2FA (Autenticación de Dos Factores)

2FA, abreviatura de autenticación de dos factores, es un esquema de autenticación que requiere que el usuario presente dos factores independientes de comprobación antes de otorgar acceso. La taxonomía clásica de factores de autenticación incluye:

• Algo que sabes — una contraseña, PIN o frase memorizada
• Algo que tienes — un teléfono, token de hardware, tarjeta inteligente o dispositivo registrado
• Algo que eres — un rasgo biométrico como huella dactilar, rostro o voz

Un esquema 2FA combina dos factores de diferentes categorías. El despliegue más común en software de consumidor empareja una contraseña (algo que sabes) con un OTP entregado vía SMS o generado por una aplicación autenticadora (algo que tienes). Las combinaciones menos comunes pero más fuertes incluyen contraseña + llave de hardware (FIDO2 / WebAuthn) o contraseña + notificación push.

La premisa de seguridad de 2FA es que comprometer ambos factores simultáneamente es mucho más difícil que comprometer uno solo. Si un atacante obtiene una contraseña mediante phishing, todavía necesita acceso físico o remoto al dispositivo de segundo factor del usuario. Si un atacante roba un teléfono, todavía necesita conocer la contraseña.

En la práctica, los canales de entrega de 2FA varían ampliamente en seguridad real:

• OTP entregado por SMS es la opción más débil de uso general. Los ataques de intercambio de SIM, la interceptación SS7 y el compromiso del lado del operador pueden redirigir el segundo factor a un atacante.
• TOTP vía aplicación autenticadora (Google Authenticator, Aegis, 2FAS) es significativamente más fuerte porque el código se genera localmente en un dispositivo que el atacante no tiene.
• 2FA basado en notificaciones push (Duo, Microsoft Authenticator) es conveniente pero susceptible a ataques por fatiga de notificaciones donde el usuario aprueba accidentalmente una solicitud maliciosa.
• Llaves de hardware (YubiKey, Feitian, SoloKey) son el segundo factor comúnmente disponible más fuerte, proporcionando resistencia al phishing mediante desafíos criptográficos vinculados al origen.

2FA no es lo mismo que MFA (autenticación de múltiples factores), que puede requerir tres o más factores. En uso casual los términos a menudo son intercambiables. 2FA también es distinto de verificación de dos pasos, que históricamente se refería a procesos de dos pasos que podrían usar el mismo factor dos veces (como una contraseña seguida de un código enviado por correo electrónico), aunque esta distinción se ha difuminado en el uso moderno.

A pesar de sus debilidades, habilitar 2FA en cuentas importantes reduce drásticamente la tasa de éxito de ataques oportunistas. Los estudios de la industria informan consistentemente que 2FA bloquea más del 99 por ciento de intentos de relleno de credenciales automatizados.