2FA: el salvavidas de la cuenta

La 2FA, o autenticacion de dos factores, anade un segundo control ademas de la contrasena. Si la contrasena se roba en una filtracion o mediante phishing, el delincuente debe superar tambien el segundo factor. No lo hace todo perfecto, pero eleva mucho el coste del ataque.

Para las cuentas importantes, la 2FA no es opcional: banco, email, Apple ID, cuenta de Google, Facebook y WhatsApp deben tenerla. El correo electronico es prioritario porque sirve para restablecer las demas cuentas. Si un delincuente entra en tu email, puede cambiar contrasenas en otros sitios y ocultar los avisos. El NCSC muestra como incluso un servicio aparentemente poco importante puede convertirse en la puerta de ataques mas graves cuando se roban juntas la contrasena y las verificaciones.

El codigo por SMS es mejor que ninguna 2FA, pero no es lo optimo. El riesgo principal es el SIM swap: alguien convence o engana al operador telefonico para pasar tu numero a otra SIM o eSIM. A partir de ese momento los codigos le llegan a el. La Policia Postal cita el riesgo de fraudes mediante el intercambio de la tarjeta telefonica cuando el movil deja de llamar o recibir.

Si el telefono pierde de repente la red sin motivo, sobre todo mientras recibes avisos de acceso, llama enseguida al operador desde otro telefono. Para las cuentas mas importantes prefiere apps authenticator o una llave hardware. Si un sitio solo ofrece SMS, usalo igualmente: es mejor que nada. Pero no creas que el codigo SMS sea una prueba absoluta de seguridad.

Las apps authenticator, como Google Authenticator o Microsoft Authenticator, generan codigos en el telefono sin depender de los SMS. Son una buena eleccion para email, redes sociales, servicios en la nube y muchas apps profesionales. Cuando cambias de telefono, debes transferir o reconfigurar los codigos: hazlo con calma antes de borrar el dispositivo viejo.

Las llaves hardware FIDO2, como YubiKey o Solo Key, son el estandar mas fuerte para muchas cuentas. Se insertan en el puerto USB o se usan por NFC. La ventaja es que resisten mejor el phishing: si el sitio es falso, la llave no confirma el acceso al dominio equivocado. No todo el mundo necesita una llave hardware, pero quien gestiona dinero, correo critico o datos de pacientes deberia valorarla. Ten siempre una segunda llave de respaldo en un lugar seguro.

Cuando activas la 2FA, muchos servicios muestran codigos de recuperacion. Parecen aburridos, pero son tu salida de emergencia si pierdes el telefono o la llave. Imprimelos o escribelos en papel y guardalos en un lugar protegido: cajon de los documentos, caja fuerte, carpeta fisica. No los guardes solo en el mismo telefono que protege la cuenta.

No des nunca un codigo 2FA ni un codigo de recuperacion por telefono. Un banco, un tecnico o un operador de verdad no debe pedirte el codigo para "anular un fraude". El FBI advierte de que los estafadores que fingen ser soporte financiero buscan precisamente codigos MFA u OTP. Si alguien pide un codigo, cuelga la llamada y vuelve a llamar al numero oficial.