Saltar al contenido
>_ITDITDPlataforma de seguridad web

Glosario

¿Qué es la autenticación de dos factores (2FA)? Frente a los dos pasos, y la fortaleza de cada método

La autenticación de dos factores (2FA) añade una prueba de otra categoría sobre tu contraseña. En qué se diferencia de la verificación en dos pasos, la fortaleza de cada método (SMS, app / TOTP, passkey) y cómo elegir. Defensivo, sin pasos de ataque.

Publicado 2026-07-02 Actualizado 2026-07-02 4 min de lectura

«Aunque se filtre mi contraseña, eso por sí solo no dejará entrar a nadie»: eso es lo que te da la autenticación de dos factores (2FA). Aquí tienes en qué se diferencia de la verificación en dos pasos, con la que suele confundirse, y cómo se comparan los métodos (sin pasos de ataque).

«Dos factores» frente a «dos pasos»: ¿cuál es la diferencia?

Las palabras se parecen, pero es sencillo si tienes claro el objetivo. Los factores de autenticación se dividen en tres categorías:

Conocimiento
Algo que sabes: contraseña, PIN, pregunta de seguridad
Posesión
Algo que tienes: teléfono, app de autenticación, llave de hardware, un número que recibe SMS
Inherencia
Algo que eres: huella, rostro, iris

La autenticación de dos factores (2FA) mezcla dos categorías distintas (p. ej., contraseña = conocimiento + una app de autenticación = posesión). La idea: si una se rompe, otra categoría sigue en pie, así que un atacante no puede entrar. La verificación en dos pasos (2SV), en cambio, solo significa «comprobar dos veces», y ambos pasos pueden ser de la misma categoría (contraseña + pregunta de seguridad son dos pasos pero no dos factores). Por eso, si de verdad quieres fortaleza, la clave es mezclar categorías distintas.

Fortaleza del método: se reduce a «¿puedes entregarlo a un sitio de phishing?»

Incluso con el 2FA activado, la fortaleza varía mucho según el método. Lo decisivo es si podrías dar por accidente la «prueba» a un sitio falso.

Fuerte ── Passkey / llave de seguridad (FIDO2)

La firma está ligada al dominio: estructuralmente no puede presentarse a un sitio falso (resistente al phishing)

Medio ── App de autenticación (TOTP)

Más fuerte que el SMS, pero un humano lee el código, así que puede entregarse a un sitio falso

Débil ── Códigos por SMS / correo

Débil ante el SIM-swap y la retransmisión; aun así más fuerte que una contraseña sola

La fortaleza de un método de 2FA se reduce a «¿puedes entregarlo a un sitio de phishing?». Más arriba es más fuerte.

Débil: códigos por SMS / correo

  • un humano lee y escribe el código, así que puede entregarse directamente a un sitio falso
  • expuesto al SIM-swap y al phishing con atacante en el medio (AiTM)
  • aun así, claramente más fuerte que una contraseña sola (mucho mejor que nada)

Fuerte: passkey / llave de seguridad (FIDO2)

  • la firma está ligada al dominio del sitio: imposible de presentar a un sitio falso
  • resistente incluso al phishing con atacante en el medio (MFA resistente al phishing)
  • una app de autenticación (TOTP) queda en medio: más fuerte que el SMS, pero aún presentable a un sitio falso

La visión de este sitio: actívalo primero, luego pásate a métodos que «no puedas entregar»

El fallo más común del 2FA es darle demasiadas vueltas a «cuál es el más fuerte» y acabar sin ninguno. La prioridad está clara: activa primero algún 2FA en todas las cuentas, y luego eleva tus cuentas llave del reino (correo, dominio, pagos) a un método que no puedas entregar a un sitio de phishing (passkeys). Este sitio no cuenta «detectar el sitio falso con cuidado» como estrategia de defensa. En vez de la vigilancia humana, apóyate en métodos donde la prueba estructuralmente no pueda darse a un sitio falso.

Sigue leyendo

FAQ

Q¿La autenticación de dos factores y la de dos pasos son lo mismo?
A

En sentido estricto, no. La autenticación de dos factores (2FA) combina dos «factores» distintos: conocimiento (contraseña), posesión (teléfono, llave) o inherencia (huella, rostro). La verificación en dos pasos (2SV) solo significa «comprobar dos veces», y los dos pasos no son necesariamente factores distintos (p. ej., una contraseña más una pregunta de seguridad son ambos conocimiento: dos pasos, pero no dos factores). En la práctica se solapan mucho, pero el objetivo es mezclar categorías distintas para que romper una no baste para entrar.

Q¿Sigue valiendo la pena el 2FA por SMS?
A

Sí. Es claramente más fuerte que una contraseña sola y detiene la mayoría de las tomas de control por reutilización o fugas de contraseñas. Pero el SMS es un objetivo prioritario del SIM-swap y del phishing con atacante en el medio, así que como método está en el nivel más débil. La lectura correcta es «mucho mejor que nada, pero no la meta final». Pásate a una app de autenticación (TOTP) o a una passkey donde puedas.

Q¿Qué método debería elegir?
A

La regla general: cuanto más difícil sea entregar un método a un sitio de phishing, más fuerte es. Del más fuerte al más débil: passkey / llave de seguridad de hardware (FIDO2) > código de app de autenticación (TOTP) > SMS/correo. Para las cuentas «llave del reino» —correo, tu dominio, pagos— prefiere un método resistente al phishing como las passkeys. En la práctica: activa primero algún 2FA en todo, y luego eleva tus cuentas más importantes al método más fuerte.