Inicio de sesión seguro: 2FA, llaves de seguridad y Passkeys a fondo
Compara todos los métodos de protección de inicio de sesión. Descubre cómo funcionan las apps de autenticación, las llaves de seguridad y los passkeys, y cuál te conviene más.
Volver al blog
Seamos sinceros. Tu contraseña probablemente es malísima.
Quizás es el nombre de tu perro seguido de tu año de nacimiento. Quizás llevas usando la misma desde 2014. Quizás tienes un “sistema” donde simplemente le cambias el número del final. Password1, Password2, Password3… brillante, ¿no?
Pero incluso una buena contraseña ya no basta. El credential stuffing toma contraseñas filtradas de una brecha y las prueba en todos lados. El phishing te engaña para que escribas tu contraseña en una página falsa. Las filtraciones de datos siguen exponiendo miles de millones de cuentas - puedes comprobar si la tuya se filtró ahora mismo.
Una contraseña sola es un muro lleno de grietas. Necesitas una segunda capa. Así que vamos a comparar todas las opciones y ver cuáles realmente valen la pena.
Códigos por SMS y correo electrónico
Inicias sesión, te vibra el móvil, escribes un código de seis dígitos. Es la forma más común de 2FA, y también la más débil.
Los códigos por SMS viajan por la red de tu operador, que puede ser secuestrada mediante SIM swapping o ataques SS7. Los códigos por correo no son mucho mejores - si alguien tiene acceso a tu bandeja de entrada, esos códigos son suyos.
Escribimos un artículo a fondo sobre por qué el 2FA por SMS se queda corto por si quieres los detalles.
Veredicto: Mejor que nada, pero debería ser tu último recurso. Cámbialo en cuanto tengas algo mejor disponible.
Apps de autenticación (TOTP)
Aquí es donde la cosa se pone interesante. En lugar de recibir un código por mensaje, una app lo genera directamente en tu dispositivo. Sin red de por medio.
Cuando lo configuras, tu app y el servicio intercambian un secreto compartido. Imagínate como un apretón de manos secreto que cambia cada 30 segundos. Tu app genera un código basado en ese secreto y la hora actual, el servidor hace el mismo cálculo, y si coinciden, entras. Eso es TOTP (Time-based One-Time Password).
Lo bueno: Funciona sin conexión, es gratis, lo soportan casi todos los servicios, y tu operador no puede ser engañado para entregar tus códigos.
Lo malo: Sigue siendo vulnerable a phishing si un atacante retransmite tu código al sitio real en tiempo real. Y si pierdes el móvil sin tener una copia de seguridad, te quedas fuera.
Consejo importante: Mantén tu app de 2FA separada de tu gestor de contraseñas. Si alguien compromete tu gestor de contraseñas y también tiene tus códigos TOTP, se lo lleva todo de un golpe. Dos apps separadas significa que tendrían que hackear las dos.
Elige una app que sea open-source, que soporte copias de seguridad cifradas y que no requiera una cuenta en la nube.
2FA con notificaciones Push
En vez de escribir un código, recibes una notificación: “Alguien está intentando iniciar sesión. ¿Fuiste tú?” Le das a aprobar. Listo.
El servicio envía un desafío a tu dispositivo registrado, tú confirmas con un toque (a veces con biometría), y una respuesta firmada vuelve al servidor. Sin códigos que teclear, sin números que leer mal.
Lo bueno: Súper fácil, más difícil de atacar con phishing que TOTP porque no hay un código que interceptar.
Lo malo: Necesita internet en ambos extremos. Estás atado al proveedor del servicio. Y existe un truco bastante feo llamado fatiga de MFA - un atacante que tiene tu contraseña te bombardea con notificaciones push a las 3 de la mañana hasta que, medio dormido, le das a “Aprobar” solo para que pare.
Si alguna vez recibes notificaciones push que no provocaste, siempre recházalas y cambia tu contraseña inmediatamente.
Hardware Security Keys
Un pequeño dispositivo físico USB o NFC que conectas o acercas cuando inicias sesión. Si las apps de autenticación son un buen cerrojo, esto es la puerta de una cámara acorazada.
La llave genera un par de claves único: una clave privada (encerrada dentro del dispositivo para siempre) y una clave pública (compartida con el servicio). Cuando inicias sesión, el servicio envía un desafío, la llave lo firma, y el servicio lo verifica. Así de simple.
La gran ventaja es el origin binding. La llave comprueba el dominio real del sitio web antes de firmar nada. ¿Estás en google.com? Responde. ¿Estás en g00gle-login.com? Se niega. Automáticamente. La página de phishing más convincente del mundo no funcionará porque la llave literalmente se niega a cooperar con un sitio falso.
Lo bueno: La protección contra phishing más fuerte que existe. La clave privada no se puede extraer jamás. Funciona sin conexión. Nada que teclear. Sin batería que se agote.
Lo malo: Cuesta dinero, tienes que llevarla encima, y perder tu única llave sin códigos de respaldo es una pesadilla.
Consejo práctico: Compra siempre dos llaves. Registra ambas en todos lados. Una en tu llavero, otra guardada en casa. Busca certificación FIDO2 y compatibilidad con USB-C/NFC.
¿Te preocupa que alguien te robe la llave? Tranquilo. Seguirían necesitando tu contraseña, y la mayoría de las llaves también soportan protección con PIN.
Passkeys
La misma criptografía que las hardware keys, pero la clave vive en tu móvil, portátil o gestor de contraseñas en lugar de un dispositivo aparte. Este es el método que por fin hace que la seguridad fuerte sea fácil de verdad.
Tu dispositivo genera un par de claves, guarda la clave privada en su enclave seguro, y cuando inicias sesión, verificas con biometría (huella, cara) o PIN. Sin contraseña que recordar, sin código que teclear, sin dispositivo que conectar. Y como las hardware keys, comprueba el dominio automáticamente - phishing bloqueado.
Lo bueno: Resistente a phishing, nada que memorizar, integrado en todos los sistemas operativos y navegadores principales, se puede sincronizar entre dispositivos, sustituye contraseña Y 2FA en un solo paso.
Lo malo: No todos los sitios lo soportan todavía. La sincronización entre plataformas puede ser confusa si cambias de ecosistema. Y si se sincroniza a través de una cuenta en la nube, estás confiando en ese proveedor.
Hay dos variantes: los passkeys sincronizados se respaldan en la nube y aparecen en todos tus dispositivos (cómodo, pero confías en la nube), y los passkeys vinculados al dispositivo solo existen en un dispositivo (más seguro, pero si lo pierdes, se fueron). Las hardware security keys son básicamente passkeys vinculados al dispositivo en forma física.
Para la mayoría de la gente, los passkeys sincronizados en un gestor de contraseñas de confianza son el punto ideal.
La comparativa
| Característica | SMS/Email | Apps de autenticación | Push | Hardware Keys | Passkeys |
|---|---|---|---|---|---|
| Protección contra phishing | Ninguna | Ninguna (retransmisión en tiempo real) | Parcial | Fuerte | Fuerte |
| Funciona sin conexión | No | Sí | No | Sí | Sí |
| Facilidad de configuración | Muy fácil | Fácil | Fácil | Moderada | Fácil |
| Facilidad de uso diario | Fácil | Fácil | Muy fácil | Fácil (conectar+tocar) | Muy fácil (biometría) |
| Recuperación si se pierde | Fácil | Difícil sin copia de seguridad | Moderada | Necesitas llave de respaldo | Depende de la sincronización |
| Coste | Gratis | Gratis | Gratis | Compra única | Gratis |
| Soporte en sitios web | Universal | Muy amplio | Limitado | En crecimiento | Crecimiento rápido |
Fíjate cómo los passkeys dan en el clavo: seguridad fuerte con un uso diario muy sencillo. Por eso toda la industria está apostando por ellos.
Qué método usar en cada caso
Cuentas críticas (correo electrónico, gestor de contraseñas, banca): hardware keys o passkeys. Lo ideal es ambos - passkey para el día a día, hardware key como respaldo.
Cuentas importantes (redes sociales, almacenamiento en la nube, trabajo): passkeys si están disponibles, si no, TOTP con una app de autenticación. Guarda siempre los códigos de respaldo.
Todo lo demás (foros, newsletters): app de autenticación si está disponible, SMS solo si no hay nada más. Cualquier segundo factor es mejor que solo una contraseña.
Reglas generales: Usa passkeys primero siempre que estén disponibles. Configura siempre un método de respaldo. Ve dejando el SMS empezando por tus cuentas más importantes.
Conclusión
Aquí tienes tu plan de acción:
- Revisa tu 2FA actual. Empieza por el correo y la banca.
- Cambia SMS por una app de autenticación en todos los sitios que puedas.
- Activa los passkeys en cada servicio que los soporte.
- Considera las hardware keys para tus cuentas más críticas. Dos llaves, ambas registradas.
Si todavía dependes de códigos por SMS, es hora de dar el salto.
Empieza por tus cuentas más importantes, ve actualizando de una en una, y tendrás una configuración que de verdad cuesta mucho romper. Tu yo del futuro te lo va a agradecer.