Saltar al contenido principal
patrón hexagonal morado

¿Qué es la 2FA?

La autenticación de dos factores, o verificación en dos pasos, es una medida de seguridad que requiere dos formas distintas de identificación (también conocidas como factores) antes de conceder el acceso a un sistema o servicio. El segundo factor de autenticación añade otra capa de protección, haciendo más difícil el acceso no autorizado.

Tradicionalmente, la autenticación de usuarios solo requiere una dirección de correo electrónico o un nombre de usuario y una contraseña. Aunque esto implica una combinación de credenciales de inicio de sesión, sigue siendo técnicamente un solo factor de autenticación.

Además, sin una buena higiene de contraseñas, es demasiado fácil que las ciberamenazas burlen la seguridad y pongan en peligro una cuenta, aplicación o recurso en línea. Si lo hacen, no se sabe cuánta información sensible podrían recoger.

En resumen, es por eso que la 2FA ha cobrado importancia. No solo mitiga el riesgo de filtración de datos, sino que también protege a empleados y consumidores frente al robo de identidad y otras amenazas.

Factores de autenticación 2FA

Un factor de autenticación es un identificador único asociado a un usuario específico. La mayoría de los sistemas 2FA aprovechan dos de los tres factores de autenticación tradicionales:

  • Factor de conocimiento: Algo que solo el usuario conocería, como una contraseña, un PIN o la respuesta a una pregunta de seguridad.
  • Factor de posesión: Algo que solo el usuario tendría, como una llave de seguridad, un dispositivo móvil o una tarjeta de identificación.
  • Factor de inherencia: Algo que solo el usuario podría ser. Como forma de autenticación biométrica, utiliza el reconocimiento facial, las huellas dactilares y el escaneado del iris para verificar la identidad.

Además de los anteriores, muchas de las soluciones de vanguardia actuales aprovechan dos nuevos factores de autenticación adaptativa:

  • Comportamiento: Analiza artefactos digitales relacionados con patrones de comportamiento. Por ejemplo, los sistemas 2FA pueden considerar sospechoso un intento de inicio de sesión si procede de un teléfono móvil nuevo y no del dispositivo de confianza del usuario.
  • Ubicación: Este factor tiene en cuenta la geografía para la autenticación del usuario, analizando la dirección IP y la localización GPS.

Normalmente, las organizaciones pueden configurar los sistemas 2FA para que requieran una combinación de los factores anteriores. Para acceder a su cuenta, servicio o sistema en línea, los usuarios deben enviar correctamente la información solicitada, ya sea de forma activa o pasiva.

2FA vs. MFA

¿Por qué limitarse a dos factores cuando en teoría se puede agregar cualquier número de autenticadores? En pocas palabras, esa es la idea que subyace a la autenticación multifactor (MFA). 

MFA es una extensión de 2FA, que implica dos o más factores de autenticación. En pocas palabras, la segunda es un subconjunto de la primera.

Una diferencia fundamental entre ambos es que la MFA puede ser más adaptable. En otras palabras, puede aplicar dinámicamente la verificación por pasos, retando a los usuarios a proporcionar un tercer factor de autenticación basado en el contexto.

Aunque la 2FA puede ser una medida de seguridad eficaz, la MFA suele ser una solución más completa. Por eso, según una encuesta realizada entre profesionales de TI, el 83 % de las empresas exigen a los empleados que utilicen la MFA para acceder a todos los recursos corporativos.

CASOS DE USO

La autenticación de dos factores es la forma más omnipresente de MFA, lo que la hace perfecta para los casos de uso en los que varias personas necesitan acceder a los datos. Por ejemplo, las aplicaciones sanitarias suelen utilizar la 2FA porque permite a los médicos y a otros profesionales clínicos acceder a los datos sensibles de los pacientes cuando lo solicitan, a menudo desde dispositivos personales.

Otras aplicaciones industriales destacadas son las siguientes:

  • Finanzas: Los bancos y otras instituciones financieras utilizan la 2FA para protegerse contra el robo de identidad y el fraude, permitiendo a los clientes acceder a sus cuentas en línea para realizar operaciones bancarias por móvil de forma segura.
  • Gobierno: En Estados Unidos, la 2FA es obligatoria para todos los sitios web federales, lo que garantiza que la información sensible y los datos de los ciudadanos permanezcan bajo llave.
  • Educación superior: Las universidades confían en la 2FA para proteger los portales de los estudiantes en los que se almacenan calificaciones, horarios e información personal.
  • Redes sociales: Plataformas como Facebook y X (antes Twitter) ofrecen servicios 2FA para salvaguardar la información personal y mejorar la seguridad de las cuentas.

¿Cómo funciona la 2FA?

El proceso 2FA es sencillo. Los detalles pueden variar en función del método de autenticación, pero el flujo de trabajo básico es el siguiente:

  • Inicio de sesión de usuario: El usuario introduce su nombre de usuario y contraseña.
  • Solicitud de autenticación: Si el inicio de sesión principal se realiza correctamente, el sistema activa un segundo factor de autenticación.
  • Verificación de factores: El usuario proporciona el segundo factor, como un token de un solo uso o un código de acceso generado por una aplicación de autenticación.
  • Acceso concedido: Si se verifican ambos factores, el usuario obtiene acceso al sistema. Normalmente, esto sucede en cuestión de segundos con un impacto prácticamente nulo en la experiencia del usuario.

Métodos de autenticación de dos factores

Hay varias formas en las que un sistema 2FA puede solicitar factores de autenticación. Cada una tiene sus ventajas e inconvenientes, pero todas son un paso hacia una mayor seguridad de las cuentas.

Veamos los métodos de autenticación más comunes, cómo funcionan y el valor que aportan:

Autenticación por correo electrónico y SMS

Este método envía al usuario una contraseña de un solo uso (OTP) a su buzón de correo electrónico o como mensaje de texto a su teléfono móvil. En resumen, una OTP es un código de verificación de entre 5 y 10 dígitos que permite acceder al recurso solicitado si se introduce correctamente.

La autenticación por SMS es una de las soluciones más cómodas y fáciles de usar. Y, dada la disponibilidad de dispositivos móviles, a los usuarios les resulta fácil empezar.

Sin embargo, también es vulnerable a las ciberamenazas. Los piratas informáticos pueden interceptar fácilmente los mensajes SMS, que a menudo no están cifrados. Además, si un atacante obtiene acceso físico al teléfono móvil de la víctima, puede leer directamente las OTP.

Token de hardware

Un token de hardware es un dispositivo físico, como una llave de seguridad, una tarjeta inteligente o un dongle USB. Esto genera dinámicamente un token único, que, por lo general, solo es válido durante un tiempo limitado.

Durante el inicio de sesión, el usuario pulsa un botón en el token, que utiliza un algoritmo para crear una OTP. El usuario introduce este código de verificación en la solicitud de autenticación de su dispositivo o aplicación. El servidor, utilizando el mismo algoritmo y clave de seguridad, genera su propia OTP y la compara con la introducida por el usuario. Si coinciden, se autentica al usuario y se le concede acceso. Este proceso garantiza que, incluso si una contraseña se ve comprometida, se impida el acceso no autorizado sin el token físico.

Sin embargo, el inconveniente obvio es que la autenticación mediante token de hardware no siempre es práctica o aplicable a todos los casos de uso. Su instalación y mantenimiento pueden resultar costosos, además de que los dispositivos pueden extraviarse o ser robados.

Token de software

Un token de software es una OTP basada en tiempo o evento enviada a través de una aplicación autenticadora en el ordenador o teléfono móvil del usuario. Al igual que un token de hardware, este método genera dinámicamente un código de verificación que solo dura un breve período.

En general, es un proceso fácil y sencillo, pero requiere que el usuario descargue software adicional en sus dispositivos.

Notificación emergente

Una notificación emergente verifica la identidad del usuario enviando una alerta directamente a una aplicación móvil segura en su dispositivo de confianza. Este mensaje contiene detalles sobre el intento de autenticación, lo que permite al usuario aprobar o denegar la solicitud de acceso con un solo toque.

En teoría, este proceso confirma que el dispositivo registrado en la aplicación de autenticación está en posesión del usuario. Las notificaciones emergentes eliminan el riesgo de ataques de intermediarios, garantizando la seguridad de su cuenta. Este método de 2FA es altamente seguro, pero depende de la conectividad a Internet.

Autenticación biométrica

Por último, existen varias formas de autenticación sin contraseña, entre las que destaca la biométrica. En términos básicos, la autenticación biométrica verifica la identidad utilizando rasgos biológicos.

Por ejemplo, los usuarios de iPhone están familiarizados con el reconocimiento facial, que puede utilizarse para acceder a la información de la cuenta del ID de Apple, entre otros servicios. Otros sistemas utilizan el escáner de huellas dactilares, iris o retina.

A su vez, esta es sin duda una de las opciones 2FA más seguras que existen. No solo aprovecha al usuario como token, sino que también es muy cómodo y casi imposible de descifrar.

¿Por qué es importante la 2FA?

En pocas palabras, la 2FA es un gran paso adelante con respecto al statu quo. La seguridad basada en contraseñas ya no basta para mantener cuentas, sitios web y servicios a salvo de accesos no autorizados.

Veamos algunas estadísticas sorprendentes:

  • Más de 24 000 millones de combinaciones de nombre de usuario y contraseña circulan por la red oscura. Esa cifra aumentó un 65 % entre 2020 y 2022 y es probable que siga creciendo. Dado que la mayoría de las personas reutiliza contraseñas antiguas, una sola violación de datos podría comprometer varias cuentas simultáneamente.
  • El Informe Threat Horizons 2023 de Google descubrió que el 86 % de las infracciones implicaban el robo de credenciales. En otras palabras, casi siempre son la causa de ciberamenazas mucho mayores y devastadoras.
  • El informe de investigaciones de filtración de datos de Verizon de 2024 concluía que el «elemento humano», como las contraseñas débiles, provocó el 68 % de las infracciones notificadas.

Peor aún, incluso con una buena higiene de contraseñas, no hace falta mucho para entrar en una cuenta. Por ejemplo, los piratas informáticos pueden navegar fácilmente por las redes sociales para encontrar la información personal necesaria para responder a una pregunta básica de seguridad.

Aquí está la buena noticia: La 2FA y la MFA pueden ayudar. De hecho, mitigan eficazmente una serie de ciberamenazas, entre ellas:

  • Contraseñas robadas: Como se ha mencionado anteriormente, una mala higiene de las contraseñas facilita el robo de credenciales. La 2FA garantiza que una contraseña robada no es todo lo que se necesita para violar una cuenta.
  • Ataques de fuerza bruta: Los hackers utilizan una potencia de cálculo cada vez más accesible para generar contraseñas de forma aleatoria hasta descifrar el código. Pero la potencia informática no puede piratear un segundo factor.
  • Phishing: La 2FA protege contra el acceso no autorizado si el nombre de usuario y la contraseña se roban mediante un ataque de phishing.
  • Ingeniería social: Los astutos hackers utilizan cada vez más las redes sociales para lanzar ataques que engañan a los usuarios para que cedan voluntariamente sus credenciales. Pero sin el segundo factor, este esfuerzo es inútil.

2FA y Zero Trust

Fundamentalmente, la autenticación robusta es una parte importante de la gestión de identidades y accesos (IAM) y, a su vez, de la arquitectura Zero Trust. 2FA puede ayudar a las empresas a implantar Zero Trust aplicando rigurosamente la verificación de identidad, basando las decisiones de acceso no solo en la función o los permisos del usuario, sino en el dispositivo, el comportamiento, la ubicación, etc.

Implementación de 2FA: Consejos y buenas prácticas

¿Está considerando la autenticación de dos factores? He aquí algunos pasos clave a tener en cuenta:

1. Elija los factores de autenticación adecuados

Incluso dentro de cada tipo de autenticador, hay muchas opciones diferentes entre las que elegir, y constantemente aparecen nuevas tecnologías. ¿Cómo elegir qué factores utilizar para su protocolo 2FA?

He aquí algunas preguntas que le ayudarán a considerar la elección correcta:

  • ¿Quiere que la autenticación sea transparente para el usuario?
  • ¿Le gustaría que el usuario llevara un dispositivo físico o se autenticara en línea?
  • ¿Quiere que el sitio web también se autentique ante el usuario?
  • ¿Qué tan sensible es la información que está protegiendo y cuál es el riesgo asociado?
  • ¿El acceso físico (enlace) a oficinas, laboratorios u otras áreas es parte de sus requisitos de usuario?

En Entrust, admitimos la más amplia gama de autenticadores de seguridad 2FA, lo que le permite elegir la mejor opción que se adapte a sus necesidades de seguridad y casos de uso. Y lo que es más importante, Entrust puede proporcionarle una orientación experta y consultiva para ayudarle a seleccionar la(s) opción(es) adecuada(s) y simplificar su cambio a autenticación de dos factores de alta seguridad.

2. Estrategias para la experiencia del usuario (UX)

Aunque la 2FA suele ser un flujo de trabajo fluido, lo último que quiere es cargar a sus usuarios con incómodos pasos adicionales. La experiencia del usuario es especialmente importante para la incorporación digital, ya que un proceso engorroso puede alejar a los clientes de la apertura de cuentas.

Busque una solución 2FA que equilibre seguridad, velocidad y UX.

3. Proteja su infraestructura 2FA

Asegúrese de que las comunicaciones que impliquen la transmisión de códigos o tokens 2FA estén cifradas utilizando protocolos de cifrado seguro, como Transport Layer Security.

4. Considere la autenticación adaptativa

Dependiendo del caso de uso, es posible que necesite una solución multifactor más sólida. La autenticación adaptativa, o verificación escalonada basada en el riesgo, es una forma dinámica de confirmar la identidad. Como método sensible al contexto, ajusta el nivel y el tipo de autenticación requeridos en función del riesgo percibido.

Por ejemplo, la MFA adaptativa solo puede exigir un nombre de usuario y una contraseña si todas las condiciones parecen normales. Pero, si el inicio de sesión proviene de una dirección IP anormal, puede emitir desafíos escalonados, como un código de verificación de un solo uso. Equilibra la seguridad con la comodidad, permitiendo a los usuarios legítimos acceder a los recursos con un mínimo de fricción al tiempo que aplica medidas más estrictas para las actividades sospechosas.

Refuerce la seguridad con Entrust

Entrust Identity, nuestra cartera unificada de IAM puede proporcionar la base que su organización necesita para lograr una arquitectura eficaz de Zero Trust. Con nuestro conjunto de herramientas de seguridad, puede aprovechar:

  • Identity as a Service: Soluciones IAM basadas en la nube con MFA resistente al phishing, autenticación sin contraseña e inicio de sesión único (SSO).
  • Identity Enterprise: Funciones IAM locales con autenticación de alta seguridad para trabajadores y consumidores, incluida la emisión de tarjetas inteligentes.
  • Identity Essentials: Solución rápida y rentable de autenticación multifactor para que organizaciones basadas en Windows apliquen un enfoque Zero Trust.

Obtenga más información sobre cómo Entrust puede ayudar a su empresa a aprovechar el poder de la autenticación multifactor.