La autenticación de dos factores (2FA) añade una capa extra de seguridad al exigir dos formas distintas de verificación antes de conceder acceso a una cuenta o sistema. Así, incluso si alguien obtiene una contraseña, no podrá iniciar sesión sin el segundo factor.
¿Qué es 2fa?
La autenticación de dos factores (2FA), también llamada doble factor de autenticación o verificación en 2 pasos, es un proceso de ciberseguridad que añade un paso de verificación adicional, además del nombre de usuario y la contraseña básicos, para identificar a un usuario en línea. Los usuarios deben proporcionar y verificar dos formas distintas de identificación antes de que se les conceda acceso a un recurso en línea.
El propósito de este sistema es prevenir el acceso no autorizado, dificultando que un impostor ingrese a sistemas y aplicaciones utilizando credenciales robadas y pueda robar información personal o confidencial. Este método forma parte de una categoría más amplia conocida como autenticación multifactor (MFA), que utiliza dos o más credenciales para verificar la identidad del usuario.
Con la autenticación de dos factores:
El primer factor es información que el usuario conoce, generalmente una contraseña o un número de identificación personal (PIN).
El segundo es algo que el usuario posee, que puede ser un token físico, una aplicación para smartphone que genera contraseñas temporales de un solo uso basadas (TOTP), un mensaje de texto o un factor biométrico (por ejemplo, huella dactilar, escáner de retina o huella de la mano).
La combinación de lo que un usuario sabe y posee crea una mayor barrera para evitar que los usuarios no autorizados intenten obtener acceso ilícito a cuentas o sistemas.
La 2FA se utiliza con frecuencia para protegerse contra ataques de phishing, ya que, aunque un atacante consiga engañar a un usuario para que revele su contraseña, no tendrá acceso al sistema donde se recibe el segundo factor de autenticación.
Si bien es una medida de seguridad eficaz, la autenticación de dos factores no está exenta de posibles debilidades. Por ejemplo, la 2FA basada en SMS puede ser vulnerable a ataques de intercambio de SIM, en los que un atacante convence a un proveedor de telefonía móvil para que cambie el número de teléfono de la víctima a una nueva tarjeta SIM, recibiendo así los códigos de 2FA.
Beneficios de la verificación en 2 pasos
Entre los beneficios más comunes de la verificación en 2 pasos se incluyen:
- Verificación de identidad adicional que no se limita al nombre de usuario y la contraseña
- Cumplimiento de las normativas que exigen el uso de 2FA
- Mitigación de vulnerabilidades de contraseñas, como contraseñas débiles, reutilizadas en diferentes servicios o robadas
- Protección de datos confidenciales
- Protección en múltiples servicios y puntos de acceso
Métodos de autenticación 2FA
Método | Definición |
|---|---|
Aplicaciones de autenticación | Generan contraseñas temporales de un solo uso (TOTP) que caducan tras un breve periodo, normalmente de 30 a 60 segundos. Los usuarios ingresan el código desde la aplicación para autenticarse |
Verificación biométrica | Utiliza rasgos biológicos únicos del usuario (por ejemplo, huellas dactilares, reconocimiento facial o escaneo de retina) como segundo factor |
2FA basada en correo electrónico | Envía el código de acceso de un solo uso (OTP) o el enlace de autenticación a la dirección de correo electrónico del usuario |
Tokens de hardware | Dispositivos físicos que generan una OTP con solo presionar un botón |
Notificaciones push | Las solicitudes de autenticación se envían a un dispositivo confiable, generalmente a través de una aplicación móvil. El usuario aprueba o rechaza la solicitud con un simple toque |
SMS y llamadas de voz | Se envía una OTP al teléfono móvil del usuario por SMS o llamada de voz; el usuario debe ingresar este código para completar el proceso de autenticación. |
Tokens de software | Similares a los tokens de hardware, pero implementados en software, los tokens de software se pueden usar en dispositivos como teléfonos inteligentes u ordenadores para generar las OTP sin necesidad de hardware físico. |
¿Cómo implementar el doble factor de autenticación?
La implementación de la autenticación de dos factores es un proceso de varios pasos. A continuación, se presenta una descripción general de los pasos:
Selección de un método de 2FA
Decide el tipo de segundo factor o paso de verificación que se utilizará. Algunos de los métodos más comunes son:
- Enviar códigos por mensaje de texto
- Enviar códigos por correo electrónico
- Aplicaciones de autenticación que generan contraseñas temporales de un solo uso (TOTP)
- Tokens de hardware
- Verificación biométrica (por ejemplo, huellas dactilares o reconocimiento facial). La elección de un segundo factor de autenticación depende del nivel de seguridad requerido y de los recursos disponibles.
La elección de un segundo factor de autenticación dependerá del nivel de seguridad requerido y de los recursos disponibles.
Selección de una solución 2FA
Según el método escogido para el segundo factor de autenticación, selecciona una solución 2FA que se ajuste a las necesidades de la organización. Hay varios proveedores y soluciones de terceros disponibles, algunos de los cuales pueden gestionar varios métodos de autenticación diferentes.
Integración del segundo paso en el sistema de autenticación ya existente
Por lo general, la 2FA implica modificar el flujo de autenticación para incluir el segundo paso para verificar la contraseña inicial. Si se utiliza una solución de terceros, su interfaz de programación de aplicaciones (API) de 2FA se integrará en el sistema de autenticación existente. Cuando un usuario intenta iniciar sesión, el sistema original interactuará con la API de 2FA para iniciar la segunda capa de autenticación.
Aprovisionamiento de tokens o dispositivos 2FA
Con los métodos que requieren tokens de hardware o aplicaciones móviles, estos se proporcionarán a los usuarios. Para los métodos basados en aplicaciones, los usuarios descargarán una aplicación de autenticación y la vincularán a su cuenta.
Solicitud del segundo factor durante el inicio de sesión
El proceso de inicio de sesión se modificará para solicitar a los usuarios el segundo factor después de ingresar correctamente su contraseña. El proceso exacto dependerá del método de 2FA.
Por ejemplo, si se utiliza el servicio de mensajes cortos (SMS), el servicio de 2FA envía un código de texto al dispositivo móvil del usuario. Luego, el usuario ingresa este código en el campo correspondiente.
Las organizaciones deben asegurarse de que el flujo sea fácil de usar y explique claramente los pasos adicionales.
Verificación del segundo factor
Una vez que el usuario ingresa su segundo factor, el sistema envía esta información a la API de 2FA. Si el segundo factor es correcto, la API lo confirmará y el sistema podrá otorgar acceso al usuario.
Plan de copia de seguridad y recuperación
Las organizaciones suelen tener un mecanismo alternativo para los casos en los que el usuario no puede utilizar su método de 2FA principal. Se pueden usar códigos de respaldo, procesos de restablecimiento administrativo o métodos de verificación alternativos (por ejemplo, números de teléfono secundarios o direcciones de correo electrónico).
Pruebas y supervisión
Antes de implementar completamente la 2FA, las organizaciones realizan pruebas exhaustivas para garantizar que el proceso funcione sin problemas en diferentes dispositivos y escenarios. Esto incluye probar las alternativas y cualquier proceso de recuperación.
Después de la implementación, se supervisa el sistema para detectar cualquier problema y se recopilan comentarios de los usuarios para abordar cualquier desafío encontrado.
Educación de los usuarios
Explica a los usuarios la importancia de la 2FA y capacítalos sobre cómo utilizarla. Algunas posibilidades son enviar correos electrónicos instructivos, crear artículos educativos o proporcionar instrucciones en la aplicación durante el proceso de configuración.
Cumplimiento de las políticas de 2FA
Después de implementar la autenticación de dos factores, las empresas hacen que sea obligatoria para acceder a sistemas o datos confidenciales. Muchas también implementan políticas que requieren actualizaciones o cambios periódicos en el segundo factor, especialmente para métodos que podrían verse comprometidos con el tiempo.
Autenticación de dos factores (2FA) frente a autenticación multifactor (MFA)
Tanto la autenticación de dos factores como autenticación multifactor (MFA) son procesos que buscan elevar la seguridad más allá del combo usuario-contraseña. La diferencia clave está en el número de factores.
La 2FA es un subconjunto de la MFA y exige exactamente dos factores, combinados entre:
- Algo que sabes: contraseña, PIN.
- Algo que tienes: app de códigos de un solo uso, llaves de seguridad (FIDO/U2F), SMS (menos recomendado).
- Algo que eres: biometría como huella o rostro.
Mientras que la MFA incluye la 2FA pero puede requerir dos, tres o más factores, añadiendo capas cuando el riesgo lo justifica (p. ej., acceso de administrador o transacciones sensibles).
La elección entre entre una y otra debe basarse en las necesidades de seguridad específicas, la evaluación de riesgos y el nivel de practicidad que puedan permitirse los usuarios o la organización. Ambos métodos tienen como objetivo proteger la organización frente a las vulnerabilidades inherentes a depender únicamente de contraseñas para la autenticación.
Consideraciones sobre la autenticación de dos factores
Al incorporar un paso de verificación adicional que combina algo que los usuarios saben con algo que poseen, la autentificación en dos pasos incrementa el umbral de seguridad, lo que hace que el acceso no autorizado sea más difícil para los posibles atacantes.
A pesar de sus puntos fuertes, es importante reconocer que la 2FA no es infalible. Si se utiliza, debería implementarse como parte de un enfoque de seguridad más amplio, más integral y por niveles que incluya el uso de prácticas de contraseñas seguras, educación de los usuarios y otros protocolos y sistemas de seguridad.
Las amenazas evolucionan continuamente con nuevos vectores de ataque que explotan las vulnerabilidades en un panorama digital cambiante. La ciberseguridad también debe adaptarse de forma constante para mantenerse un paso adelante de ciberdelincuentes creativos y muy motivados que no cesan sus actividades maliciosas.
