Verificación en dos pasos (2SV) vs. autenticación de dos factores (2FA)

¿Qué es la autenticación de dos factores (2FA)?

La autenticación de dos factores (2FA) es un procedimiento de seguridad que añade una capa adicional de seguridad a tus inicios de sesión. En lugar de basarse en un único dato de autenticación, como una contraseña, la 2FA requiere dos factores distintos para confirmar que tú eres quien dices ser. Es un proceso que puede reducir significativamente el riesgo de acceso no autorizado, incluso si los ciberdelincuentes son capaces de hacerse con tu nombre de usuario y contraseña. Los factores se dividen en 3 grandes categorías:

1. Conocimiento: algo que solo tú sabes, como una contraseña, un PIN o la respuesta a una pregunta secreta.

2. Posesión: algo que solo tienes tú, como tu smartphone, una memoria USB segura, etc.

3. Inherencia (biométrica): algo que tú eres: normalmente una huella dactilar, un reconocimiento facial o un escáner del iris.

En la práctica, la 2FA funciona así: supongamos que intentas acceder a un panel de control online que contiene datos confidenciales. En primer lugar, introduces tu nombre de usuario y contraseña (en 2FA, se denomina factor de conocimiento). A continuación, recibirás una notificación push en tu dispositivo inteligente (en 2FA, denominada factor de posesión), que deberás tocar para confirmar tu identidad. Sin ambos factores, se deniega el acceso.

Ten en cuenta que la 2FA es un subconjunto de una categoría más amplia conocida como autenticación multifactor (MFA). Si quieres saber más sobre la MFA en general, consulta nuestra publicación dedicada a este tema Qué es la autenticación multifactor.

Ventajas de la 2FA

Seguridad mejorada

Al requerir dos tipos de factores diferentes, la 2FA reduce significativamente las probabilidades de que se produzca una filtración. Incluso si un hacker consigue adivinar o robar tu contraseña, seguiría necesitando tu dispositivo físico o tus datos biométricos.

Cada vez más cerca del cumplimiento

En muchos sectores, como las finanzas, la sanidad o el comercio electrónico, las normas y reglamentos de protección de datos recomiendan o exigen la 2FA.

Limitaciones de la 2FA

Dependencia de un dispositivo

En la mayoría de los casos, el segundo factor está vinculado a un dispositivo móvil. Si un usuario pierde o no puede acceder a su teléfono o tableta, podría tener que enfrentarse a grandes retrasos y quedarse bloqueado.

Complejidad o coste potencial

La implantación de la 2FA en las grandes empresas puede requerir la compra de llaves físicas o la formación de los empleados en el uso de autenticadores, lo que podría añadir temporalmente complejidad a su proceso diario.

Ejemplos de 2FA

Contraseña y llave de seguridad de hardware

Escribe tu contraseña, a continuación, inserta un dispositivo dedicado como una YubiKey para finalizar el inicio de sesión. Como la llave es un objeto físico, los atacantes no pueden replicarla ni hackearla a distancia.

Huella dactilar y código de acceso

El proceso de autenticación se puede configurar de forma que, al desbloquear una aplicación del smartphone, se escanee la huella dactilar (factor biométrico) y se introduzca también un código corto (factor de conocimiento).

Reconocimiento facial y un dispositivo push

Algunos sistemas 2FA están configurados para escanear tu cara y luego enviar una notificación push a tu teléfono para la aprobación final. Este enfoque abarca el factor de inherencia (tu cara) y el de posesión (tu teléfono).

Contraseña y aplicación de autenticación

Después de introducir una contraseña (factor de conocimiento), se abre una aplicación de autenticación (como Google Authenticator o una aplicación de empresa). El código cambia cada 30 segundos, por lo que es difícil de adivinar para los posibles atacantes.

En algunos casos, las empresas se podrían inclinar por explorar opciones aún más avanzadas, como la autenticación sin contraseña. Si estás interesado en dejar atrás la autenticación basada en contraseñas, consulta nuestro artículo sobre Qué es la autenticación sin contraseña.

¿Qué es la verificación en dos pasos (2SV)?

La verificación en dos pasos (2SV), al igual que la 2FA, también requiere de dos pasos consecutivos para verificar tu identidad, aunque no exige necesariamente dos «categorías» de factores diferentes. Con la 2SV, es posible que se te pida que introduzcas primero tu contraseña y, a continuación, respondas a una pregunta personal; en este caso, ambos factores entrarían en la categoría de conocimiento. En otros casos, es posible que se te pida que introduzcas tu nombre de usuario y contraseña, y luego se te pida que introduzcas un código que se te envía a tu correo electrónico. Aunque se trata de una capa adicional más allá de una contraseña única, los factores siguen basándose puramente en el conocimiento.

Ventajas de la 2SV

Facilidad de implementación

Dado que la 2SV suele utilizar herramientas comunes, como la verificación por SMS o correo electrónico, su implantación es relativamente sencilla para las empresas. Los usuarios también están acostumbrados a recibir códigos a través de estos canales.

Mejor que una contraseña única

Incluso si reutilizas tu contraseña en varios sitios (lo cual es un hábito arriesgado), seguirás necesitando un segundo paso para acceder a tu cuenta. Este enfoque por capas es más seguro que los inicios de sesión con contraseña.

Limitaciones de la 2SV

Vulnerabilidad debido al mismo factor

Si ambos pasos se basan en factores de conocimiento (como una contraseña más una pregunta de seguridad), los hackers que conozcan suficientes datos personales podrían descifrar ambas. Lo mismo se puede aplicar a la verificación basada en SMS, que puede ser susceptible de ataques de intercambio de SIM.

Dependencia de canales externos

Si el código se envía por correo electrónico, y tu correo electrónico está comprometido, ese segundo paso no es una gran barrera. Del mismo modo, los códigos SMS a veces pueden ser interceptados o verse retrasados.

Ejemplos de 2FA

Nombre de usuario y contraseña, seguidos de un enlace de correo electrónico

Tras introducir tus credenciales principales, el sistema te envía por correo electrónico un enlace de un solo uso para confirmar que eres realmente tú. Si tu cuenta de correo electrónico está bien protegida, esto supone un obstáculo adicional para los atacantes.

Contraseña y pregunta de seguridad

Te conectas con tu contraseña habitual y luego respondes algo como: «¿Cómo se llamaba tu primera mascota?» Ten en cuenta que estas preguntas de seguridad pueden ser un eslabón débil si las respuestas son fáciles de adivinar o se pueden encontrar a través de las redes sociales.

Contraseña y código SMS

Introduce tu contraseña y recibirás un código numérico en tu teléfono. Una vez introducido, el sistema concede el acceso. Aunque son útiles, los códigos basados en texto son vulnerables a los ataques de portabilidad telefónica o de intercambio de SIM.

¿Cuál es la diferencia entre 2FA y 2SV?

A primera vista, 2FA y 2SV pueden parecer muy similares. De hecho, muchas personas utilizan los términos indistintamente. Sin embargo, hay una diferencia sutil pero fundamental entre ambos:

• La 2FA exige dos categorías de factores distintas (por ejemplo, algo que sabes y algo que tienes). Por ejemplo, una contraseña (factor de conocimiento) y una clave de seguridad (factor de posesión).

• La 2SV solo requiere dos pasos, y ambos pueden ser de la misma categoría, como una contraseña seguida de una pregunta o código de seguridad.

Desde un punto de vista práctico, la 2FA suele considerarse más segura que la 2SV porque es más difícil que dos tipos de factores diferentes se vean comprometidos. Por ejemplo, los delincuentes no pueden robar tu huella dactilar tan fácilmente como una simple contraseña. Sin embargo, la 2SV sigue siendo significativamente más segura que confiar en un único factor.

También vale la pena señalar que el concepto de 2SV frente a 2FA surge a menudo cuando se habla de flujos de autenticación avanzada para empresas. Las grandes organizaciones podrían experimentar con la combinación de pasos, por ejemplo, una contraseña, más un escáner biométrico, más una notificación push, que es efectivamente una forma de autenticación multifactor (MFA). Si quieres explorar todo el panorama, puede que también quieras ver cómo encajan las claves de acceso en esta conversación consultando nuestro artículo Qué es una clave de acceso.

¿Por qué es esencial utilizar más de un método de seguridad para proteger tu cuenta?

Las ciberamenazas han evolucionado hasta el punto de que una sola contraseña —incluso una compleja y segura— puede ser burlada mediante estafas de phishing, filtraciones de datos o sofisticadas herramientas de hackeo. Y precisamente por eso, añadir capas de seguridad adicionales se ha convertido en una práctica indispensable para las empresas que se toman la seguridad en serio. Incluso si se vulnera o elude una capa, las demás permanecen intactas, lo que garantiza una protección sólida.

El error humano agrava estos problemas, ya que las personas tienden a reutilizar contraseñas, se apresuran a hacer clic en enlaces dudosos y, con bastante frecuencia, se dejan engañar fácilmente por ingeniosas técnicas de ingeniería social. Contar con varios puntos de control de autenticación significa que un solo descuido no comprometerá necesariamente todo el sistema. Además de mitigar estos riesgos, la seguridad por capas fomenta la confianza del consumidor, mostrando su compromiso de salvaguardar la información personal, un factor diferenciador clave en una era en la que la privacidad es una preocupación primordial.

Por último, muchas normativas y marcos jurídicos del sector también exigen o recomiendan encarecidamente el uso de medidas de seguridad adicionales. Para los equipos remotos repartidos en varios lugares y dispositivos, estas capas adicionales actúan como una red de seguridad, detectando así los intentos de inicio de sesión sospechosos antes de que puedan convertirse en filtraciones en toda regla.