La autenticación multifactor (MFA) añade una poderosa capa extra de seguridad a tus cuentas. Esto se debe a que, incluso si alguien roba o adivina tu contraseña, MFA los detendrá en seco.

¿Qué es la autenticación multifactor? 

La autenticación multifactor (MFA) es un método de seguridad de inicio de sesión que requiere dos o más formas de verificación de identidad para acceder a una cuenta. Un "factor" suele ser tu contraseña, y luego a menudo puedes elegir el otro factor.

También puedes escuchar la MFA llamada:

• Autenticación de dos factores (2FA)

• Verificación en dos pasos

Todos ellos se refieren a la misma idea: protegerte con más que solo una contraseña.  

Por qué las contraseñas por sí solas no son suficientes 

Debido a hackers sofisticados, grandes brechas de datos y, a veces, nuestros propios hábitos menos que óptimos, las contraseñas pueden ser: 

• Adivinadas 

• Reutilizadas en múltiples sitios 

• Filtradas en brechas de datos 

• Robadas a través de estafas de phishing 

• Capturadas por malware 

Incluso contraseñas súper fuertes (más de 16 caracteres de longitud) pueden ser comprometidas si un sitio web es violado, y no tuvo nada que ver con tus increíbles hábitos cibernéticos.  

MFA te protege al requerir una segunda prueba de identidad. Así que incluso si un criminal tiene tu contraseña, todavía no puede acceder a tu cuenta. Aunque ninguna defensa es perfecta, MFA reduce drásticamente tu riesgo. Piensa en ello de esta manera: estás duplicando tu configuración de inicio de sesión, y esencialmente duplicas tu seguridad de muchas maneras.  

¿Cómo funciona la autenticación multifactor?

Cuando habilitas la MFA, tu proceso de inicio de sesión añade un paso extra:

• Ingresa tu nombre de usuario y contraseña.

• Verifica tu identidad de una segunda manera.

Ese segundo factor podría ser:

• Un código único enviado a tu número de teléfono o dirección de correo electrónico

• Un código único o aprobación generada en una app de autenticación

• Un escaneo de huella digital o facial

• Una llave de seguridad física

• Una notificación de aprobación generada por tu dispositivo

Algunas apps, como las bancarias, pueden tener MFA integrado en sus plataformas, como aprobar un inicio de sesión para el sitio web de tu banco a través de su app en tu teléfono.

La mayoría de los sistemas de MFA modernos toman solo unos segundos. Aunque nos ralentiza un poco, esa inconveniencia añade una protección enorme.

3 categorías de factores de autenticación

Los expertos en seguridad agrupan los métodos de autenticación en tres categorías:

1. Algo que sabes

• Contraseñas

• NIP

• Preguntas de seguridad

2. Algo que tienes

• Una app de autenticación

• Llaves de seguridad de hardware

• Tu teléfono inteligente

3. Algo que eres

• Huella digital

• Reconocimiento facial

• Reconocimiento de voz

MFA combina factores de diferentes categorías. Por ejemplo:

• Contraseña (algo que sabes) + app de autenticación (algo que tienes)

• Contraseña (algo que sabes) + huella digital (algo que eres)  

Clasificación de tipos de MFA

No todos los métodos de MFA son iguales. ¡Tenemos factores favoritos!

1. Llaves de acceso

   Las llaves de acceso son resistentes al phishing y sin contraseña (sí, realmente). Utilizan llaves criptográficas almacenadas en tu dispositivo (algo que tienes) y generalmente requieren verificación biométrica (algo que eres).

2. Llaves de seguridad de hardware

   Dispositivos físicos (como llaves USB o NFC) que deben ser conectados o tocados durante el inicio de sesión. Extremadamente resistentes al phishing. Sin embargo, debes mantener (es decir, no perder) estas llaves.

3. Apps de autenticación

   Apps como Google Authenticator, Microsoft Authenticator o Duo generan códigos basados en tiempo o aprobaciones automáticas. Fuertes y ampliamente recomendadas.

4. Códigos de mensajes de texto SMS

   Esta forma de MFA es común y mejor que nada, pero es vulnerable al intercambio de SIM y al phishing.

5. Códigos de correo electrónico

   Al igual que los códigos de mensaje de texto, los códigos de correo electrónico son convenientes, pero menos seguros si tu cuenta de correo electrónico en sí no está protegida. ¡Siempre activa MFA en tu servicio de correo!

6. Preguntas de seguridad

   Esta es una forma antigua pero aún común de MFA que se basa en dos cosas que sabes: tu contraseña y tu respuesta a una pregunta personal. Sin embargo, las respuestas suelen estar basadas en información que se puede adivinar o encontrar en línea. No recomendamos estas como un segundo factor.

Si puedes, elige llaves de acceso, llaves de hardware o apps de autenticación.

¿Qué es una llave de acceso? 

Decimos que las llaves de acceso son el futuro de la seguridad de inicio de sesión. Una llave de acceso es un método de autenticación sin contraseña que utiliza: 

• Una llave criptográfica almacenada en tu dispositivo 

• Verificación biométrica (como huella digital o Face ID) 

• O aprobación basada en dispositivo 

A diferencia de las contraseñas, las llaves de acceso no pueden ser adivinadas, reutilizadas o phished en el sentido tradicional. Están construidas sobre estándares de la industria diseñados para eliminar muchos métodos de ataque comunes. 

De muchas maneras, las llaves de acceso funcionan como una forma altamente segura de autenticación multifactor sin requerir una contraseña tradicional. 

Si un sitio web te ofrece la opción de crear una llave de acceso, tómala. Ellas son:

• Fáciles de usar 

• Más seguras que las contraseñas 

• Resistentes al phishing 

• Diseñadas para un futuro sin contraseñas 

• Realmente simples de configurar, generalmente

¿Dónde deberías habilitar MFA?

Activa MFA en todos los lugares que puedas.

Comienza con tus cuentas más sensibles:

• Correo electrónico

• Apps bancarias y financieras

• Cuentas de inversión y jubilación

• Almacenamiento en la nube

• Redes sociales

• Sitios de compras en línea

• Cuentas de trabajo y escuela

Casi cada cuenta hoy en día contiene datos personales que vale la pena proteger.

Si la MFA está disponible, actívala.

¿Puede ser hackeada la MFA?

La MFA es extremadamente efectiva, pero no invencible. Hay algunas formas en que los criminales intentan evadir la MFA.

• Phishing: Los criminales te engañan para que ingreses tanto tu contraseña como tu código MFA en un sitio web falso. Pueden llamarte o enviarte mensajes sobre un problema urgente ("¡sospechamos de cargos fraudulentos!") y pedirte el código del texto MFA separado.

• Fatiga de MFA, también conocida como "Push Bombing": Inundarte con solicitudes de aprobación de inicio de sesión hasta que accidentalmente apruebes una.

Si recibes un aviso de MFA y no estás tratando de iniciar sesión:

No lo apruebes.

Cambia tu contraseña.

Revisa la actividad de tu cuenta.

La MFA reduce drásticamente el riesgo, pero aún necesitas estar alerta.

¿Cuánto te ralentiza la MFA?

La MFA te ralentiza, especialmente si utilizas múltiples apps de autenticación o estás acostumbrado a navegar por la web a velocidades vertiginosas, pero creemos que los segundos extra valen la pena por la seguridad. La mayoría de los métodos de autenticación añaden solo unos segundos a tu inicio de sesión. Usar una llave de acceso puede ser tan simple como presionar tu dedo o sonreír para tu cámara.

Comparado con el tiempo y el estrés de recuperar una cuenta hackeada, la MFA es una inversión pequeña.

¡MFA todo el día!

La MFA detiene muchos ataques al instante: obtienes mucha más protección que solo con una contraseña.

Es uno de los pasos de seguridad más simples y efectivos que puedes tomar, ya sea que estés protegiendo tu correo personal o tus cuentas de negocio. Para más consejos de ciberseguridad, suscríbete a nuestro boletín de correo electrónico gratuito.