La autenticación en dos pasos (2FA) explicada
Actualizado 2026-07-06
La autenticación en dos pasos es lo más eficaz que puedes hacer para proteger tus cuentas — y configurarla lleva un par de minutos. Esta guía explica qué es, por qué una contraseña sola no basta y cómo elegir entre los distintos métodos.
Qué es la 2FA
La autenticación en dos pasos (2FA), a veces llamada verificación en dos pasos, significa probar tu identidad con dos tipos distintos de evidencia en lugar de uno. Las tres categorías clásicas son:
- Algo que sabes — una contraseña o un PIN.
- Algo que tienes — tu teléfono o una llave de hardware.
- Algo que eres — una huella o un escaneo facial.
Una contraseña es un factor. La 2FA añade un segundo, así que una contraseña robada no basta por sí sola para entrar.
Por qué una contraseña no basta
Las contraseñas se filtran — por brechas de datos, reutilización entre sitios y phishing. Como se explica en nuestra guía de contraseñas fuertes, cuando un sitio sufre una brecha, los atacantes prueban esas mismas credenciales en todos los demás. La 2FA rompe esa cadena: incluso con tu contraseña exacta, un atacante todavía no puede iniciar sesión sin tu segundo factor.
Los métodos, de peor a mejor
Códigos por SMS
Un código enviado por mensaje a tu teléfono. Mucho mejor que nada, pero la opción más débil — los códigos pueden interceptarse, y los ataques de «cambio de SIM» permiten a los delincuentes secuestrar tu número. Úsalo solo si es la única opción.
Apps de autenticación
Una app en tu teléfono genera un nuevo código de 6 dígitos cada 30 segundos (esto se llama TOTP). Los códigos se crean en tu dispositivo y nunca se envían por la red, así que no pueden interceptarse como el SMS. Configurarla suele significar escanear un código QR que lleva el secreto compartido. Este es el punto óptimo para la mayoría — gratis, fácil y mucho más fuerte que el SMS.
Llaves de seguridad de hardware
Un pequeño dispositivo físico (como una YubiKey) que tocas o conectas. Basadas en estándares modernos (FIDO2/WebAuthn), son el estándar de oro — prácticamente inmunes al phishing, porque la llave verifica el sitio web real antes de responder. Ideales para tus cuentas más importantes.
No te saltes los códigos de respaldo
Cuando activas la 2FA, el servicio te da un conjunto de códigos de respaldo de un solo uso. Guárdalos en un lugar seguro (un gestor de contraseñas, o impresos y guardados). Son tu forma de volver a entrar si pierdes el teléfono — sin ellos, perder tu segundo factor puede significar perder la cuenta.
Dónde activarla primero
Empieza por las cuentas que pueden desbloquear las demás: primero tu correo (puede restablecer la mayoría de tus otras contraseñas), luego la banca y cualquier cuenta ligada a tu identidad o tu dinero. Combinada con una contraseña fuerte única por sitio, la 2FA te pone por delante de la abrumadora mayoría de las cuentas en línea. Para proteger tus datos de otras formas, mira nuestra guía sobre metadatos de fotos y privacidad.
Más de Seguridad y privacidad
Ver todas las guías de Seguridad y privacidad →Herramientas mencionadas en esta guía