Logo RedesZone
Navega gratis con cookies…

Navegar por redeszone.net con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias.

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

Elección de cookies
O sin cookies desde 1.67€ al mes

Por solo 1.67 al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin publicidad ni cookies de seguimiento.

Consulta nuestra Política de Privacidad.
Seguridad

Mejora la seguridad de tus cuentas con la autenticación en dos pasos

imagen de una web solicitando el inicio de sesión
La autenticación en dos pasos añade una capa de seguridad indispensable para proteger nuestras cuentas digitales
Oscar Espinosa

Hoy en día casi todas las personas alguna vez y debido al robo de bases de datos, han intentado robarnos alguna cuenta de algún servicio como el correo electrónico, acceso alguna web, acceso a plataformas de videojuegos tipo Steam, redes sociales, servicios de streaming de video y otros. Por suerte hoy en día existen métodos para intentar mitigar que alguien entre en nuestros servicios online, hoy en RedesZone vamos a ver la autenticación en dos pasos.

Como hemos mencionado el uso de contraseñas no es suficiente para proteger nuestras cuentas. Es cierto que evidentemente es algo prioritario y que debemos aplicar. Es muy importante utilizar una clave que sea realmente fuerte y segura, sin embargo también es necesario usar, siempre que sea posible, la autenticación en dos pasos.

 

¿Qué es la autenticación y para qué sirve?

La autenticación es el método que se utiliza en el mundo de la informática para identificarnos frente a un sistema informático. Existen diferentes formas de autenticación hoy en día, como, por ejemplo, el uso de un usuario y contraseña, la utilización de tarjetas de acceso e incluso la identificación biométrica a través de nuestra huella, geometría de la mano o escáner de iris entre otras muchas. La autenticación es el primer paso para utilizar un sistema informático, y es fundamental que esta autenticación sea lo suficientemente robusta como para que nadie pueda hacerse pasar por nosotros. En el caso de que alguien pueda hacerse pasar por nosotros, estaremos en un grave problema debido a que de alguna forma ha capturado nuestras credenciales de usuario.

La autenticación no debemos confundirla con la autorización, nosotros podemos autenticarnos en un sistema informático, pero no tener la autorización para realizar ciertas acciones. Es muy importante saber que la autorización va después de la autenticación, primero debemos autenticarnos frente a un sistema informático, y posteriormente nos autorizará a realizar ciertas acciones o no.

 

Implicaciones de la autenticación en dos pasos

Este proceso de autenticación 2FA, es un proceso de seguridad que requiere que los usuarios, proporcionen dos formas diferentes para autenticarse. Esto es algo que es obligatorio, y sin el cual no va a ser posible acceder dentro de una cuenta de usuario. Esto tiene algunas implicaciones, las cuales hacen de este formato algo muy importante a día de hoy. Y por otro lado, muy necesario en todos los servicios que sea posible aplicarlo.

  • Mayor seguridad: La autenticación en dos pasos es una nueva capa de seguridad que hace que sea más complicado para los atacantes, el realizar un ataque de acceso no autorizado a una de nuestras cuentas. La probabilidad de que sea posible descubrir no solo la contraseña, sino el código al mismo tiempo, es muy baja. Por lo cual se trata de un método que es muy efectivo.
  • Reducción de riesgos: Esto reduce el riesgo de acceso no autorizado, y así ayuda a proteger los datos que una cuenta de usuario puede contener. Si la contraseña es descubierta o robada, los atacantes no podrán hacer nada sin el código de la doble autenticación.
  • Inconvenientes: Sin duda la autenticación en dos pasos, hace del logueo algo mucho más lento, y en algunas ocasiones engorroso. Incluso tratándose de un problema menor en pro de la seguridad, muchos usuarios lo pueden llegar a encontrar frustrante.
  • Pérdidas de acceso: Si perdemos el dispositivo o la forma en la cual recibidnos el código de acceso, puede ser complicado recuperar el acceso a la cuenta. Esto depende mucho de cuales sean los procesos con los que cuenta la empresa. En muchos casos, las empresas nos dejan solicitar un cambio de número, por ejemplo, pero con unos periodos de cambio bastante largos. Los cuales pueden rondar el mes.
  • Costes adicionales: Este tipo de sistemas de doble autenticación, son servicios que pueden resultar costosos, lo cual puede ser un factor determinante para una empresa. Pero lo cierto es que sigue siendo necesario implementarlo, para así poder aumentar la seguridad del sistema.
 

Qué es el secuestro de 2FA y cómo evitarlo

Después de lo que hemos explicado brevemente sobre qué es la autenticación en dos pasos y cómo funciona podemos tener una idea de qué es el secuestro de 2FA. Básicamente consiste en robar de alguna manera ese código o saltarse ese paso para iniciar sesión. Es algo que pone en riesgo nuestra seguridad y privacidad. Hay varios casos que podemos mencionar. Uno de ellos, el más habitual, es el secuestro de 2FA cuando recibimos el código por SMS. Esto significa que vamos a tener un malware en nuestro dispositivo capaz de robar ese código que hemos recibido por un mensaje. Así podrá enviarlo directamente a algún servidor controlado por los piratas informáticos.

También puede ocurrir que haya algún tipo de malware en nuestro equipo capaz de interferir en las aplicaciones que actúan como 2FA. Ya sabemos que podemos recibir el código por SMS o hacer uso de alguna aplicación de terceros que pueda proporcionarnos ese segundo paso.

Muchos de estos programas maliciosos que mencionamos suelen funcionar debido a vulnerabilidades que encuentra en el sistema. Esto es algo que podemos corregir y de esta forma no comprometer nuestra privacidad y seguridad.

Seguridad de 2FA
Utilizar aplicaciones autenticadoras en lugar de SMS es clave para evitar el secuestro de 2FA

Algo básico que debemos tener presente es siempre hacer uso de herramientas de seguridad. Un buen antivirus puede evitar la entrada de malware que ponga en riesgo nuestros dispositivos. Esto es algo que debemos aplicar sin importar el sistema operativo que estemos utilizando. También es muy importante contar siempre con las últimas versiones. Hemos mencionado que muchos tipos de malware se aprovechan de fallos de seguridad que haya presentes en esos dispositivos. Por ello debemos instalar siempre los últimos parches y actualizaciones de seguridad que tengamos disponibles.

De esta forma vamos a evitar problemas que puedan aprovecharse de las posibles vulnerabilidades y fallos que pueda haber. Es importante que mantengamos el sistema siempre limpio y que no haya malware ni ningún tipo de amenazas. Por otra parte, el sentido común también es muy importante. En muchas ocasiones el malware va a requerir que cometamos algún error. Por ejemplo puede ser acceder a un enlace fraudulento o descargar un archivo que en realidad sea un malware. Es esencial que tengamos siempre presente el sentido común.

 

El método utilizado por ciberdelincuentes

Es importante tener claro cómo funciona el secuestro de 2FA, ya que, toda información en este sentido, es la mejor forma de evitar sorpresas no deseadas. Se trata de robar de alguna manera ese código o saltarse ese paso para iniciar sesión.

Es algo que pone en riesgo nuestra seguridad y privacidad. Uno de ellos, el más habitual, es el secuestro de 2FA cuando recibimos el código por SMS. Suele ocurrir cuando hay un malware presente que es capaz de robar ese código que hemos recibido por un mensaje. El objetivo final es enviarlo a un servidor controlado por los piratas informáticos.

 

SIM Swapping, una amenaza muy temida

Precisamente, una de las amenazas más temidas y de la que os hemos hablado en otras ocasiones, es el SIM Swapping, o intercambio fraudulento de tarjeta SIM. La práctica consiste en que los ciberdelincuentes suplanten la identidad de la víctima ante su operador telefónico para obtener un duplicado de la tarjeta SIM asociada a su número móvil. Es decir, que una vez logrado, el atacante redirige todas las llamadas y mensajes de texto (SMS) del usuario legítimo hacia su propio dispositivo, lo cual le permite interceptar los códigos de verificación enviados por SMS para la autenticación en dos pasos.

INCIBE advierte que el SIM Swapping ha aumentado en los últimos años, precisamente alimentado por la proliferación de servicios que aún usan SMS como segundo factor. Lo ideal para evitarlo, siempre que esté de nuestra mano, es usar aplicaciones autenticadoras en lugar de SMS para evitar el secuestro de 2FA. Y para que el malware no campe a sus anchas, antes de todo lo anterior, lo más recomendable es contar con un buen antivirus puede evitar la entrada de malware que ponga en riesgo nuestros dispositivos, ya sea el móvil o el PC.

 

Métodos de autenticación

Hoy en día existen diferentes métodos de autenticación que son ampliamente usados por todos nosotros, ya sea en el ordenador, en el smartphone e incluso para pasar a nuestro trabajo presencial en una oficina. Los métodos de autenticación que disponemos hoy en día lo podemos dividir en tres grupos bien diferenciados:

 

Algo que tenemos físicamente

Es una forma de autenticación muy segura, siempre y cuando nunca las perdamos porque es algo que tenemos físicamente. Un ejemplo de método de autenticación de «algo que tenemos» son las tarjetas magnéticas, tarjetas inteligentes e incluso las llaves USB para la autenticación. Nosotros simplemente tenemos que pasarlas por un lector y automáticamente nos dará acceso al sistema, ya que nos habremos autenticado de forma correcta en el sistema.

La principal ventaja de este sistema de autenticación es que es de bajo coste, las tarjetas y las llaves USB no son muy caras. El índice de seguridad que ofrecen es muy elevado, así como la rapidez en autenticarnos ya que dependemos de un lector o puerto USB. Sin embargo, los principales problemas vienen porque al ser objetos físicos, se podrían perder, además, es posible que algunas tarjetas magnéticas se puedan clonar, por lo que se podrían hacer pasar por nosotros en cualquier momento, algo verdaderamente preocupante.

 

Algo que sabemos

Es la forma de autenticación más utilizada a nivel mundial, son las contraseñas. Este método de autenticación nos permite aprendernos una contraseña y teclearla para acceder a un sistema informático, servidor, ordenador o cualquier otro dispositivo. Es muy importante utilizar contraseñas robustas para tener la mejor seguridad posible, en estos casos donde tengamos las contraseñas como método de autenticación, es muy importante que tengan:

  • Longitud de más de 12 caracteres.
  • Combinación de mayúsculas, minúsculas, símbolos y números.
ilustración de password
La contraseña es el primer factor, ‘algo que sabes’, pero por sí sola ya no es suficiente

A ser posible, si nos estamos autenticando en servicios web, es muy recomendable utilizar un gestor de contraseñas o un administrador de contraseñas, para mantenerlas todas a salvo en una «caja fuerte» y que nadie pueda acceder a ellas. Es de vital importancia mantener todas nuestras contraseñas a salvo.

Respecto a las ventajas del uso de las contraseñas, su ventaja radica en la facilidad que tiene de crearse y gestionarse a través de gestores de claves, además, son completamente gratuitas y no necesitamos llevar nada físico encima. No obstante, su gran inconveniente es que podemos desvelarla sin darnos cuenta, podemos sufrir una filtración de todas nuestras contraseñas e incluso que nos la hackeen probando múltiples combinaciones.

 

Algo que somos

En este apartado la biometría es la clave, en nuestro cuerpo humano tenemos diferentes «llaves» que podemos usar para autenticarse, por ejemplo, los ojos, las huellas, la voz, tu cara, la firma o la escritura. Sin embargo, estos sistemas que por ejemplo se están poniendo cada vez más de moda en los teléfonos móviles, presentan muchos inconvenientes como que actualmente son caros de implementar, a veces fallan mucho y después está el tema de la privacidad, ya que para que funcione tiene que estar almacenados en alguna base de datos nuestros biométricos que nos hacen únicos y diferentes. Normalmente los fabricantes almacenan los datos biométricos en el propio terminal, no los «sube» a la nube automáticamente.

Primer plano de un ojo siendo escaneado por un sistema de autenticación biométrica ocular
La biometría, ‘algo que somos’, es un método de autenticación cada vez más común en dispositivos móviles

Cuando estamos usando la biometría, debemos saber que existen dos términos muy importantes a los que debemos hacer frente: la tasa de insulto y la tasa de fraude. La tasa de insulto es cuando nos autenticamos en un sistema y éste nos indica que realmente no somos nosotros. La tasa de fraude es cuando alguien se autentica en el sistema haciéndose pasar por nosotros. Cuanto mayor es la tasa de insulto (más sensible la biometría) menor es la tasa de fraude y más seguridad nos proporciona, sin embargo, disminuir esta tasa de insulto significa aumentar la tasa de fraude. Por lo tanto, cualquier sistema biométrico debe ser capaz de realizar un buen balance entre tasa de insulto y tasa de fraude.

Una vez vistos los diferentes métodos de autenticación que podemos encontrarnos queda claro que ningún sistema es completamente seguro al 100% por eso cada vez más se usan autenticaciones en dos pasos.

 

Autenticación en dos pasos

La autenticación en dos pasos es combinar dos métodos de autenticación de índole diferente, es decir, combinar el «algo que sabemos» con el «algo que tenemos«. También podemos combinar «algo que somos«, con «algo que tenemos«. En nuestro día a día, cuando accedes por ejemplo al correo electrónico, redes sociales u otros servicios, tenemos que usar un método de verificación que está basado en «algo que sabes», es decir, la contraseña de acceso al servicio en cuestión.

La gran mayoría de servicios online como Google, Microsoft, Facebook, Twitter, Instagram y muchísimos otros, utilizan la autenticación en dos pasos, para utilizar la contraseña (algo que sabemos), y también un código que recibimos por SMS o que generamos con nuestro smartphone (algo que tenemos). Por ejemplo, en los foros de ADSLZone tenemos la posibilidad de activar la autenticación en dos pasos utilizando un código generado por una app autenticadora. En algunos casos, esta autenticación en dos pasos se basa en una llamada de teléfono, y en otros, se basa en que, si ya tenemos un dispositivo sincronizado con un servicio como iCloud, automáticamente nos envía a otros dispositivos un aviso para permitir ese inicio de sesión. Si no tenemos a mano otro dispositivo para aprobar el inicio de sesión, entonces nos envía un SMS con un código, y si tampoco tenemos a mano nuestro móvil, entonces ya nos salta opciones de recuperación.

No muchos sitios ofrecen correctamente la autenticación de dos factores
El segundo factor suele ser un código temporal (TOTP) generado por una app en tu móvil, ‘algo que tienes’

Como podemos ver, en principio los sistemas de autenticación y verificación parecen muy seguros al requerir dos pasos, por lo que es muy recomendado tenerlo activo. Pero, sin embargo, también puede ser inseguro si se hacen con ambos sistemas de verificación. Los puntos débiles de la autenticación en dos pasos podría ser la localización del segundo dispositivo, en caso de tener un segundo factor por SMS o llamada, si nuestro móvil no tiene cobertura no recibirá el código, por este motivo (y también porque usar SMS no es seguro) es recomendable utilizar apps generadoras de códigos en el smartphone.

 

Guarda los códigos de recuperación

A la hora de habilitar este tipo de método de seguridad en cualquier servicio que consideres, hay que tener en cuenta que el sistema te dará un conjunto de códigos de recuperación de un solo uso. Un código que se convierte en el seguro de tu vida digital. ¿Por qué son tan importantes? Si pierdes el smartphone o se rompe, estos son los únicos códigos con los que podrás recuperar el acceso a tu cuenta o servicios.

La clave está en imprimirlos. Guardar una copia física en un lugar seguro puede ser la solución alternativa que te vendrá bien tener en cualquier momento. También puedes guárdarlos en un gestor de contraseñas. Hay gestores muy conocidos, pero lo vital es que uses uno de gran confianza entre usuarios. Y, por último, nunca se deben guardar sin ningún tipo de cifrado, ya sea en tu ordenador o en otro dispositivo. Por ejemplo, tampoco es inteligente llegar a hacer una captura de pantalla de estos códigos, puesto que no tiene ningún tipo de seguridad.

 

Aplicaciones autenticadoras para Android y iOS

Las siguientes aplicaciones autenticadoras nos permitirán generar códigos temporales para los diferentes servicios. Algunas aplicaciones están disponibles para Android y también para iOS. Lo principal que debes saber de estas aplicaciones, es que en algunos casos el «token» se almacena localmente, y, por tanto, si restauras el móvil a valores de fábrica lo perderás, y tendrás que reactivar la autenticación en todos los servicios uno a uno, y esto hace que los servicios TOTP con almacenamiento en Cloud sean muy recomendables, ya que los «token» se subirán a la nube del servicio para que con tan solo iniciar sesión, ya tengamos acceso a nuestro segundo factor de autenticación.

No es recomendable utilizar autenticación en dos pasos basadas en SMS, ya que no se considera un método seguro. Es recomendable utilizar app autenticadoras que generen los códigos temporales.

 

Google Authenticator

Otra de las herramientas más populares para utilizar 2FA es Google Authenticator. Más allá de ser compatible lógicamente con los servicios de Google, también lo es con prácticamente cualquier plataforma que utilice autenticación de factor múltiple. Podemos utilizar Google Authenticator en Android y también iOS. Como cualquier aplicación de este tipo, su misión es autenticarnos a la hora de iniciar sesión en Amazon, Hotmail, Gmail… En cualquier servicio compatible.

Google Authenticator
Google Authenticator
DESCARGAR
googleplay logo
Google Authenticator
Google Authenticator
DEVELOPER:   Google LLC
DESCARGAR
appstore logo

Lo que hace es mostrarnos un código de 6 dígitos que va cambiando cada medio minuto. Ese código lo tenemos que poner cuando vayamos a iniciar sesión y, junto a la contraseña, va a permitir que nos identifiquemos y evitemos que cualquier intruso pueda entrar en la cuenta. Es muy útil para poder identificarnos en un dispositivo nuevo y verificar que realmente somos el usuario legítimo. Una vez hemos iniciado sesión ya alguna vez en ese equipo, no volverá a pedir más esta doble autenticación puesto que ya lo reconoce.

Esta aplicación es la más utilizada en todo el mundo debido a su facilidad de uso, además, han incorporado sincronización de los tokens en la nube en nuestra cuenta de Google, así que es una gran opción para mantener la seguridad. No obstante, esta sincronización en la nube es totalmente opcional.

 

Authy

Una de las aplicaciones de 2FA más populares y utilizadas es Authy. Cuenta con una buena interfaz de usuario, sincronización entre dispositivos y es una de las más valoradas por los usuarios. Está disponible para iOS y Android, además de sistemas operativos de escritorio como macOS, Windows y Linux. Para utilizar Authy tenemos que ir a su página web oficial. Allí encontraremos la sección de descargas y también información sobre los servicios con los que es compatible.

Twilio Authy Authenticator
Twilio Authy Authenticator
DESCARGAR
googleplay logo
Authy
Authy
DEVELOPER:   Authy Inc.
DESCARGAR
appstore logo
Authy 2FA
La interfaz de Authy permite gestionar múltiples cuentas y ofrece sincronización cifrada en la nube. Fuente: Captura de RedesZone

Uno de los aspectos más interesantes es que permiten realizar una copia de seguridad y almacenarla en su nube. Permite crear una contraseña que solo el usuario sabe para poder acceder a esa copia. Eso sí, en caso de olvidarla no podríamos recuperarla.

 

LastPass Authenticator

Esta app nos permite almacenar el token TOTP en nuestro terminal, pero tenemos sincronización Cloud de manera opcional, por lo que si restauramos nuestro móvil perderemos el acceso a los diferentes servicios, y tendremos que volver a reactivarlo.

LastPass Authenticator
LastPass Authenticator
DESCARGAR
googleplay logo

Esta aplicación es realmente interesante porque tiene lo mejor de Google Authenticator (almacenamiento local) y también lo mejor de Latch y Authy si es que queremos almacenar los datos en la nube de la empresa.

 

Microsoft Authenticator

Una alternativa más es la de Microsoft Authenticator. No podía faltar este tipo de programas para el gigante del software. Está disponible también tanto para Android como para iOS y podemos descargar el programa desde su página oficial.

Microsoft Authenticator
Microsoft Authenticator
DESCARGAR
googleplay logo
Microsoft Authenticator
‎Microsoft Authenticator
DEVELOPER:   Microsoft Corporation
DESCARGAR
appstore logo

Es también muy utilizada y cuenta con gran compatibilidad con la mayoría de servicios online que utilizan 2FA, más allá de los propios de Microsoft. Va a mostrar un código que debemos poner cuando vayamos a iniciar sesión y el programa se encarga de autenticarnos y verificar que somos el usuario legítimo.

 

Zoho OneAuth

Zoho cuenta con una gran cantidad de servicios online y para la nube. Uno de ellos es OneAuth, que permite autenticarnos a la hora de iniciar sesión en diferentes plataformas compatibles y poder así verificar que somos el usuario legítimo. Un programa más a la lista para poder aumentar la seguridad y evitar problemas en nuestras cuentas.

Podemos entrar en su página web y ver que cuenta con versión para Android y para iOS. Lo podemos instalar en diferentes dispositivos al mismo tiempo y elegir que uno de ellos sea el principal. Como en los casos anteriores, va a permitir que agreguemos un paso adicional para evitar así que un posible intruso llegue a iniciar sesión en algún servicio simplemente con haber averiguado la contraseña.

 

WinOTP Authenticator

WinOTP Authenticator es un programa para Windows que nos permite crear claves de doble autenticación. Esto es algo que cada vez más plataformas lo aceptan. Con esto logramos poner una capa extra de seguridad a nuestras contraseñas. Pongamos que un intruso ha logrado averiguar nuestra clave de acceso a un servicio, red social o cualquier página o aplicación en la red. Gracias a utilizar doble factor de autenticación esa persona necesitaría un segundo paso para acceder a nuestras cuentas.

Utilizar WinOTP Authenticator es muy sencillo. Lo primero que tenemos que hacer es descargarlo de la tienda de Microsoft. Es totalmente gratuito y como siempre decimos recomendamos descargar todo tipo de herramientas siempre de sitios oficiales y de garantías. De esta forma evitamos introducir software que haya sido modificado de forma maliciosa.

WinOTP Authenticator instalación
Figura 7: WinOTP es una opción de autenticador nativa para el entorno de escritorio de Windows. Fuente: Captura de RedesZone

Una vez lo tengamos instalado ya podremos ejecutarlo. Veremos que de primera no nos mostrará nada y tenemos que agregar una cuenta a la aplicación. Para ello pinchamos el botón “+” que aparece abajo a la derecha en la pantalla. Tendremos que introducir los datos que nos piden, como el nombre del servicio (Microsoft por ejemplo), nuestro usuario, así como el código que nos proporcione el servicio que usemos. Es similar a como lo usaríamos en otras aplicaciones. Le damos a Guardar.

Configurar WinOTP Authenticator
El proceso para añadir una cuenta en WinOTP es similar al de otras aplicaciones de autenticación. Fuente: Captura de RedesZone

Una diferencia que quizás podremos comprobar frente a otras herramientas similares es que no aparece un círculo de tiempo para refrescar los códigos, sino que muestra una barra horizontal arriba. Simplemente es ese cambio, ya que actúa igual. También tendremos la posibilidad de reorganizar las cuentas que hemos agregado o incluso eliminarlas si en algún momento no nos interesa. Eso sí, si hacemos esto tendremos que configurar correctamente el servicio y evitar problemas a la hora de iniciar sesión.

En definitiva, WinOTP es una interesante herramienta de código abierto con la que podemos gestionar nuestros códigos 2FA. Para aquellos que quieran tener un programa de este tipo en su ordenador es una buena opción.

Hasta aquí hemos llegado con este completo artículo donde os explicamos qué es la autenticación en dos pasos, y qué aplicaciones autenticadoras son las más recomendables para usar con Android y iOS.

Preguntas y respuestas sobre la autenticación en dos pasos

¿Cuál es la diferencia entre TOTP y HOTP en las apps autenticadoras?
TOTP genera códigos basados en el tiempo actual (cambia cada 30 segundos), como en Google Authenticator. HOTP usa un contador incremental por evento. TOTP es más común y seguro contra reenvíos, pero HOTP es útil en entornos offline. Ambas evitan SMS, pero verifica la compatibilidad del servicio.

¿Puedo usar llaves de hardware como YubiKey para 2FA?
Sí, las llaves USB como YubiKey actúan como "algo que tienes" y son más seguras que apps, ya que generan claves criptográficas únicas sin transmitir códigos. Se conectan vía USB/NFC y soportan FIDO2 para servicios como Google o Microsoft. Costo inicial: 20-50€, pero evitan phishing y malware. Configúralas en la sección de seguridad de la cuenta.
¿Qué son las passkeys y cómo se relacionan con 2FA?
Las passkeys son una evolución sin contraseñas, usando criptografía pública (basada en "algo que tienes" como tu dispositivo). Reemplazan 2FA tradicional al autenticar con biometría o PIN local, sin códigos. Google y Apple las promueven desde 2023; son resistentes a phishing. Actívalas en cuentas compatibles para una experiencia más fluida y segura.

¿Es 2FA suficiente contra ataques de phishing avanzados?
No del todo; el phishing puede engañarte para aprobar accesos en apps o dispositivos. Usa 2FA con push notifications (como en Authy) en lugar de códigos, y verifica URLs siempre. Combínalo con educación anti-phishing y extensiones como HTTPS Everywhere. Para máxima protección, opta por FIDO2 o hardware keys.

Información y noticias sobre tecnología. Mantente informado de toda la actualidad en redes, ciberseguridad, domótica, energía y mucho más. Consulta nuestros análisis de producto, tutoriales de configuración, y manuales de uso.
ADSLZoneMovil ZonaSoft ZoneHard ZoneTopes de GamaLa Manzana MordidaTest de velocidad