Verificación en dos pasos: así puedes proteger tus cuentas
La autenticación de dos factores es un sistema de seguridad que añade una segunda capa de verificación al acceso a tus cuentas, además de la contraseña. Esta verificación adicional puede ser, por ejemplo, un código que recibes en tu smartphone. De esta forma, se reduce considerablemente el riesgo de accesos no autorizados, incluso si tu contraseña ha sido robada.
¿Qué es la verificación en dos pasos?
La verificación en dos pasos o autenticación de dos factores combina dos componentes diferentes e independientes para la identificación de un usuario autorizado. Un ejemplo sencillo de este tipo de verificación se lleva a cabo diariamente en los cajeros automáticos o en las cajas de los supermercados. Para sacar dinero o pagar la compra siempre se requieren dos factores: la tarjeta de débito y el PIN (o firma). Así, la verificación en dos pasos solo funciona cuando ambos factores se combinan correctamente. El mismo principio se puede aplicar para proteger las cuentas de correo electrónico o en tiendas electrónicas u otros grandes portales web.
Sin embargo, una abrumadora mayoría de las cuentas en Internet solo están protegidas por un componente. Para iniciar sesión en una cuenta de correo electrónico, en servicios en la nube o en tiendas online solo es necesario introducir una única contraseña, con lo que, si esta llegara a caer en manos de personas no autorizadas, tendrían acceso inmediato a correos electrónicos sensibles, datos de cuentas o archivos personales. Para evitarlo, proveedores como Dropbox, Google o Amazon están implementando crecientemente una autenticación de dos factores en sus servicios como medida de seguridad adicional. Este proceso puede ser muy diferente, ya que las opciones para combinar los factores son muy amplias.
- Escribe correos electrónicos perfectos con ayuda de la IA (opcional)
- Dominio gratis más asesor personal
- Protección contra virus y spam
¿Cómo funciona la verificación en dos pasos?
La información necesaria para determinar los factores puede ser diversa. Sin embargo, los factores más importantes y ampliamente utilizados son:
- Tarjeta de acceso o token de seguridad
- PIN (número de identificación personal)
- Códigos de autorización bancaria
- Contraseñas
- Características biométricas (por ejemplo, huellas digitales, voz, iris)
Todos estos factores permiten la legítima identificación de una persona, pues son elementos que la persona sabe, tiene o que están absolutamente ligados a ella (“conocer”, “tener”, “saber”). El ejemplo del cajero automático muestra que en el día a día los tokens de seguridad se combinan con otros factores. Este método tiene la desventaja de que las personas autorizadas siempre tienen que llevar el token consigo, lo que en situaciones de descuido (p. ej., al introducir mal la clave) puede resultar en un acceso denegado.
Por esta razón, en el ámbito de la verificación en dos pasos en la web, cada vez se utilizan más métodos de verificación de usuarios autorizados que no dependen de tokens físicos tradicionales o que, al menos, reducen el riesgo de pérdida. Normalmente, además de la contraseña, el sistema genera un código automático, conocido como contraseña de un solo uso (One-Time Password u OTP). Este OTP se envía al smartphone del usuario autorizado, ya sea por SMS, correo electrónico o mediante una aplicación específica de autenticación. Así se garantiza que solo la persona que posee ese código de seguridad adicional pueda acceder a la cuenta. La ventaja es que el código solo se puede usar una vez y deja de ser válido automáticamente tras un corto periodo de tiempo.
Se pueden distinguir dos tipos principales de contraseñas de un solo uso: las TOTP (Time-based One-Time Password) son contraseñas basadas en el tiempo y generan un nuevo código cada 30 segundos, independientemente de si se ha usado o no. En cambio, las HOTP (HMAC-based One-Time Password) se basan en un contador y generan un nuevo código cada vez que se solicita, el cual sigue siendo válido hasta que se utiliza.
La verificación en dos pasos sin necesidad de un token físico o tarjeta de acceso ofrece, además, la ventaja de poder definir métodos de respaldo para recibir el código de seguridad. Por ejemplo, si no tienes acceso a la app, puedes configurar una alternativa para recibir el código por SMS o mediante una llamada telefónica con el código dictado automáticamente.
¿Por qué es importante usar la autenticación de dos factores?
Si es casi imposible garantizar la seguridad de tus cuentas al cien por cien ¿por qué tomarse la molestia de configurar una verificación en dos pasos? La respuesta es obvia: este proceso eleva el nivel de seguridad del proceso de autenticación en general, convirtiéndose así en una especie de segundo obstáculo que los delincuentes informáticos tendrán que superar si quieren acceder a tu información. Por otra parte, gracias a la autenticación de dos factores, casi todos los ataques de phishing fracasan.
Las cifras relacionadas con la ciberdelincuencia continúan siendo altas. Los ataques de phishing ya mencionados, así como el robo de identidad y la toma de control de cuentas, afectan cada vez más tanto a particulares como a empresas. Los atacantes suelen utilizar credenciales robadas o contraseñas poco seguras para acceder a información sensible. Y es precisamente aquí donde entra en juego la verificación en dos pasos: añade una capa extra de seguridad que dificulta enormemente el acceso no autorizado a una cuenta, incluso si la contraseña ha sido comprometida. Por eso, la autenticación de dos factores no es un simple “extra”, sino una protección imprescindible frente al robo de identidad y otros delitos cibernéticos.
Cuáles son los inconvenientes de la autenticación de dos factores
El simple hecho de que la verificación en dos pasos refuerce la seguridad ya supone una gran ventaja. Sin embargo, para los usuarios, un fallo del sistema o un descuido propio puede suponer el riesgo de bloquearse a sí mismos. En ese sentido, la autenticación de dos factores no solo representa una barrera para los ciberdelincuentes, sino también un posible obstáculo para el propio usuario. Dado que este tipo de autenticación está diseñada para proteger las cuentas online mediante una combinación de algo que “sabes” (como la contraseña) y algo que “tienes” (como el smartphone donde se recibe el código de seguridad), pueden surgir problemas si, por ejemplo, el usuario pierde el móvil, ya que automáticamente queda excluido como usuario legítimo. Otro aspecto a tener en cuenta son los fallos técnicos en las aplicaciones de autenticación.
En estos casos, existe la opción de añadir un código de autenticación alternativo. Este “doble fondo” permite, por ejemplo, incluir un segundo número de teléfono como método de recuperación, al que el servicio puede enviar los códigos de seguridad. También es habitual que se proporcione un código de emergencia (que conviene imprimir o anotar en un lugar seguro) o que se solicite una dirección de correo electrónico alternativa para restaurar el acceso a la cuenta. Así, lo que en un principio puede parecer un inconveniente, tiene solución. Recuerda que, al configurar este tipo de medidas, es fundamental tomarse en serio la seguridad, incluso si el procedimiento es opcional y no obligatorio. Documentar correctamente la información de recuperación reduce enormemente el riesgo de quedarte bloqueado.
- Escaneos antivirus periódicos
- Copias de seguridad automáticas y restauraciones
¿Qué métodos y herramientas de verificación en dos pasos existen?
Existen diferentes métodos y herramientas para implementar la verificación en dos pasos. Uno de los más habituales es el uso de una app de autenticación, que genera contraseñas de un solo uso basadas en el tiempo (TOTP). Estas aplicaciones funcionan incluso sin conexión a Internet y ofrecen un buen equilibrio entre seguridad y facilidad de uso.
Otro método común es la verificación por SMS, en la que se envía un código al teléfono móvil. Aunque es una opción cómoda, se considera menos segura, ya que los SMS pueden ser interceptados o redirigidos. Los tokens físicos, como memorias USB con claves de seguridad, son una alternativa muy segura, aunque más costosa y menos práctica para algunos usuarios. Algunos servicios también ofrecen notificaciones push, en las que debes confirmar manualmente el intento de inicio de sesión desde tu smartphone. La elección del método dependerá del nivel de seguridad deseado y de la tecnología disponible. En general, se aplica la siguiente regla: cuanto más independiente sea el segundo factor de la contraseña, más seguro será el sistema.
A continuación, te mostramos una lista de las apps de autenticación más utilizadas:
- Google Authenticator
- Microsoft Authenticator
- Authy
- FreeOTP
- LastPass Authenticator
IONOS Mail: cómo configurar la autenticación de dos factores
Para activar la autenticación de dos factores en tu cuenta de IONOS Mail, tienes dos opciones igual de fáciles: a través de una app de autenticación habitual o directamente desde la app móvil de IONOS.
Configuración con una app de autenticación
Activar una app de autenticación para tu cuenta de IONOS Mail es muy sencillo. Solo tienes que seguir estos pasos:
- Descarga una de las apps de autenticación mencionadas anteriormente o cualquier otra app similar en tu smartphone.
- Inicia sesión en tu cuenta de IONOS desde el navegador web.
- Ve a “Mi cuenta” > “Inicio de sesión y seguridad de la cuenta” > “Verificación en dos pasos (autenticación de dos factores)” y selecciona la opción para configurar la verificación mediante la app de autenticación.
- Escanea el código QR que aparece en pantalla con la app.
- Introduce el código de 6 cifras generado para confirmar la activación.
A partir de ese momento, la verificación en dos pasos quedará activada de forma permanente para tu cuenta.
Configuración mediante la app móvil de IONOS
Como alternativa, puedes usar la app oficial IONOS Mobile, disponible para Android y iOS. Una vez completada la configuración, recibirás una notificación push en tu smartphone cada vez que inicies sesión en tu cuenta IONOS, para aprobar el acceso. Puedes encontrar una guía detallada paso a paso en el Centro de Ayuda de IONOS.