¿Qué es la autenticación de dos factores? | Verificación en dos pasos explicada

Con la autenticación de dos factores (2FA), un usuario debe probar su identidad a través de dos medios diferentes para que se le conceda el acceso.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir la autenticación en dos fases
  • Describir ejemplos de factores de autenticación
  • Explorar los inconvenientes de 2FA

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es la autenticación de dos factores?

La autenticación de dos factores, abreviada 2FA, es un proceso de autenticación que requiere dos factores de autenticación diferentes para establecer la identidad. En pocas palabras, significa exigir a un usuario que demuestre su identidad de dos maneras diferentes antes de concederle acceso. La 2FA es una forma de autenticación multifactor.

autenticación en dos fases

¿Qué es la autenticación?

La autenticación es un componente importante del control de acceso. Es la práctica de seguridad de confirmar que alguien es quien dice ser. Un ejemplo sería un viajero que muestra su pasaporte a un agente aduanero.

En el ámbito de la ciberseguridad, el ejemplo más habitual de autenticación es el inicio de sesión en un servicio en la web, como iniciar sesión en Gmail en un navegador web o en la aplicación de Facebook. Cuando un usuario proporciona una combinación de nombre de usuario y contraseña, el servicio puede confirmar estos detalles y utilizarlos para autenticar al usuario.

¿Qué es un factor de autenticación?

Los factores de autenticación son diferentes clases de métodos de verificación de la identidad. Entre algunos de los factores de autenticación más utilizados para autenticación en dos fases se incluyen:

  • Conocimiento: se trata de una información que solo el usuario debe conocer, como una contraseña o la respuesta a una pregunta de seguridad.
  • Posesión: este factor depende de que el usuario tenga la posesión física de un objeto. Por ejemplo, una llave de hardware que pueda generar códigos de acceso, o un dispositivo móvil al que se le puedan enviar códigos.
  • Datos biométricos: son rasgos biológicos únicos del usuario que se pueden utilizar en la autenticación. Algunos ejemplos son las huellas dactilares, los escaneados de retina y la identificación facial.
  • Ubicación: las herramientas basadas en la ubicación, como el GPS, pueden utilizarse para restringir la autenticación a los usuarios dentro de una región geográfica determinada.

Hay que tener en cuenta que exigir dos instancias del mismo factor de autenticación no se considera 2FA. Por ejemplo, exigir una contraseña y una pregunta de seguridad sigue siendo un factor único de autenticación. Ambos pertenecen al factor de conocimiento.

¿Cómo funciona la autenticación de dos factores?

La autenticación de dos factores puede funcionar de diversas maneras. Uno de los ejemplos más habituales de 2FA requiere una verificación de nombre de usuario/contraseña y una verificación de texto por SMS.

En este ejemplo, cuando el usuario crea una cuenta para un servicio debe proporcionar un nombre de usuario único, una contraseña y su número de teléfono móvil. Cuando el usuario se conecta a ese servicio, proporciona su nombre de usuario y su contraseña. Esto proporciona el primer factor de autenticación (conocimiento; el usuario ha demostrado que conoce sus credenciales de acceso únicas).

A continuación, el servicio enviará al usuario un mensaje de texto automático con un código numérico. Luego se le pedirá al usuario que introduzca el código numérico. Si el código es correcto, el usuario ha proporcionado un segundo factor de autenticación (posesión; el usuario está en posesión de su dispositivo móvil). Ahora, se han cumplido las condiciones de 2FA y el usuario puede ser autenticado y tener acceso a su cuenta.

¿Por qué utilizar la autenticación de dos factores?

La seguridad basada en contraseñas se ha vuelto demasiado vulnerable a los ataques. Con la prevalencia de las estafas de phishing, de los ataques en ruta, de los ataques de fuerza bruta y de la reutilización de contraseñas, a los atacantes les resulta cada vez más sencillo recopilar credenciales de acceso robadas. Estas credenciales robadas pueden ser intercambiadas o vendidas para su uso en ataques de relleno de credenciales. Por esta razón, la 2FA es cada vez más habitual.

Una verificación de identidad más sólida ganado en importancia a medida que cada vez hay más trabajadores en remoto. Ya que la presencia física de los empleados en la oficina no puede utilizarse para verificar su identidad, medidas como la 2FA ayudan a garantizar que no se hayan puesto en riesgo sus cuentas.

Los expertos en seguridad suelen recomendar que los usuarios habiliten la 2FA siempre que sea posible, y que también la soliciten a los servicios que manejan datos confidenciales de los usuario pero que no ofrecen actualmente la 2FA. Aunque la 2FA no es imposible de descifrar para los atacantes, es significativamente más difícil y costosa de poner en riesgo que la autenticación que solo tiene contraseña.

¿Es segura la autenticación de dos factores basada en SMS?

La 2FA basada en SMS (verificación por mensaje de texto) es mucho más segura que la autenticación de un solo factor (solo con contraseña). Dicho esto, el SMS es uno de los métodos 2FA menos seguros. El protocolo SMS no es muy seguro y los mensajes SMS pueden ser interceptados por los atacantes.

Hay otras formas de aplicar la 2FA con un dispositivo móvil que son más seguras: por ejemplo, enviando el código de verificación a través de una aplicación segura que utilice una encriptación fuerte. Google y muchos otros servicios importantes de Internet utilizan contraseñas de un solo uso basadas en el tiempo (TOTP). Con las TOTP, un cliente (a menudo una aplicación que se ejecuta en un teléfono inteligente) crea un código temporal de un solo uso basado en la hora del día. Estos códigos tienen una vida útil extremadamente corta, normalmente menos de un minuto. Este corto plazo hace que sea extremadamente difícil que un atacante pueda interceptar y desencriptar el código antes de que caduque.

También hay una tecnología emergente de 2FA llamada "Sound-Proof", que utiliza el ruido ambiente captado por los micrófonos incorporados en los dispositivos móviles y ordenadores portátiles. Sound-Proof funciona comparando las muestras de ruido ambiente para asegurarse de que ambos dispositivos están en la misma habitación.

¿Hay inconvenientes en la autenticación de dos factores?

Aunque la 2FA está contribuyendo a mejorar la seguridad de Internet, hay algunos inconvenientes que deben tenerse en cuenta. Por ejemplo, la 2FA puede desanimar a los usuarios con menos conocimientos técnicos, para quienes descargar y navegar por las aplicaciones de verificación de los teléfonos inteligentes puede suponer un reto.

Exigir la 2FA para un servicio también puede suponer una barrera económica, pues no todos los usuarios disponen de los teléfonos inteligentes que se necesitan para muchos métodos de 2FA. Además, los datos móviles son muy caros en algunas partes del mundo, por lo que incluso aquellos con teléfono inteligente pueden tener repercusiones económicas por descargar una aplicación de verificación 2FA.

La 2FA también supone costes empresariales para los que gestionan el servicio. La 2FA es mucho más difícil de implementar que la autenticación solo con contraseña, y una empresa que ofrezca 2FA tendrá que incurrir en costes de instalación o pagar a un servicio de terceros para que proporcione la autenticación con un coste continuo. Las empresas más pequeñas pueden renunciar a la mayor seguridad que proporciona la 2FA, porque simplemente no pueden permitirselo.