certmundo.
es‑mx
Ciberseguridad Básica6/8

6 min de lectura

¿Cómo usar la autenticación de dos factores para blindar tus cuentas?

La autenticación de dos factores (2FA) es un método de seguridad que exige dos pruebas de identidad distintas antes de darte acceso a una cuenta.

¿Puedes adivinar qué tan seguido roban contraseñas?

Antes de continuar, responde esto: ¿cuánto tiempo tarda un atacante en acceder a tu cuenta si ya tiene tu contraseña?

La respuesta es incómoda: menos de dos segundos.

Según el reporte de Verizon Data Breach Investigations 2023, el 86% de los ataques exitosos a cuentas personales involucran contraseñas robadas o débiles. No hackearon tu cuenta con tecnología de ciencia ficción. Simplemente usaron una contraseña que ya tenían. Y tú nunca lo supiste.

Ahora viene la parte que cambia todo: el 99.9% de los ataques automatizados a cuentas son bloqueados cuando la cuenta tiene 2FA activo. Ese dato viene directamente de Microsoft. Una sola medida, casi perfecta.

El problema real con las contraseñas

Piensa en esto: usas la misma contraseña en tu correo, en Mercado Libre y en tu app del banco. Un día, Mercado Libre sufre una filtración de datos. Los atacantes obtienen tu correo y tu contraseña. En menos de un minuto, ya intentaron entrar a tu banco con los mismos datos.

Esto se llama relleno de credenciales y es una de las técnicas más comunes en México. El Instituto Nacional de Transparencia (INAI) reportó que en 2022 se filtraron más de 4 millones de registros de usuarios mexicanos en distintas plataformas.

Una contraseña, sin importar qué tan fuerte sea, solo es una línea de defensa. Si cae, todo cae.

El Modelo de la Caja Fuerte con Doble Llave

Imagina una caja fuerte que necesita dos llaves diferentes para abrirse. Tú tienes una llave. El banco tiene la otra. Aunque alguien te robe tu llave, no puede abrir la caja sin la del banco.

Eso es exactamente cómo funciona la autenticación de dos factores. Se basa en combinar dos elementos de categorías distintas:

  • Algo que sabes: tu contraseña o PIN.
  • Algo que tienes: tu teléfono, una app generadora de códigos o una llave física.
  • Algo que eres: tu huella digital o reconocimiento facial.

El 2FA combina al menos dos de estas categorías. Lo más común en México es combinar "algo que sabes" con "algo que tienes".

Los tres tipos de 2FA que existen

No todos los métodos de doble factor son iguales. Aquí están los tres más usados, del menos seguro al más seguro:

SMS (mensaje de texto)

El servicio te manda un código de 6 dígitos a tu celular. Es el más común porque casi todos tienen teléfono. Sin embargo, tiene un punto débil conocido como SIM swapping: un atacante puede llamar a tu operadora, hacerse pasar por ti y transferir tu número a otra SIM. En México, la CONDUSEF ha recibido denuncias de este tipo de fraude en usuarios de Telcel y AT&T.

Aun así, el SMS es infinitamente mejor que no tener ningún 2FA.

App autenticadora

Aplicaciones como Google Authenticator o Authy generan un código nuevo cada 30 segundos directamente en tu teléfono, sin necesidad de internet ni de mensajes. Este código es imposible de interceptar por SIM swapping porque nunca viaja por la red. Es el método recomendado para la mayoría de las personas.

Llave física (token)

Es un dispositivo del tamaño de una memoria USB que conectas a tu computadora. Es el método más seguro que existe, pero también el más caro y menos común. Lo usan principalmente empresas grandes como FEMSA o bancos institucionales para proteger cuentas críticas.

Cómo activar 2FA paso a paso

Vamos a lo práctico. Aquí tienes cómo activar 2FA en tres plataformas que probablemente ya usas:

En Google (Gmail, Drive, YouTube)

  1. Abre tu cuenta de Google en un navegador.
  2. Ve a Gestionar tu cuenta de Google.
  3. Haz clic en Seguridad.
  4. Busca la sección Verificación en dos pasos y haz clic en Comenzar.
  5. Elige el método: app autenticadora o SMS.
  6. Sigue las instrucciones en pantalla.

En menos de cinco minutos queda activo.

En Mercado Libre

  1. Entra a tu cuenta y ve a Mi perfil.
  2. Selecciona Seguridad.
  3. Activa la verificación en dos pasos.
  4. Mercado Libre enviará un código a tu correo o número registrado para confirmar.

Esto es especialmente importante si tienes métodos de pago guardados en la plataforma.

En WhatsApp

  1. Abre la app y ve a Configuración.
  2. Toca Cuenta y luego Verificación en dos pasos.
  3. Activa la opción y crea un PIN de 6 dígitos.
  4. Agrega un correo electrónico de respaldo.

En México, el robo de cuentas de WhatsApp es uno de los fraudes más reportados. Los atacantes se hacen pasar por ti para pedir dinero a tus contactos.

Errores comunes que debes evitar

Activar el 2FA es un gran paso, pero hay errores que anulan su protección:

Error 1: Compartir el código cuando alguien te lo pide. Ningún banco, ninguna tienda y ningún servicio legítimo te va a pedir el código de verificación por teléfono o por mensaje. Si alguien te lo pide, es un fraude. BBVA México y Liverpool han publicado alertas oficiales recordando esto a sus usuarios.

Error 2: Usar el mismo correo de respaldo que ya está comprometido. Si configuras un correo de recuperación, asegúrate de que ese correo también tenga 2FA activo. De lo contrario, el atacante puede entrar al correo de respaldo y desde ahí desactivar tu doble factor.

Error 3: No guardar los códigos de recuperación. Cuando activas 2FA, la plataforma te da entre 8 y 10 códigos de un solo uso por si pierdes tu teléfono. La mayoría de las personas los ignora. Si los pierdes y también pierdes tu teléfono, podrías quedarte sin acceso permanente a tu cuenta. Guárdalos impresos en un lugar seguro o en un gestor de contraseñas.

Error 4: Creer que el 2FA por SMS es suficiente para cuentas críticas. Para tu correo principal o tu cuenta bancaria, usa siempre una app autenticadora. El SMS es un buen inicio, pero no el destino final.

¿Qué pasa si pierdo mi teléfono?

Es la pregunta que más frena a las personas. La respuesta es: nada grave, si te preparaste antes.

Antes de perder tu teléfono, haz esto:

  • Guarda tus códigos de recuperación en un lugar físico.
  • Usa Authy en lugar de Google Authenticator. Authy permite sincronizar tus códigos en la nube con una contraseña maestra, así puedes restaurarlos en un nuevo dispositivo.
  • Registra un número de teléfono secundario o un correo alternativo como método de respaldo en las plataformas más importantes.

Con esa preparación, recuperar el acceso toma menos de 15 minutos.

La regla del 2FA inteligente

No todas tus cuentas necesitan el mismo nivel de protección. Usa este criterio para priorizar:

  • Prioridad alta (activa 2FA hoy): correo principal, banco, Mercado Libre, WhatsApp, redes sociales con tarjeta guardada.
  • Prioridad media (actívalo esta semana): tiendas en línea donde tengas datos de pago, plataformas de trabajo, correos secundarios.
  • Prioridad baja (cuando puedas): foros, sitios de entretenimiento sin datos financieros.

Empieza por las cuentas de prioridad alta. Si alguien roba tu correo principal, puede resetear todas las demás contraseñas. El correo es el eje de todo.

El costo de no activarlo

En México, el fraude digital creció un 30% entre 2021 y 2023, según datos de la CONDUSEF. El costo promedio de un fraude en línea para una persona física fue de $8,500. Activar el 2FA toma cinco minutos. No activarlo puede costarte semanas de trámites y miles de pesos.

La autenticación de dos factores no es perfecta, pero es la medida de mayor impacto por el menor esfuerzo que puedes tomar hoy mismo.

Puntos clave

  • La autenticación de dos factores bloquea el 99.9% de los ataques automatizados a cuentas, según Microsoft. Es la medida de seguridad con mayor impacto y menor esfuerzo.
  • Existen tres tipos de 2FA: por SMS (cómodo pero vulnerable al SIM swapping), por app autenticadora como Authy o Google Authenticator (recomendado), y por llave física (el más seguro).
  • Nunca compartas tu código de verificación con nadie. Ningún banco, tienda ni plataforma legítima te lo pedirá por teléfono o mensaje.
  • Guarda tus códigos de recuperación antes de necesitarlos. Si pierdes tu teléfono sin tenerlos, puedes perder acceso permanente a tus cuentas.
  • Prioriza el 2FA en tu correo principal primero. Quien controla tu correo puede resetear todas tus demás contraseñas y tomar el control de tu vida digital.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior
¿Cómo usar la autenticación de dos factores para blindar tus cuentas? | Ciberseguridad Básica | Certmundo