Powered by eniston
  1. Overview
  2. Seguridad informática
  3. La verificación en 2 pasos

La verificación en 2 pasos

Lo básico: Es una capa extra de seguridad, es decir, además del usuario y contraseña, una vez se entre en una web recibirás un mensaje por SMS o mediante alguna aplicación que hayas instalado previamente en tu móvil para que aunque te roben la contraseña, necesiten también tener tu teléfono para robar tus datos. En el caso de robots desde otros países, verás que esto es bastante infalible.

Para saber más: Lo habréis visto escrito de muchas maneras: verificación en dos pasos, verificación de doble factor o 2FA. Todo se refiere a la misma técnica. 

Lo que se hace es añadir una capa extra de seguridad tras el usuario y contraseña, de una manera que hace que es más probable que seas tú y no otro, haciéndose pasar por ti quien está entrando en la web o usando un servicio.

La idea que subyace tras todas ellas es la misma, si requiero de un elemento físico para poder acceder a una web o servicio es casi imposible que un atacante que esté en el otro lado del mundo pueda hackear tu cuenta porque además del usuario y contraseña debe tener acceso a algo físico tuyo.

Hay varias aproximaciones a esta técnica que cada vez está más extendida: las basadas en un teléfono, ya que es algo personal que llevamos con nosotros, y las que se basan en un dispositivo dedicado como un USB criptográfico. 

Los basados en un teléfono inteligente

Mediante clave temporal

  • El SMS de verificación: cuando introduces tu usuario y contraseña te llega un SMS al móvil que hayas dado de alta para que introduzcas el código en una casilla.
  • Llamada telefónica: cuando no es posible recibir SMS por problemas en la red, suele existir la posibilidad de que la comprobación se haga mediante un robot telefónico que nos dice el código que debemos introducir en la web.
  • Contraseña temporal: mediante programas de autenticación se generan contraseñas temporales para cada web que cambian cada 30 segundos. Al entrar a la web con tus credenciales se te pedirá la contraseña temporal que esté activa en ese momento.

El funcionamiento de la clave temporal es muy sencillo para el usuario, tras introducir el usuario y la contraseña aparece un campo donde introducir una contraseña temporal, generalmente de 6 números. Esta clave la genera un programa instalado en tu móvil, aunque no tengas internet, y si coincide te deja acceder. Es como un santo y seña que se cambia cada 30 segundos. 

Otros sistemas

Programas de autenticación propios, como los de Microsoft, Google o Apple que permiten que ese segundo paso sea mucho más sencillo de verificar.

Estas tres empresas, entre otras, están impulsando tecnologías que permitan que nos olvidemos de las contraseñas, que eran un sistema útil en el pasado, pero se ha vuelto muy vulnerable por la cantidad de contraseñas que necesitamos, lo que hace que acabemos usando la misma para todo.

Cada una de ellas, ahora mismo, están usando métodos distintos, aunque han creado una alianza para conseguir un estándar. Mientras tanto, sus apps ofrecen tres aproximaciones distintas e interesantes a la vez:

  • Apple te muestra una pantalla emergente en tu dispositivo con el código a introducir en la web de iCloud, por ejemplo.
  • Google, mediante la app Google para iOS, te muestra una notificación cuando entres en su web que te pregunta si eres tú quien está accediendo. Aceptando la notificación tendrás acceso a Gmail. 
  • Microsoft tiene el sistema que más me gusta, porque elimina la necesidad de contraseña totalmente. Metes tu usuario y al darle a aceptar, te manda una notificación a su app con un mensaje para que elijas uno de tres números. En la pantalla del navegador se aparece uno de ellos. Haciendo clic en el que aparece en la web, entrarás a Office 365 por ejemplo, sin necesidad de contraseñas.

Los basados en un dispositivo físico dedicado

  • Llave de seguridad FIDO/U2F: qué es un USB criptográfico, no es un pendrive para guardar archivos. Cuando introduces tu usuario y contraseña en una web te pedirá que insertes la llave USB y que toques su superficie para asegurarse de que estás ahí.

Este sistema es equivalente a los de la clave temporal, solo que, digamos, que la clave temporal se introduce sola al tocar la llave una vez insertada. Sin embargo, aún son pocas las webs que permiten el uso de estos dispositivos y están más enfocadas a la seguridad empresarial que a la de los usuarios finales.

 

Last updated December 15, 2024
Was this article helpful?
© 2025 Manual para saber de todo sobre tecnología