¿Qué es la autenticación de dos factores (2FA)?
Explorar IBM Security Verify
Ilustración isométrica del proceso de autenticación de dos factores

Fecha de publicación: 20 de diciembre de 2023
Colaboradores: Matthew Kosinski, Amber Forrest

¿Qué es la autenticación de dos factores (2FA)?  

2FA, o autenticación de dos factores, es un método de verificación de identidad en el que los usuarios deben aportar dos pruebas, como una contraseña y una clave de un solo uso, para demostrar su identidad y acceder a una cuenta en línea u otros recursos sensibles.

Es probable que la mayoría de los usuarios de Internet estén familiarizados con los sistemas 2FA basados en mensajes de texto. En esta versión, una aplicación envía un código numérico al teléfono móvil del usuario al iniciar sesión. El usuario debe ingresar tanto su contraseña como este código para continuar. No basta con ingresar uno u otro.

La autenticación de dos factores es la forma más común de autenticación multifactor (MFA), que se refiere a cualquier método de autenticación en el que los usuarios deben aportar al menos dos pruebas.

La 2FA se ha adoptado ampliamente porque ayuda a fortalecer la seguridad de la cuenta. Las contraseñas de usuario se pueden descifrar o falsificar fácilmente. La 2FA añade otro nivel de seguridad al requerir un segundo factor. Los piratas informáticos no solo necesitan robar dos credenciales para entrar en un sistema, sino que el segundo factor suele ser difícil de piratear, como una huella digital o un código de acceso de tiempo limitado.

El 2023 Gartner® Magic Quadrant™ para gestión de acceso

IBM fue reconocida como líder en el último informe Gartner® Magic Quadrant™ para gestión de acceso.

Contenido relacionado

Suscríbase al boletín de IBM

Cómo funciona la 2FA    

Cuando un usuario intenta acceder a un recurso protegido por un sistema de seguridad de 2FA (como una red corporativa, por ejemplo), el sistema le pide que introduzca su primer factor de autenticación. A menudo, este primer factor es una combinación de nombre de usuario y contraseña.

Si el primer factor es válido, el sistema solicita un segundo factor. Suele haber más variación en los segundos factores, que pueden ir desde códigos temporales hasta datos biométricos, entre otros. El usuario solo puede acceder al recurso si ambos factores se cumplen.

Si bien la 2FA generalmente se asocia con sistemas informáticos, también puede proteger ubicaciones y activos físicos. Por ejemplo, un edificio restringido podría requerir que las personas muestren un gafete de identificación y pasen un escaneo de huella digital para ingresar. 

Tipos de factores de autenticación  

Existen diversos tipos de factores de autenticación que los sistemas de 2FA pueden utilizar, y los verdaderos sistemas de 2FA utilizan dos factores de dos tipos diferentes. El uso de dos tipos diferentes de factores se considera más seguro que el uso de dos factores del mismo tipo porque los piratas informáticos necesitan utilizar métodos diferentes para descifrar cada factor.

Por ejemplo, los piratas informáticos podrían robar la contraseña de un usuario infiltrando software espía en su computadora. Sin embargo, ese spyware no captaría códigos de acceso únicos en el teléfono del usuario. Los piratas informáticos necesitarían encontrar otra forma de interceptar esos mensajes. 

Factores de conocimiento: algo que el usuario conoce  

En la mayoría de las implementaciones de 2FA, un factor de conocimiento sirve como primer factor de autenticación. Un factor de conocimiento es un poco de información que, en teoría, solo el usuario sabría. Una contraseña es el factor de conocimiento más común. Los números de identificación personal (PIN) y las respuestas a las preguntas de seguridad también son habituales.

A pesar de su uso generalizado, los factores de conocimiento en general, y las contraseñas en particular, son el tipo de factor de autenticación más vulnerable. Los piratas informáticos pueden obtener contraseñas y otros factores de conocimiento a través de ataques de phishing, al instalar malware en los dispositivos de los usuarios o realizar ataques de fuerza bruta en los que utilizan bots para generar y probar contraseñas potenciales en una cuenta hasta que una funcione. 

Otros tipos de factores de conocimiento no presentan un desafío mucho mayor. Las respuestas a muchas preguntas de seguridad, como la clásica “¿Cuál es el apellido de soltera de tu madre?”, pueden descifrarse fácilmente al realizar una investigación básica o por medio de ataques de ingeniería social que engañan a los usuarios para que divulguen información personal. 

Cabe señalar que la práctica común de exigir una contraseña y una pregunta de seguridad no es una verdadera 2FA porque utiliza dos factores del mismo tipo, en este caso, dos factores de conocimiento. Más bien, este sería un ejemplo de un proceso de verificación en dos pasos. 

La verificación en dos pasos puede ser más segura que una contraseña sola porque requiere dos factores. Sin embargo, debido a que estos son dos factores del mismo tipo, son más fáciles de robar que los verdaderos factores 2FA.  

Factores de posesión: algo que el usuario tiene

Los factores de posesión son cosas que una persona posee y que puede usar para autenticarse. Los dos tipos más comunes de factores de posesión son tokens de software y tokens de hardware.

Los tokens de software suelen adoptar la forma de contraseñas de un solo uso (OTP). Las OTP son códigos de acceso de 4 a 8 dígitos y de un solo uso que vencen después de un tiempo determinado. Los tokens de software se pueden enviar al teléfono de un usuario a través de un mensaje de texto (o correo electrónico o mensaje de voz) o generarse mediante una aplicación de autenticación instalada en el dispositivo.  

En cualquier caso, el dispositivo del usuario actúa prácticamente como el factor de posesión. El sistema de 2FA asume que solo el usuario legítimo tendrá acceso a cualquier información compartida o generada por ese dispositivo.  

Si bien las OTP basadas en mensajes de texto son algunos de los factores de posesión más fáciles de usar, también son los menos seguros. Los usuarios necesitan una conexión a Internet o celular para recibir estos códigos, y los piratas informáticos pueden robarlos a través de sofisticados ataques de phishing o de intermediario. Las OTP también son vulnerables a la clonación de SIM, en la que los delincuentes crean un duplicado funcional de la tarjeta SIM del teléfono inteligente de la víctima y la utilizan para interceptar sus mensajes de texto.

Las aplicaciones de autenticación pueden generar tokens sin una conexión de red. El usuario vincula la aplicación con sus cuentas y la aplicación utiliza un algoritmo para generar continuamente contraseñas de u solo uso basadas en tiempo (TOTP). Cada TOTP vence en 30-60 segundos, lo que dificulta robarlas. Algunas aplicaciones de autenticación utilizan notificaciones push en lugar de TOTP; cuando un usuario intenta iniciar sesión en una cuenta, la aplicación envía una notificación push a su teléfono, que debe tocar para confirmar que el intento es legítimo. 

Las aplicaciones de autenticación más comunes incluyen Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator y Duo. Si bien estas aplicaciones son más difíciles de descifrar que los mensajes de texto, no son infalibles. Los piratas informáticos pueden usar malware especializado para robar TOTP directamente de los autenticadores1 o lanzar ataques de fatiga de MFA, en los que inundan un dispositivo con notificaciones push fraudulentas con la esperanza de que la víctima confirme una accidentalmente. 

Los tokens de hardware son dispositivos dedicados (llaveros, tarjetas de identificación, dongles) que funcionan como llaves de seguridad. Algunos tokens de hardware se conectan al puerto USB de la computadora y transmiten la información de autenticación a la página de inicio de sesión; otros generan códigos de verificación que el usuario debe introducir manualmente cuando se le solicite.

Aunque los tokens de hardware son extremadamente difíciles de piratear, pueden ser robados, al igual que los dispositivos móviles de los usuarios que contienen tokens de software. De hecho, los dispositivos perdidos y robados son un factor en hasta el 6 por ciento de las filtraciones de datos, según el informe Cost of a Data Breach de IBM. 

Factores inherentes: algo único para el usuario como persona

También llamados “factores biométricos”, los factores inherentes son características físicas o rasgos únicos del usuario, como las huellas dactilares, los rasgos faciales y los patrones de la retina. Muchos de los teléfonos inteligentes y computadoras portátiles que se fabrican hoy en día incorporan lectores faciales y de huellas dactilares, y muchas aplicaciones y sitios web pueden utilizar estos datos biométricos como factor de autenticación.  

Aunque los factores inherentes son los más difíciles de descifrar, puede ser desastroso cuando se descifran. En 2019, se violó una base de datos biométrica que contenía las huellas dactilares de 1 millón de usuarios.2 En teoría, los piratas informáticos podrían robar estas huellas dactilares o vincular sus propias huellas dactilares al perfil de otro usuario en la base de datos. 

Además, los avances en la generación de imágenes mediante IA preocupan a los expertos en seguridad cibernética, que temen que los piratas informáticos utilicen estas herramientas para engañar al software de reconocimiento facial.  

Cuando los datos biométricos se ven comprometidos, no se pueden cambiar de forma rápida o sencilla, lo que dificulta detener los ataques en curso.

Factores de comportamiento: algo que hace el usuario  

Los factores de comportamiento son artefactos digitales que verifican la identidad de un usuario en función de patrones de comportamiento. Los ejemplos incluyen el rango de direcciones IP habitual de un usuario, la ubicación habitual y la velocidad promedio de escritura. 

Los sistemas de autenticación de comportamiento utilizan inteligencia artificial para determinar un punto de referencia para los patrones normales de los usuarios y marcar actividades anómalas, como iniciar sesión desde un nuevo dispositivo, número de teléfono o ubicación. Algunos sistemas de 2FA aprovechan los factores de comportamiento al permitir que los usuarios registren dispositivos de confianza como factores de autenticación. Aunque es posible que el usuario tenga que proporcionar dos factores en el primer inicio de sesión, el uso del dispositivo de confianza actuará automáticamente como segundo factor en el futuro.

Los factores de comportamiento también desempeñan un papel en los sistemas de autenticación adaptativa, que cambian los requisitos de autenticación en función del nivel de riesgo. Por ejemplo, es posible que un usuario solo necesite una contraseña para iniciar sesión en una aplicación desde un dispositivo de confianza en la red de la empresa, pero es posible que deba agregar un segundo factor para iniciar sesión desde un nuevo dispositivo o una red desconocida. 

Si bien los factores de comportamiento ofrecen una forma sofisticada de autenticar a los usuarios finales, requieren recursos y experiencia significativos para desplegarlos. Además, si un pirata informático obtiene acceso a un dispositivo confiable, puede hacerse pasar por el usuario.  

2FA sin contraseña  

Debido a que los factores de conocimiento son muy fáciles de comprometer, muchas organizaciones están explorando sistemas de autenticación sin contraseña que solo aceptan factores de posesión, inherentes y de comportamiento. Por ejemplo, pedir a un usuario una huella digital y un token físico constituiría una configuración de 2FA sin contraseña. 

Aunque la mayoría de los métodos de 2FA actuales utilizan contraseñas, los expertos del sector prevén un futuro cada vez más sin contraseñas. Los principales proveedores de tecnología como Google, Apple, IBM y Microsoft han comenzado a implementar opciones de autenticación sin contraseña.3 

¿Cuáles son los beneficios de la 2FA?  

Según el informe Cost of a Data Breach de IBM, el phishing y las credenciales comprometidas se encuentran entre los vectores de ataques cibernéticos más comunes. Juntos, representan el 31 por ciento de las filtraciones de datos. Ambos vectores suelen funcionar mediante el robo de contraseñas, que los piratas informáticos pueden utilizar para secuestrar cuentas y dispositivos legítimos, y causar estragos.

Los piratas informáticos suelen atacar las contraseñas porque son bastante fáciles de descifrar a través de la fuerza bruta o el engaño. Además, debido a que las personas reutilizan contraseñas, los piratas informáticos a menudo pueden usar una sola contraseña robada para ingresar a varias cuentas. Las consecuencias de una contraseña robada pueden ser significativas para los usuarios y las organizaciones, lo que lleva al robo de identidad, el robo monetario, el sabotaje del sistema y más. 

La 2FA ayuda a frustrar el acceso no autorizado al agregar una capa adicional de seguridad. Incluso si los piratas informáticos pueden robar una contraseña, aún necesitan un segundo factor para ingresar. Además, estos segundos factores suelen ser más difíciles de robar que un factor de conocimiento; los piratas informáticos tendrían que falsificar datos biométricos, imitar comportamientos o robar dispositivos físicos. 

Las organizaciones también pueden utilizar métodos de autenticación de dos factores para cumplir los requisitos de cumplimiento. Por ejemplo, la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) exige explícitamente MFA para los sistemas que manejan datos de tarjetas de pago.4 Otras regulaciones como la Ley Sarbanes-Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD) no exigen explícitamente la 2FA. Sin embargo, la 2FA puede ayudar a las organizaciones a cumplir con los estrictos estándares de seguridad que establecen estas leyes.

En algunos casos, las organizaciones se han visto obligadas a adoptar la autenticación multifactor a raíz de la filtración de datos. Por ejemplo, en 2023, la Comisión Federal de Comercio ordenó al vendedor de alcohol en línea Drizly implementar MFA tras una filtración que afectó a 2.5 millones de clientes. 

Soluciones relacionadas
IBM Security Verify Access Management

Agregue un contexto profundo, inteligencia y seguridad a las decisiones sobre qué usuarios deben tener acceso a los datos y aplicaciones de su organización, localmente o en la nube.

Explorar IBM Security Verify
Soluciones de gestión de identidad y acceso (IAM) en la nube

Infundir la IAM en la nube con el contexto profundo necesario para la autenticación basada en riesgos. Permita un acceso seguro y de baja fricción para sus consumidores y personal con las soluciones IAM en la nube de IBM Security Verify.

Explorar las soluciones de IAM en la nube
Soluciones de autenticación avanzadas

Vaya más allá de la autenticación básica con opciones de autenticación multifactor o sin contraseña.

Explorar las soluciones de autenticación avanzada
Recursos ¿Qué es la gestión de identidad y acceso (IAM)?

La gestión de identidad y acceso (IAM) es una disciplina de seguridad cibernética centrada en la gestión de las identidades de los usuarios y los permisos de acceso en una red informática.

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA) es un método de verificación de identidad que requiere que los usuarios proporcionen dos o más pruebas para demostrar sus identidades.

Informe sobre el costo de una filtración de datos

Prepárese mejor para enfrentar las filtraciones al comprender las causas y los factores que aumentan o reducen sus costos.

Dé el siguiente paso

IBM Security Verify es una de las principales plataformas de IAM que proporciona capacidades impulsadas por IA para gestionar su fuerza laboral y las necesidades de sus clientes. Unifique los silos de identidad, reduzca el riesgo de ataques basados en la identidad y proporcione autenticación moderna, incluso sin contraseña.

Explore Verify Pruebe Verify durante 90 días
Notas de pie de página

Todos los enlaces son externos a ibm.com

1 Android malware can steal Google Authenticator 2FA codesZDNET, 26 de febrero de 2020

2 '1m fingerprint' data leak raises doubts over biometric security, ScienceDirect, septiembre de 2019

3 You no longer need a password to sign in to your Google account, The Verge, 3 de mayo de 2023

4 PCI DSS: v4.0, Security Standards Council, marzo de 2022

5 In the Matter of Drizly, LLC, Federal Trade Commission, 10 de enero de 2023