Tu contraseña, por muy buena que sea, es una cerradura con una sola llave. Si alguien consigue esa llave —por una filtración, un phishing o simplemente porque la usaste en tres sitios y uno fue hackeado—, tu cuenta está abierta. La autenticación en dos pasos añade una segunda cerradura que necesita una llave diferente: tu teléfono, tu huella o un código que cambia cada 30 segundos. Incluso si el atacante tiene tu contraseña, sin ese segundo factor no puede entrar.
La autenticación en dos pasos (2FA, del inglés two-factor authentication) es un método de seguridad que requiere dos pruebas de identidad diferentes para acceder a una cuenta. La primera es algo que sabes (tu contraseña). La segunda es algo que tienes (tu teléfono, una llave física) o algo que eres (tu huella, tu rostro). Al combinar ambos factores, la seguridad se multiplica de forma exponencial.
Google publicó que las cuentas con 2FA activado tienen un 99% menos de probabilidad de ser comprometidas. Microsoft reportó cifras similares. Y sin embargo, la adopción sigue siendo baja: menos del 30% de los usuarios de Gmail tiene 2FA activo, según datos de la propia Google. Es como tener un chaleco antibalas gratis en el armario y salir sin él.
Los tipos de 2FA: no todos protegen igual
SMS (código por mensaje de texto)
Es el método más conocido: inicias sesión con tu contraseña y recibes un código de 6 dígitos por SMS que debes introducir. Es mejor que nada, pero tiene vulnerabilidades reales. El SIM swapping (un atacante convence a tu operador de transferir tu número a otra SIM) permite interceptar los códigos. Reguladores en Emiratos Árabes, India y Japón ya están eliminando el SMS como factor válido para transacciones financieras. Si puedes elegir, usa un método más seguro. Pero si la única opción es SMS o nada, elige SMS.
App de autenticación (TOTP)
Aplicaciones como Google Authenticator, Microsoft Authenticator, Authy o Ente Auth generan códigos temporales (TOTP, Time-based One-Time Password) que cambian cada 30 segundos. El código se genera localmente en tu dispositivo, sin pasar por la red, lo que lo hace inmune al SIM swapping. Es el método con mejor relación seguridad-comodidad para la mayoría de la gente.
Google Authenticator es la más básica (sin sincronización en la nube hasta hace poco). Authy ofrece backup cifrado en la nube y funciona en varios dispositivos. Microsoft Authenticator integra notificaciones push (tocas «aprobar» en lugar de copiar un código). Ente Auth es de código abierto y centrada en privacidad.
Llave de seguridad física (FIDO2/U2F)
Dispositivos como YubiKey o Google Titan Key se conectan por USB o NFC a tu ordenador o móvil. Al iniciar sesión, tocas la llave y se completa la autenticación. Es el método más seguro que existe: inmune a phishing (la llave verifica el dominio), imposible de interceptar remotamente y no depende de batería ni conexión.
Su inconveniente es el coste (20-70 € por llave) y que necesitas llevarla encima. Lo recomendable es tener dos: una de uso diario y una de respaldo guardada en casa.
Passkeys
Las passkeys son la evolución natural del 2FA. Combinan la seguridad de las llaves físicas con la comodidad de la biometría de tu dispositivo. Si tu servicio las soporta, son la opción más segura y cómoda. Pero como la adopción aún no es universal, el 2FA tradicional sigue siendo necesario en muchos sitios.
Dónde activar 2FA (prioriza estas cuentas)
No necesitas 2FA en la web de las recetas de tu abuela, pero estas cuentas sí o sí:
Correo electrónico (Gmail, Outlook, ProtonMail). Tu email es la llave maestra. Quien lo controla puede resetear las contraseñas de casi cualquier otro servicio. Es la cuenta más importante de proteger.
Banca online y PayPal. Donde hay dinero, hay atacantes. La mayoría de bancos europeos ya exigen un segundo factor (normalmente la app del banco), pero verifica que esté configurado y actualizado.
Redes sociales (Instagram, Facebook, X, TikTok). Una cuenta de red social hackeada puede usarse para estafar a tus contactos, publicar contenido en tu nombre o chantajearte con fotos privadas.
Almacenamiento en la nube (Google Drive, Dropbox, iCloud). Contienen tus archivos personales, fotos y documentos. Una brecha aquí es una brecha de tu vida entera.
Gestor de contraseñas. Si usas un gestor (y deberías), la contraseña maestra + 2FA protegen el acceso a todas tus demás contraseñas. Es la caja fuerte de tus cajas fuertes.
Cómo activar 2FA: paso a paso en los servicios principales
Google. myaccount.google.com > Seguridad > Verificación en dos pasos. Google te guía por el proceso. Puedes elegir entre SMS, la app Google Authenticator, notificaciones push en tu móvil o llaves de seguridad.
Apple (Apple ID). Ajustes > [tu nombre] > Inicio de sesión y seguridad > Autenticación de dos factores. Apple usa un sistema propio que envía el código a tus dispositivos Apple de confianza.
Microsoft. account.microsoft.com > Seguridad > Verificación en dos pasos. Compatible con Microsoft Authenticator, SMS y llaves FIDO2.
Instagram. Perfil > Configuración > Centro de cuentas > Contraseña y seguridad > Autenticación en dos pasos. Soporta SMS y app de autenticación.
WhatsApp. Ajustes > Cuenta > Verificación en dos pasos. Usa un PIN de 6 dígitos (no es TOTP, sino un PIN fijo que WhatsApp pide periódicamente para verificar tu número).
Qué hacer con los códigos de recuperación
Cuando activas 2FA, la mayoría de servicios te dan un conjunto de códigos de recuperación (normalmente 8-10 códigos de un solo uso). Son tu salvavidas si pierdes el teléfono o el acceso a tu app de autenticación.
Guárdalos en un lugar seguro y separado de tu dispositivo principal. Opciones: impresos en papel dentro de una caja fuerte o cajón con llave, guardados en un archivo cifrado en un disco externo, anotados en tu gestor de contraseñas (si es diferente del servicio que protegen).
No los guardes solo en el móvil (si pierdes el móvil, pierdes los códigos). No los guardes en un post-it en el monitor. No los compartas con nadie. Y si usas uno, genera nuevos desde la configuración de seguridad del servicio.
Errores comunes con el 2FA
Activar 2FA solo por SMS y sentirse seguro. SMS es el eslabón más débil del 2FA. Úsalo como última opción, no como primera.
No hacer backup de la app de autenticación. Si cambias de móvil o pierdes el dispositivo sin haber transferido los tokens TOTP, te quedas fuera de todas las cuentas. Authy y Microsoft Authenticator ofrecen backup en la nube. Google Authenticator permite transferir cuentas entre dispositivos. Hazlo antes de necesitarlo.
Usar el mismo dispositivo para contraseña y 2FA. Si alguien compromete tu móvil (donde tienes el gestor de contraseñas y la app de autenticación), tiene ambos factores. Una llave física como segundo factor resuelve este problema.
No activar 2FA en el correo electrónico. Mucha gente protege Instagram pero deja Gmail sin 2FA. Es como poner alarma en el garaje pero dejar la puerta principal abierta.
Preguntas frecuentes
¿El 2FA es obligatorio? Depende del servicio. Algunos bancos y plataformas lo exigen. Google y Apple lo están activando por defecto progresivamente. Pero en la mayoría de servicios es opcional, lo que explica la baja adopción.
¿Puedo desactivar el 2FA si me resulta incómodo? Sí, pero no deberías. La incomodidad de introducir un código de 6 dígitos cada vez que inicias sesión en un dispositivo nuevo es mínima comparada con la incomodidad de recuperar una cuenta hackeada. Además, la mayoría de servicios recuerdan tus dispositivos de confianza, así que solo te piden el código en dispositivos nuevos.
¿Qué pasa si pierdo el teléfono con la app de autenticación? Si tienes los códigos de recuperación, puedes acceder a tus cuentas y configurar 2FA en el nuevo dispositivo. Si no los tienes, tendrás que seguir el proceso de recuperación de cada servicio, que puede ser lento y tedioso. Esta es la razón por la que guardar los códigos de recuperación es tan importante.
¿Las apps de autenticación funcionan sin internet? Sí. Los códigos TOTP se generan localmente basándose en la hora del dispositivo, sin necesidad de conexión. Es una de sus mayores ventajas sobre los SMS.
¿2FA es lo mismo que MFA? 2FA es un caso específico de MFA (multi-factor authentication). 2FA usa exactamente dos factores. MFA usa dos o más. En la práctica, para uso personal, son equivalentes.