-
añadir a favoritos
¿Contraseña segura o autenticación de doble factor?
martes 17 de febrero de 2026
La seguridad de acceso a los servicios de uso cotidiano depende en gran medida de las contraseñas. Sin embargo, la tendencia actual (y en algunos recursos, incluso una obligación) es el uso de la autenticación de doble factor. Analizamos los pros y los contras…
Correo electrónico, redes sociales, servicios bancarios, portales de servicios públicos, compras online, redes y aplicaciones corporativas… Cada vez más, nuestra vida diaria depende de nuestra presencia en el entorno digital. Con tantos servicios, la tentación de simplificar la gestión es grande. Esta práctica es peligrosa, ya que incrementa de forma considerable el riesgo de que se vea comprometida la seguridad de acceso.
Hace poco, en una edición detallada de «El Mundo de Antivirus», hablamos de los gestores de contraseñas. Destacamos la utilidad de estas herramientas, que pueden simplificar y hacer más seguro el uso de contraseñas. También hablamos de sus inconvenientes, entre los que destacan el riesgo de que se vea comprometida la contraseña maestra y la posible existencia de vulnerabilidades en un producto concreto. En aquel momento, los gestores de contraseñas eran una de las soluciones prácticas para quienes utilizan varias plataformas y servicios que requieren autenticación.
Un año después, publicamos otro artículo con consejos sobre qué pasos seguir para crear contraseñas seguras. Propusimos un método para generarlas, empezando por analizar en qué servicios podían ser necesarias y señalando, además, las reglas básicas para su creación.
Han pasado dos años… ¿Qué ha cambiado?
La necesidad de disponer de una contraseña no ha desaparecido, pero se ha hecho evidente la tendencia a dejar en segundo plano el trabajo de crear contraseñas seguras para dar paso a la autenticación de doble factor.
Estas siglas “mágicas”: 2FA
Usar varias contraseñas para cada servicio, inventar una contraseña larga y compleja que, además, sea imposible de adivinar… estas soluciones son medidas que cada vez aplican más quienes trabajan en IT… En el día a día, muchos usuarios optan por el camino más corto: “olvidar” la contraseña y generarla de nuevo para cada inicio de sesión. En las cuentas de tiendas online, sobre todo si se usan de vez en cuando, resulta más cómodo crear contraseñas seguras sin necesidad de memorizarlas y cambiarlas cada vez que se accede al sistema.
La autenticación de doble factor, también llamada verificación en dos pasos o simplemente “2FA”, aumenta la seguridad de las cuentas. Esta función evita accesos maliciosos (en otras palabras, ataques) y añade una capa extra de protección si la contraseña se ve comprometida. Puede activarse en muchos servicios online, como el correo electrónico, las redes sociales e incluso algunos sitios de compras por Internet. Al habilitar la doble autenticación, además del nombre de usuario y la contraseña, estos servicios exigirán una confirmación mediante un código temporal de un solo uso recibido por SMS o correo electrónico, a través de una aplicación, una clave física o incluso mediante identificación biométrica.
Según el servicio y la configuración elegida, la solicitud de verificación puede enviarse en el primer inicio de sesión, en cada acceso posterior o a intervalos regulares. Una de las barreras más importantes para un atacante es la exigencia de confirmación cada vez que un dispositivo nuevo, desconocido para el servicio, intenta acceder a tu cuenta.
De esta forma, solo el usuario puede autorizar que un nuevo dispositivo se conecte a cuentas protegidas con autenticación de doble factor.
Sin embargo, la propia naturaleza de los SMS puede exponer a una empresa o a un usuario a múltiples riesgos. La facilidad para acceder al número y suplantarlo con el fin de interceptar y leer mensajes SMS se debe a que la seguridad de estos mensajes depende por completo de la seguridad de las redes y de los operadores de telefonía. Por desgracia, las propias redes móviles también se convierten con regularidad en objetivo de ataques contra los abonados. La expansión de los estándares 5G, pese a las mejoras en materia de seguridad de las comunicaciones móviles, sigue dejando muchas vías para atacar (y también para proteger) la infraestructura del operador.
Para la autenticación también pueden utilizarse métodos basados en aplicaciones móviles. Como caso particular, la 2FA genera en el sitio del servicio un código QR que puede escanearse con una aplicación de autenticación en el móvil. La aplicación genera contraseñas de un solo uso (TOTP, Time-based One-Time Password u OTP, one-time password) que cambian cada 30-60 segundos, y el usuario debe introducir ese código para obtener acceso. Esta limitación temporal dificulta bastante que un ciberdelincuente pueda hacerse con una de esas contraseñas de un solo uso.
Doble autenticación. ¿Y después?
La autenticación de doble factor casi se ha convertido en un procedimiento estándar. Su principal ventaja es que permite dificultar de forma notable cualquier intento de acceder a una cuenta utilizando la contraseña sin que el usuario lo sepa. Si un atacante intenta entrar en la cuenta, no solo se le denegará el acceso, sino que el usuario recibirá una notificación del intento de inicio de sesión. En ese caso, el usuario deberá cambiar la contraseña de inmediato para bloquear cualquier intento potencial de acceso y evitar el compromiso de la cuenta.
Sin embargo, la autenticación de doble factor tampoco es una panacea: en algunos casos, los ciberdelincuentes pueden esquivarla mediante ataques automatizados que prueban todas las combinaciones posibles de códigos de seguridad. Para aumentar el nivel de seguridad de acceso, se puede incrementar el número de factores de verificación al implantar la autenticación multifactor (MFA). Este método exige el uso de varias pruebas para conceder acceso al objeto que se conecta (ya sea una persona o una máquina).
La autenticación multifactor está ganando popularidad porque es un método eficaz para mejorar la seguridad de la autenticación. Incluso si un atacante logra robar o adivinar la contraseña, tendrá que superar otras barreras: la necesidad de utilizar datos biométricos, un código enviado por SMS y una clave de seguridad. Este aumento de complejidad reduce bastante la probabilidad de éxito de un acceso no autorizado.
Además, la autenticación multifactor es eficaz frente a varios tipos de ataques, como el phishing y los ataques de fuerza bruta, ya que exige múltiples comprobaciones que no son fáciles de sortear para los atacantes. Sin querer desanimar al lector, hay que admitir que también es posible esquivar la autenticación multifactor si la misma está mal configurada o se ha entendido de forma incorrecta.
El mundo de antivirus recomienda
- Realice una auditoría de accesos a distintos recursos: ¿utiliza contraseñas iguales o parecidas en diferentes sitios? ¿Cuántas contraseñas necesitaría si asumimos que todas son distintas? Si un gestor de contraseñas ayuda a mejorar la seguridad y la comodidad, utilícelo.
- Si ha instalado un gestor de contraseñas, establezca una contraseña maestra muy segura. Recuerde que la pérdida de la contraseña principal inutiliza toda la base de datos.
- Una contraseña por sí sola no es la protección más segura. Active la autenticación de doble factor para proteger los datos. Recuerde el «mínimo imprescindible»: proteger los servicios y sitios especialmente importantes para el usuario.
- No olvide proteger el segundo dispositivo en el que recibe el código de un solo uso. La autenticación de doble factor mediante SMS supone un riesgo demasiado elevado para las empresas que buscan proteger de forma eficaz el acceso a sus redes y sistemas.
- Utilice un antivirus integral y seguro, que le proteja no solo del malware y del software espía, sino también de sitios de phishing y páginas fraudulentas.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.