel de seguridad del proceso de au­te­n­ti­ca­ción en general, co­n­vi­r­tié­n­do­se así en una especie de segundo obstáculo que los de­li­n­cue­n­tes in­fo­r­má­ti­cos tendrán que superar si quieren acceder a tu in­fo­r­ma­ción. Por otra parte, gracias a la au­te­n­ti­ca­ción de dos factores, casi todos los ataques de phishing fracasan.

Las cifras re­la­cio­na­das con la ci­be­r­de­li­n­cue­n­cia continúan siendo altas. Los ataques de phishing ya me­n­cio­na­dos, así como el robo de identidad y la toma de control de cuentas, afectan cada vez más tanto a pa­r­ti­cu­la­res como a empresas. Los atacantes suelen utilizar cre­de­n­cia­les robadas o co­n­tra­se­ñas poco seguras para acceder a in­fo­r­ma­ción sensible. Y es pre­ci­sa­me­n­te aquí donde entra en juego la ve­ri­fi­ca­ción en dos pasos: añade una capa extra de seguridad que dificulta eno­r­me­me­n­te el acceso no au­to­ri­za­do a una cuenta, incluso si la co­n­tra­se­ña ha sido co­m­pro­me­ti­da. Por eso, la au­te­n­ti­ca­ción de dos factores no es un simple “extra”, sino una pro­te­c­ción im­pre­s­ci­n­di­ble frente al robo de identidad y otros delitos ci­be­r­né­ti­cos.

Cuáles son los in­co­n­ve­nie­n­tes de la au­te­n­ti­ca­ción de dos factores

El simple hecho de que la ve­ri­fi­ca­ción en dos pasos refuerce la seguridad ya supone una gran ventaja. Sin embargo, para los usuarios, un fallo del sistema o un descuido propio puede suponer el riesgo de blo­quear­se a sí mismos. En ese sentido, la au­te­n­ti­ca­ción de dos factores no solo re­pre­se­n­ta una barrera para los ci­be­r­de­li­n­cue­n­tes, sino también un posible obstáculo para el propio usuario. Dado que este tipo de au­te­n­ti­ca­ción está diseñada para proteger las cuentas online mediante una co­m­bi­na­ción de algo que “sabes” (como la co­n­tra­se­ña) y algo que “tienes” (como el sma­r­t­pho­ne donde se recibe el código de seguridad), pueden surgir problemas si, por ejemplo, el usuario pierde el móvil, ya que au­to­má­ti­ca­me­n­te queda excluido como usuario legítimo. Otro aspecto a tener en cuenta son los fallos técnicos en las apli­ca­cio­nes de au­te­n­ti­ca­ción.

En estos casos, existe la opción de añadir un código de au­te­n­ti­ca­ción al­te­r­na­ti­vo. Este “doble fondo” permite, por ejemplo, incluir un segundo número de teléfono como método de re­cu­pe­ra­ción, al que el servicio puede enviar los códigos de seguridad. También es habitual que se pro­po­r­cio­ne un código de eme­r­ge­n­cia (que conviene imprimir o anotar en un lugar seguro) o que se solicite una dirección de correo ele­c­tró­ni­co al­te­r­na­ti­va para restaurar el acceso a la cuenta. Así, lo que en un principio puede parecer un in­co­n­ve­nie­n­te, tiene solución. Recuerda que, al co­n­fi­gu­rar este tipo de medidas, es fu­n­da­me­n­tal tomarse en serio la seguridad, incluso si el pro­ce­di­mie­n­to es opcional y no obli­ga­to­rio. Do­cu­me­n­tar co­rre­c­ta­me­n­te la in­fo­r­ma­ción de re­cu­pe­ra­ción reduce eno­r­me­me­n­te el riesgo de quedarte bloqueado.

My­De­fe­n­der
Ci­be­r­se­gu­ri­dad completa
  • Escaneos antivirus pe­rió­di­cos
  • Copias de seguridad au­to­má­ti­cas y re­s­tau­ra­cio­nes

¿Qué métodos y he­rra­mie­n­tas de ve­ri­fi­ca­ción en dos pasos existen?

Existen di­fe­re­n­tes métodos y he­rra­mie­n­tas para im­ple­me­n­tar la ve­ri­fi­ca­ción en dos pasos. Uno de los más ha­bi­tua­les es el uso de una app de au­te­n­ti­ca­ción, que genera co­n­tra­se­ñas de un solo uso basadas en el tiempo (TOTP). Estas apli­ca­cio­nes funcionan incluso sin conexión a Internet y ofrecen un buen equi­li­brio entre seguridad y facilidad de uso.

Otro método común es la ve­ri­fi­ca­ción por SMS, en la que se envía un código al teléfono móvil. Aunque es una opción cómoda, se considera menos segura, ya que los SMS pueden ser in­te­r­ce­p­ta­dos o re­di­ri­gi­dos. Los tokens físicos, como memorias USB con claves de seguridad, son una al­te­r­na­ti­va muy segura, aunque más costosa y menos práctica para algunos usuarios. Algunos servicios también ofrecen no­ti­fi­ca­cio­nes push, en las que debes confirmar ma­nua­l­me­n­te el intento de inicio de sesión desde tu sma­r­t­pho­ne. La elección del método dependerá del nivel de seguridad deseado y de la te­c­no­lo­gía di­s­po­ni­ble. En general, se aplica la siguiente regla: cuanto más in­de­pe­n­die­n­te sea el segundo factor de la co­n­tra­se­ña, más seguro será el sistema.

A co­n­ti­nua­ción, te mostramos una lista de las apps de au­te­n­ti­ca­ción más uti­li­za­das:

  • Google Au­the­n­ti­ca­tor
  • Microsoft Au­the­n­ti­ca­tor
  • Authy
  • FreeOTP
  • LastPass Au­the­n­ti­ca­tor

IONOS Mail: cómo co­n­fi­gu­rar la au­te­n­ti­ca­ción de dos factores

Para activar la au­te­n­ti­ca­ción de dos factores en tu cuenta de IONOS Mail, tienes dos opciones igual de fáciles: a través de una app de au­te­n­ti­ca­ción habitual o di­re­c­ta­me­n­te desde la app móvil de IONOS.

Co­n­fi­gu­ra­ción con una app de au­te­n­ti­ca­ción

Activar una app de au­te­n­ti­ca­ción para tu cuenta de IONOS Mail es muy sencillo. Solo tienes que seguir estos pasos:

  1. Descarga una de las apps de au­te­n­ti­ca­ción me­n­cio­na­das an­te­rio­r­me­n­te o cualquier otra app similar en tu sma­r­t­pho­ne.
  2. Inicia sesión en tu cuenta de IONOS desde el navegador web.
  3. Ve a “Mi cuenta” > “Inicio de sesión y seguridad de la cuenta” > “Ve­ri­fi­ca­ción en dos pasos (au­te­n­ti­ca­ción de dos factores)” y se­le­c­cio­na la opción para co­n­fi­gu­rar la ve­ri­fi­ca­ción mediante la app de au­te­n­ti­ca­ción.
  4. Escanea el código QR que aparece en pantalla con la app.
  5. Introduce el código de 6 cifras generado para confirmar la ac­ti­va­ción.

A partir de ese momento, la ve­ri­fi­ca­ción en dos pasos quedará activada de forma pe­r­ma­ne­n­te para tu cuenta.

Co­n­fi­gu­ra­ción mediante la app móvil de IONOS

Como al­te­r­na­ti­va, puedes usar la app oficial IONOS Mobile, di­s­po­ni­ble para Android y iOS. Una vez co­m­ple­ta­da la co­n­fi­gu­ra­ción, recibirás una no­ti­fi­ca­ción push en tu sma­r­t­pho­ne cada vez que inicies sesión en tu cuenta IONOS, para aprobar el acceso. Puedes encontrar una guía detallada paso a paso en el Centro de Ayuda de IONOS.

Consejo

IONOS ofrece Microsoft 365 y Google Workspace con au­te­n­ti­ca­ción de dos factores integrada, para una co­mu­ni­ca­ción segura y conforme al RGPD dentro de tu empresa.

Ir al menú principal