Si en el artículo anterior hablamos de contraseñas únicas para cada cuenta, este es el siguiente nivel: qué pasa si a pesar de todo tu contraseña acaba en manos de alguien. Porque puede pasar. No por descuido tuyo, sino porque el servicio que la guarda falla, o porque alguien te engaña con un phishing muy bien hecho.
El 2FA —autenticación de dos factores— es la capa que convierte ese escenario en un susto sin consecuencias. Si alguien tiene tu contraseña pero no tiene el segundo factor, no entra. Punto.
Una contraseña es algo que sabes. El 2FA añade algo que tienes. Para entrar, necesitan las dos cosas. Robar una de las dos no sirve de nada.
Qué es exactamente el 2FA
La idea detrás del 2FA es que la seguridad se apoya en tres categorías distintas: algo que sabes (una contraseña), algo que tienes (un dispositivo, una llave física) y algo que eres (huella dactilar, cara). Usando dos de estas categorías a la vez, si alguien compromete una, la otra sigue siendo una barrera real.
Factor 1: Tu contraseña
Algo que sabes. Puede filtrarse en una brecha de datos.
Factor 2: Tu dispositivo
Algo que tienes. Un código que caduca en 30 segundos.
El atacante tiene tu contraseña pero no tiene tu móvil. No puede entrar. Tú sí.
Cuando activas el 2FA en una cuenta, al iniciar sesión el servicio te pide primero la contraseña y después un segundo código. Ese código lo genera tu dispositivo y caduca en unos 30 segundos. Sin él, la contraseña sola no sirve.
El problema del 2FA por SMS
Aquí está el matiz que mucha gente no conoce. El 2FA por SMS —ese mensaje de texto con el código de seis dígitos que te manda el banco o cualquier app— es infinitamente mejor que no tener nada. Pero tiene vulnerabilidades reales que conviene entender.
⚠️ Por qué el SMS es el 2FA más débil
SIM swapping: Un atacante convence a tu operadora (con ingeniería social o con datos robados) de que transfiera tu número a una SIM que controla él. A partir de ese momento, todos tus SMS de verificación le llegan a él. Ha pasado, y sigue pasando, especialmente a personas con cuentas de valor económico.
Interceptación de SS7: El protocolo que usa la red de telefonía mundial para enrutar mensajes tiene vulnerabilidades conocidas desde hace años. Con el acceso adecuado, los SMS se pueden interceptar. No es algo que te vaya a hacer el vecino, pero sí actores con más recursos.
Phishing en tiempo real: Algunas páginas de phishing sofisticadas recogen tu contraseña y el código SMS al mismo tiempo, reenviándolo al servicio real antes de que caduque. Los 30 segundos dan margen suficiente para hacerlo de forma automatizada.
Insisto: SMS sigue siendo mejor que nada. Si una cuenta solo ofrece SMS como segundo factor, úsalo sin dudar. Pero si tienes la opción de usar una app autenticadora, es siempre preferible.
Los métodos de 2FA, de mejor a peor
Llave de seguridad física (FIDO2 / Passkey)
Un pequeño dispositivo USB o NFC (como un YubiKey) que conectas físicamente para autenticarte. Es prácticamente imposible de phishear de forma remota porque requiere presencia física. La verificación ocurre con criptografía de clave pública: el servidor nunca ve tu secreto.
El inconveniente es el precio (25-60€) y que si lo pierdes, necesitas tener un segundo como respaldo. Para cuentas críticas —email principal, gestor de contraseñas, trabajo— es el nivel más alto de seguridad disponible hoy. Para el resto de mortales, la app autenticadora es suficiente.
App autenticadora TOTP
Una app en tu móvil que genera códigos de seis dígitos que cambian cada 30 segundos. TOTP significa Time-based One-Time Password: el código se calcula combinando un secreto compartido con la hora actual. Sin conexión, sin SMS, sin depender de ningún servidor externo para generarlo.
Es el equilibrio ideal entre seguridad y comodidad para la mayoría de personas. No es phisheable en tiempo real como el SMS (los códigos caducan demasiado rápido para el proceso manual) y no depende de tu operadora. En el siguiente apartado te explico qué apps usar.
SMS / llamada de voz
El más extendido y el más débil de los tres. Como hemos visto, tiene vulnerabilidades reales. Aun así, protege contra la inmensa mayoría de ataques automatizados. Si es la única opción disponible en un servicio, úsalo. Si puedes elegir, opta por la app.
Código por email
Algunos servicios mandan el código de verificación al propio email. El problema es circular: si alguien tiene acceso a tu email, también tiene acceso a esos códigos. No añade una capa de seguridad real, solo una capa de fricción. Si tu email está comprometido, este método no te protege de nada.
Qué app autenticadora usar
Hay varias opciones y la diferencia entre ellas importa más de lo que parece. La trampa clásica es acabar usando Google Authenticator por defecto. Funciona, pero tiene problemas que conviene conocer.
Aegis Authenticator
Recomendado · AndroidOpen source, gratuito, sin cuenta requerida y con backup cifrado local que tú controlas. La bóveda con tus códigos se guarda cifrada en tu dispositivo y puedes exportarla cuando quieras. Es la opción más privada y robusta para Android. Si tienes Android, esta es la respuesta.
Raivo OTP
Recomendado · iOSEl equivalente de Aegis para iPhone. Open source, backup en iCloud cifrado, sin rastreadores. La alternativa más limpia en el ecosistema Apple. Nota: en 2023 cambió de manos, pero el código sigue siendo abierto y auditado. Si quieres más certeza, 2FAS (disponible en iOS y Android) es otra opción sólida y open source.
2FAS Auth
Recomendado · iOS y AndroidOpen source, multiplataforma, con extensión para el navegador y backup en la nube opcional. Muy buena interfaz y mantenimiento activo. Si usas tanto iPhone como Android o quieres una sola app en todo, es una opción excelente.
Google Authenticator
EvitarDurante años no tenía backup ninguno: si perdías el móvil, perdías todos tus códigos 2FA y quedabas bloqueado en todas tus cuentas. Añadieron sincronización con Google en 2023, pero eso significa que tus semillas TOTP (los secretos que generan los códigos) se sincronizan con servidores de Google sin cifrado de extremo a extremo. Irónico para una serie sobre dejar Google.
Cómo activar el 2FA paso a paso
El proceso es prácticamente igual en todos los servicios. Una vez que lo has hecho una vez, las siguientes son triviales.
Instala la app autenticadora
Descarga Aegis (Android), Raivo o 2FAS (iOS) desde la tienda oficial. Abre la app y configura el PIN o biometría para desbloquearla. Esto protege tus códigos si alguien coge tu móvil desbloqueado.
Ve a la configuración de seguridad del servicio
En casi todos los servicios está en Configuración → Seguridad → Autenticación en dos pasos (o similar). Busca la opción de "app autenticadora" o "TOTP" en lugar de SMS. Si no aparece la opción de app, el servicio solo soporta SMS: úsalo igualmente.
Escanea el código QR
El servicio te mostrará un código QR. Abre tu app autenticadora, pulsa el botón de añadir cuenta y escanéalo. La app empieza a generar códigos de seis dígitos para esa cuenta. Introduce el código que aparece para confirmar que todo funciona.
Guarda los códigos de recuperación
Este paso es crítico y mucha gente se lo salta. El servicio te dará entre 8 y 10 códigos de recuperación de un solo uso. Son para el caso de que pierdas el móvil. Guárdalos en Bitwarden (como nota segura) o imprímelos y ponlos en un lugar físico seguro. Si no los guardas y pierdes el móvil, puedes quedarte bloqueado permanentemente en esa cuenta.
Haz un backup de la app autenticadora
En Aegis, ve a Ajustes → Backup y exporta la bóveda cifrada a un lugar seguro (Bitwarden, un disco externo, donde prefieras). En 2FAS, activa la copia de seguridad en la nube o exporta manualmente. Si cambias de móvil o lo pierdes, este backup es lo que te permite recuperar todos tus 2FA de golpe.
El orden importa: Activa primero el 2FA en tu gestor de contraseñas (Bitwarden) y en tu correo principal (Proton o Tuta). Son las cuentas que más daño puede hacer perder, y las que más se intenta comprometer. Con esas dos bien protegidas, el resto puede ir a su ritmo.
Por dónde empezar: las cuentas prioritarias
No hace falta activar el 2FA en todo a la vez. De hecho, intentar hacerlo todo en un día es la mejor forma de agobiarse y dejarlo a medias. Aquí va el orden con cabeza:
Tu gestor de contraseñas
Bitwarden es la llave maestra. Si alguien entra ahí, tiene acceso a todo lo demás. Es la cuenta más importante que tienes ahora mismo.
Tu correo principal
Proton Mail o Tuta. Quien controla tu correo puede resetear cualquier otra contraseña vía "olvidé mi contraseña". Es la cuenta puerta trasera de todas las demás.
Banca y servicios financieros
Muchos bancos solo ofrecen SMS. Úsalo si es la única opción, pero algunos ya permiten app autenticadora. Revisa la configuración de seguridad de tu banco.
Redes sociales y plataformas importantes
Twitter/X, LinkedIn, GitHub, cualquier plataforma donde una cuenta comprometida pueda hacerte daño real (reputacional, económico, profesional).
El resto, a tu ritmo
Tiendas online, foros, suscripciones... Actívalos cuando entres a esas cuentas de forma natural. Sin prisa, sin agobio.
Una pregunta frecuente: "¿Y si pierdo el móvil?". La respuesta son los dos seguros que has montado: los códigos de recuperación guardados en Bitwarden, y el backup de la app autenticadora. Con cualquiera de los dos puedes recuperar el acceso a todas tus cuentas. Sin ellos, sí que estarías en un lío. Por eso el paso 4 y el paso 5 de la guía de activación no son opcionales.
Lo bueno es que una vez que tienes el sistema montado, el día a día es casi transparente. Abres la app, introduces el código de seis dígitos, entras. En el móvil con biometría ni siquiera ves el código: la app lo rellena sola. Más seguro y apenas más lento.
En el próximo artículo salimos del correo y las contraseñas para hablar de mensajería privada: por qué WhatsApp no es tan privado como parece, qué alternativas existen y cuál tiene sentido para cada situación.
Preguntas frecuentes
¿Qué es el 2FA y para qué sirve?
El 2FA o autenticación de dos factores añade una segunda capa de seguridad a tus cuentas. Además de la contraseña, necesitas un segundo código que solo tú puedes generar desde tu dispositivo. Aunque alguien robe tu contraseña, sin ese segundo factor no puede entrar. Es la medida de seguridad con mejor ratio esfuerzo/protección disponible hoy.
¿El 2FA por SMS es seguro?
Es mejor que no tener nada, pero es el método más débil. El SIM swapping — donde un atacante convence a tu operadora de transferir tu número a una SIM que controla él — permite interceptar todos tus SMS de verificación. Si tienes la opción de usar una app autenticadora como Aegis o 2FAS, es siempre preferible al SMS. Si el SMS es la única opción disponible, úsalo igualmente.
¿Qué pasa si pierdo el móvil con la app autenticadora?
Si tienes los códigos de recuperación guardados y un backup de la app autenticadora, no pasa nada grave. Con los códigos de recuperación puedes acceder a cada cuenta y cambiar el 2FA. Con el backup de Aegis o 2FAS puedes restaurar todos tus códigos en el nuevo móvil. Por eso guardar esos dos elementos es el paso más importante de toda la configuración.
¿Por qué no usar Google Authenticator?
Desde 2023 Google Authenticator sincroniza tus semillas TOTP con servidores de Google sin cifrado de extremo a extremo. Eso significa que Google tiene acceso técnico a los secretos que generan tus códigos 2FA. Alternativas como Aegis (Android) o 2FAS (iOS y Android) son open source, guardan los datos cifrados en tu dispositivo y tú controlas los backups.
¿En qué cuentas debería activar el 2FA primero?
En orden de prioridad: primero tu gestor de contraseñas, luego tu correo principal. Estas dos son las más críticas porque quien las controla puede acceder a todo lo demás. Después el banco, redes sociales importantes y plataformas de trabajo. El resto puede ir activándose de forma natural cuando entres a esas cuentas, sin necesidad de hacer una maratón en un día.
Tu Memoria Digital
Este es el tercer artículo de la Fase 2 de la Hoja de Ruta para abandonar Google. Con estas tres cosas, tu identidad digital está entre las mejor protegidas que existen.
Lo ideal es seguir la ruta en orden. El siguiente artículo habla de Signal, la mensajería privada a la que todos utilizamos cada día.. Puedes volver al índice de la Fase 2 para ver todos los artículos de esta etapa, o continuar hacia la siguiente fase cuando hayas terminado.