Skip to content Skip to navigation Skip to footer

¿Qué es la autenticación de dos factores (2FA)?

Comuníquese con nosotros

Definición de Autenticación de dos factores

La autenticación de dos factores (2FA) es un proceso de seguridad que aumenta la probabilidad de que una persona sea quien dice ser. El proceso solicita a los usuarios que proporcionen dos factores de autenticación diferentes antes de que puedan acceder a una aplicación o sistema, en lugar de tan solo su nombre de usuario y contraseña.

La 2FA es una herramienta de seguridad vital para que las organizaciones puedan proteger sus datos y usuarios frente a un panorama de ciberseguridad cargado con un mayor volumen de ciberataques cada vez más sofisticados. Las empresas de todos los tamaños deben mantenerse al tanto de la sofisticación de los atacantes y evolucionar continuamente sus defensas para mantener a los actores maliciosos fuera de sus redes y sistemas.

Para responder qué es la 2FA, un buen punto de partida es recordar que es un proceso que aleja a las organizaciones de tener que confiar solo en las contraseñas para ingresar en aplicaciones y sitios web. La 2FA hace exactamente lo que afirma: proporcionar un proceso de autenticación de dos pasos que agrega otra capa de seguridad al sistema de defensa empresarial. 

De esta forma se vuelve más difícil para los ciberdelincuentes robar las identidades de los usuarios o acceder a sus dispositivos y cuentas. También ayuda a las organizaciones a mantener a los atacantes alejados de sus sistemas, incluso tras el robo de la contraseña de un usuario. El proceso se utiliza cada vez más para prevenir ciberamenazas comunes, como ataques de suplantación de identidad, que permiten a los atacantes falsificar identidades después de robar las contraseñas de sus objetivos.

¿Cuáles son los factores de autenticación?

Existen diversos tipos de factores de autenticación que pueden utilizarse para confirmar la identidad de una persona y aumentar la capa de seguridad. Entre los más comunes se incluyen los siguientes:

  1. Un factor de conocimiento: Información que el usuario conoce; puede ser una contraseña, número de identificación personal (PIN) o código de acceso.
  2. Un factor de posesión: Elemento que el usuario tiene o posee; puede ser su licencia de conducir, documento de identificación, dispositivo móvil o aplicación de autenticación en su teléfono inteligente.
  3. Un factor de inherencia: Un atributo personal o algo que el usuario es; generalmente es alguna forma de factor biométrico. Pueden ser lectores de huellas dactilares, reconocimiento facial y de voz, así como biometría conductual, como dinámica de pulsación de teclas y reconocimiento de patrones de voz.
  4. Un factor de ubicación: Generalmente se guía por la ubicación en la que un usuario intenta autenticar su identidad. Las organizaciones pueden limitar los intentos de autenticación a determinados dispositivos en ubicaciones específicas, según cómo y dónde los empleados hagan inicio de sesión en sus sistemas para aumentar la capa de seguridad. 
  5. Factor de tiempo: Este factor restringe las solicitudes de autenticación a momentos específicos en los que se permite a los usuarios iniciar sesión en un servicio. Todos los intentos de acceso fuera de ese tiempo serán bloqueados o restringidos. 

¿Cómo funciona la autenticación de dos factores?

El proceso de autenticación de dos factores comienza cuando un usuario intenta iniciar sesión en una aplicación, servicio o sistema y finaliza cuando se le otorga acceso para usarlo. El proceso de autenticación ofrece este aspecto:

  • Paso 1: El usuario abre la aplicación o el sitio web del servicio o sistema al que desea acceder. Luego se le pide que inicie sesión con sus credenciales. 
  • Paso 2: El usuario ingresa sus credenciales de inicio de sesión, que generalmente serán su nombre de usuario y contraseña. La aplicación o sitio web confirma los detalles y reconoce que se han ingresado los detalles de autenticación inicial correctos. 
  • Paso 3: Si la aplicación o sitio web no utilizan credenciales de inicio de sesión con contraseña, se generará una clave de seguridad para el usuario. La clave será procesada por la herramienta de autenticación y el servidor validará la solicitud inicial.
  • Paso 4: Luego se le solicita al usuario que envíe un segundo factor de autenticación. En general será el factor de posesión, algo que solo el usuario debe poseer. Por ejemplo, la aplicación o sitio web enviará un código único al dispositivo móvil del usuario.
  • Paso 5: El usuario ingresa el código en la aplicación o sitio web y, si el código es aprobado, será autenticado y se le dará acceso al sistema.

Algunos tipos comunes de 2FA

Existen diversos tipos de 2FA que se pueden utilizar para confirmar aún más que un usuario es quien dice ser. Algunos de los ejemplos más simples son: responder preguntas de seguridad y proporcionar códigos únicos. Otros utilizan diversos tipos de tokens y aplicaciones para teléfonos inteligentes. Entre los tipos de 2FA comunes se incluyen los siguientes:

Tokens de hardware para 2FA

Los tokens de hardware son uno de los tipos originales de formatos de 2FA. En general son dispositivos pequeños de llavero que generan un código numérico único cada 30 segundos. Cuando un usuario envía su primera solicitud de autenticación, puede dirigirse al llavero y emitir el código que allí se muestra. Otras formas de tokens de hardware pueden ser dispositivos de bus serie universal (USB) que, cuando se insertan en una computadora, transfieren automáticamente un código de autenticación.

Un ejemplo de esto es YubiKey, que es la abreviatura de “clave omnipresente”, una clave de seguridad que permite a los usuarios agregar un segundo factor de autenticación a servicios como Amazon, Google, Microsoft y Salesforce. El dispositivo USB se utiliza cuando los usuarios inician sesión en un servicio que admite contraseñas de un solo uso (OTP), como GitHub, Gmail o WordPress. El usuario conecta YubiKey en su puerto USB, ingresa su contraseña, hace clic en el campo YubiKey y toca un botón en el dispositivo. Genera una OTP de 44 caracteres y la ingresa automáticamente en el dispositivo del usuario para verificarlo con un factor de 2FA de posesión.

En general los dispositivos de token de hardware son costosos de distribuir para las organizaciones. Además, los usuarios los pueden perder fácilmente y los piratas informáticos pueden descifrarlos, lo que los convierte en una opción de autenticación insegura.

2FA de mensaje de texto y SMS

Cuando un usuario intenta iniciar sesión en una aplicación o servicio, se generan factores de 2FA de mensaje corto (SMS) y de mensaje de texto. Se envía un mensaje SMS a su dispositivo móvil con un código único que el usuario luego ingresa en la aplicación o servicio. Este tipo de factor de 2FA lo utilizan los bancos y servicios financieros para verificar compras o cambios que los clientes realizan en sus cuentas de banca en línea. Sin embargo, en general están dejando de usar esta opción, dada la facilidad con la que se pueden interceptar los mensajes de texto.

De modo similar al factor de SMS, se usa la llamada de voz como 2FA. Cuando un usuario ingresa sus credenciales de inicio de sesión, recibirá una llamada a su dispositivo móvil que le indica el código de 2FA que debe ingresar. Este factor se utiliza con menos frecuencia, pero es implementado por organizaciones en países con bajos niveles de uso de teléfonos inteligentes.

Notificaciones push para 2FA

Un formato de autenticación de dos pasos sin contraseña de uso más común son las notificaciones push. En lugar de recibir un código en el dispositivo móvil por SMS o mensaje de voz, que puede ser pirateado, los usuarios pueden recibir una notificación push a una aplicación segura en el dispositivo registrado en el sistema de autenticación. La notificación informa al usuario de la acción que se ha solicitado y le alerta que se ha realizado un intento de autenticación. El usuario solo debe aprobar o rechazar la solicitud de acceso. 

Este formato de autenticación crea una conexión entre la aplicación o servicio al que el usuario intenta acceder, el proveedor de servicios de 2FA, el propio usuario y su dispositivo. Es fácil de usar y reduce la posibilidad de riesgos de seguridad, como la suplantación de identidad, ataques de intermediarios (MITM), ingeniería social e intentos de acceso no autorizado.

Este formato de autenticación es más seguro que los SMS o las llamadas de voz, pero aún conlleva riesgos. Por ejemplo, es fácil que el usuario confirme accidentalmente una solicitud de autenticación hecha de manera fraudulenta al tocar rápidamente el botón de Aprobar cuando aparece la notificación push.

2FA para dispositivos móviles

Los teléfonos inteligentes ofrecen diversas posibilidades para 2FA, lo que permite a las empresas usar la que más les convenga. Algunos dispositivos tienen la capacidad de reconocer huellas dactilares. Se puede utilizar una cámara incorporada para reconocimiento facial o escaneo del iris y se puede utilizar el micrófono para reconocimiento de voz. Como un factor adicional, los teléfonos inteligentes equipados con un sistema de posicionamiento global (GPS) pueden verificar la ubicación. Los mensajes de voz o SMS también pueden usarse como canal para la autenticación fuera de banda.

Se puede utilizar un número de teléfono de confianza para recibir códigos de verificación por mensaje de texto o llamada telefónica automatizada. El usuario tiene que verificar al menos un número de teléfono de confianza para darse de alta en 2FA. Apple iOS, Google Android y Windows 10 tienen aplicaciones que admiten 2FA, lo que permite que el teléfono en sí funcione como dispositivo físico para satisfacer el factor de posesión. 

Duo Security, con sede en Ann Arbor (Míchigan) y adquirida por Cisco en 2018 por 2350 millones de dólares, es un proveedor de plataformas 2FA cuyo producto permite a los clientes utilizar sus dispositivos de confianza para 2FA. La plataforma Duo primero establece que un usuario es de confianza antes de verificar que el dispositivo móvil también es de confianza para, luego, autenticar al usuario.

Las aplicaciones de autenticación reemplazan la necesidad de obtener un código de verificación por mensaje de texto, llamada de voz o correo electrónico. Por ejemplo, para acceder a un sitio web o servicio basado en la web que admite Google Authenticator, los usuarios escriben su nombre de usuario y contraseña, un factor de conocimiento. Luego, se solicita a los usuarios que ingresen un número de seis dígitos. En lugar de tener que esperar unos segundos para recibir un mensaje de texto, un autenticador genera el número. Estos números cambian cada 30 segundos y son diferentes para cada inicio de sesión. Al ingresar el número correcto, los usuarios completan el proceso de verificación y prueban la posesión del dispositivo correcto, un factor de propiedad.

Autenticación multifactor frente a autenticación de dos factores (MFA frente a 2FA)

La 2FA es un subconjunto del concepto más amplio de autenticación multifactor (MFA). La MFA requiere que los usuarios verifiquen múltiples factores de autenticación antes de que se les otorgue acceso a un servicio. Es una pieza principal de cualquier solución de gestión de identidad y acceso (IAM) que reduce las posibilidades de una filtración de información o un ciberataque al proporcionar mayor certeza de que un usuario es quien dice ser.

La principal diferencia entre 2FA y MFA es que 2FA solo requiere una forma adicional de factor de autenticación. La MFA, por otro lado, puede incluir el uso de tantos factores de autenticación como la aplicación requiera antes de confirmar que el usuario es quien dice ser.

Esto se debe a que un atacante puede descifrar un factor de autenticación, como el documento de identificación o la contraseña de un empleado. Como resultado, las empresas deben agregar más factores de autenticación que hagan más difícil la tarea del pirata informático. Por ejemplo, los entornos altamente seguros a menudo exigen procesos de MFA superiores que implican una combinación de factores físicos y de conocimiento junto con autenticación biométrica. También suelen considerar factores como la geolocalización, el dispositivo utilizado, el momento en que se accede al servicio y la verificación continua del comportamiento.

La clave con cualquier proceso de autenticación es encontrar un medio óptimo entre un sistema que los usuarios finales encuentren fácil de usar y que proporcione el nivel de seguridad que la empresa requiere para proteger sus datos y sistemas. Los empleados no desean quedar limitados por una solución de autenticación lenta y poco confiable; es inevitable que busquen evadir procesos engorrosos que les impidan realizar el trabajo. 

¿Es segura la 2FA?

Exigir múltiples factores de autenticación antes de otorgar a un usuario acceso a una aplicación o sitio web es inherentemente más seguro que depender únicamente de las combinaciones de nombre de usuario y contraseña. Por lo tanto, la 2FA es más segura que solo requerir que los usuarios ingresen una contraseña única. Con la misma lógica, la MFA también puede considerarse más segura que la 2FA, ya que permite a las organizaciones solicitar a los usuarios el envío de más factores de autenticación.

Sin embargo, existen fallas en los niveles de seguridad de la 2FA. Por ejemplo, el uso de tokens de hardware puede dejar vulnerable a una organización, en caso de que el fabricante del dispositivo sufra una falla de seguridad. Tal fue el caso cuando la firma de seguridad RSA sufrió una filtración de información como resultado de que sus tokens de autenticación SecurID fueron hackeados en 2011.

Otros factores de autenticación también tienen sus fallas. La 2FA de SMS es económica y fácil de usar para los empleados, pero vulnerable a los ciberataques. El uso de SMS para la 2FA ha sido desalentado por el Instituto Nacional de Estándares y Tecnología (NIST), al afirmar que es vulnerable a diversos ataques de portabilidad y problemas de malware.

A pesar de esto, la mayoría de los ciberataques provienen de ubicaciones remotas, lo que hace que la 2FA sea una herramienta relativamente útil para proteger a las empresas. En general evita que los atacantes obtengan acceso a una aplicación o sistema con credenciales y contraseñas de usuario robadas. Además, es poco probable que un atacante pueda acceder al segundo elemento de autenticación del usuario, el particular cuando se trata de factores biométricos.

Autenticación de dos factores y solución de administración de identidades de acceso de Fortinet

Las empresas gestionan cada vez más entornos de identidades que comprenden múltiples sistemas en aplicaciones en la nube, servicios de directorio, dispositivos de red y servidores. Estos sistemas se convierten rápidamente en una tarea administrativa enormemente desafiante que termina ofreciendo experiencias de usuario degradadas, confundiendo a los desarrolladores de aplicaciones y causando a los administradores una pesadilla logística. Como resultado, las empresas se dejan a merced de la filtración de información a través de vulnerabilidades de código, niveles de acceso de usuario inadecuados y actualizaciones de software mal administradas. 

La solución de administración de identidades y acceso de Fortinet proporciona a las organizaciones el servicio que necesitan para confirmar y gestionar, de manera segura, las identidades de los usuarios y dispositivos en sus redes. La solución robusta permite a las empresas tomar el control de las identidades de usuarios y garantiza que estos solo tengan acceso a los sistemas y recursos que necesitan.

La solución de IAM de Fortinet consta de tres componentes principales:

  1. FortiAuthenticator: FortiAuthenticator protege contra el acceso no autorizado a los recursos corporativos al proporcionar servicios de autenticación centralizados para el Fortinet Security Fabric, incluidos los servicios de inicio de sesión único, la administración de certificados y la administración de acceso de invitados.
  2. FortiToken: Proporciona confirmación adicional de las identidades de los usuarios al proporcionar un segundo factor de autenticación. Lo hace a través de aplicaciones móviles y tokens físicos.
  3. FortiToken Cloud: Proporciona MFA como servicio e incluye un panel intuitivo que permite a las organizaciones administrar su solución de MFA.

Estos tres componentes combinados abordan los desafíos de IAM que enfrentan las organizaciones en cuanto a gestión de fuerzas de trabajo más grandes que solicitan acceso a sus sistemas desde cada vez más dispositivos.

Preguntas frecuentes

¿Qué significa 2FA?

2FA significa “autenticación de dos factores”, un proceso de seguridad que permite a las organizaciones aumentar la seguridad de sus aplicaciones, sistemas y sitios web.

¿Qué significa “autenticación de dos factores”?

La autenticación de dos factores significa que un usuario debe enviar dos factores de autenticación para demostrar que es quien dice ser. Se utiliza cuando un usuario inicia sesión en una aplicación o sistema y agrega una capa adicional de seguridad en lugar de tan solo iniciar sesión con su nombre de usuario y contraseña, datos que pueden ser hackeados o robados fácilmente.

¿Se puede hackear la autenticación de dos factores?

Los procesos de autenticación de dos factores pueden ser hackeados. Las herramientas de 2FA, como los tokens de hardware, pueden verse comprometidas; y los mensajes SMS pueden ser interceptados por actores maliciosos. Sin embargo, la 2FA es un proceso de inicio de sesión más seguro que tan solo confiar en contraseñas.

¿Qué es la autenticación multifactor?

La autenticación multifactor es un proceso de seguridad que permite el uso de múltiples factores de autenticación para confirmar que un usuario es quien dice ser. La MFA implica el uso de más de un factor de autenticación para permitir que un usuario acceda a su cuenta.