La autenticacion de dos factores (2FA) es un proceso de inicio de sesion que requiere dos pruebas independientes de identidad antes de conceder acceso a una cuenta. El primer factor suele ser algo que el usuario sabe (una contrasena). El segundo factor es algo que el usuario tiene (un movil con app TOTP, una llave hardware como YubiKey, un codigo SMS, una notificacion push) o algo que el usuario es (huella, escaneo facial). Aunque un atacante robe la contrasena por phishing, una filtracion o credential stuffing, no podra entrar sin controlar tambien el segundo factor. Google informo en mayo de 2019 que anadir un telefono de recuperacion bloquea el 100 por cien de los ataques automatizados, el 99 por cien del phishing masivo y el 90 por cien de los ataques dirigidos. Microsoft publico en 2019 que las cuentas con cualquier forma de 2FA son un 99,9 por cien menos propensas a verse comprometidas.
Como funciona la autenticacion de dos factores?
El usuario escribe usuario y contrasena de forma habitual. El servidor valida la contrasena y solicita el segundo factor por uno de estos canales:
- TOTP (codigo unico basado en tiempo): codigo de 6 digitos que cambia cada 30 segundos, generado por Google Authenticator, Microsoft Authenticator, Authy, 1Password o Bitwarden. RFC 6238 (2011) usa un secreto compartido y la hora Unix.
- Notificacion push: Duo Mobile, Microsoft Authenticator, Okta Verify. El usuario aprueba o rechaza.
- SMS: codigo por mensaje. Comodo pero vulnerable a SIM swap. NIST SP 800 63B Rev 3 desaconseja SMS como unico segundo factor.
- Email: codigo a un email verificado.
- Llave de seguridad hardware: USB, NFC o Bluetooth (YubiKey, Google Titan, Feitian, Nitrokey) con FIDO U2F o WebAuthn / FIDO2.
- Factor biometrico: huella, cara o iris via Touch ID, Face ID, Windows Hello.
- Codigos de respaldo: lista de codigos de un solo uso impresos al configurar.
Diferencia entre 2FA y MFA
MFA es el termino paraguas para dos o mas factores. 2FA usa exactamente dos. En entornos muy regulados (banca bajo PSD2, sistemas federales de EE.UU. bajo la Orden Ejecutiva 14028 de mayo de 2021) se exige tres factores para acciones privilegiadas.
Que metodo 2FA es el mas seguro?
- Passkeys / WebAuthn / FIDO2 hardware: resistente al phishing por diseno. Recomendado por CISA, NIST y Google para cuentas de alto valor.
- Apps TOTP: solido, sin conexion, gratis. Riesgo: phishing en tiempo real puede capturar el codigo.
- Push: solido pero vulnerable a MFA fatigue. El incidente de Uber 2022 uso esta tecnica.
- SMS: el mas debil. SIM swap. Victimas como Jack Dorsey (agosto 2019).
- Email: solo tan fuerte como la cuenta de email.
Que son las Passkeys?
Las passkeys son la evolucion sin contrasena de WebAuthn, estandarizada por FIDO Alliance y soportada por Apple (iOS 16, septiembre 2022), Google (Android 9+, ChromeOS, Chrome 108 en octubre 2022) y Microsoft (Windows 11). Una passkey es un par de claves criptograficas en un enclave seguro (Apple Keychain, Google Password Manager, Windows Hello) o en un token hardware. La clave privada nunca abandona el dispositivo. Login por biometria, inmune al phishing. WordPress las soporta via plugins como Two Factor o Passkeys for WordPress (2024).
Como activo 2FA en WordPress?
El nucleo de WordPress no incluye 2FA. Plugins recomendados:
- Two Factor del WP Two Factor Feature Team (gratis, mas de 40.000 instalaciones): TOTP, email, FIDO U2F, codigos de respaldo.
- Wordfence Login Security (gratis): TOTP, reCAPTCHA, proteccion XML RPC.
- WP 2FA de Melapress: TOTP, email, forzar 2FA por rol.
- miniOrange Google Authenticator: YubiKey, Duo, Authy.
- Jetpack: usa 2FA de WordPress.com.
Pasos con Two Factor:
- Instala y activa Two Factor desde
Plugins » Anadir nuevo. - Abre
Usuarios » Perfily baja a Two Factor Options. - Activa TOTP, escanea el QR con tu app, introduce el codigo y guarda.
- Activa codigos de respaldo, generalos, imprimelos y guardalos.
- Opcionalmente registra una YubiKey.
- Cierra sesion y prueba el flujo.
Que es MFA fatigue y como prevenirlo?
Es un ataque de ingenieria social donde el atacante ya tiene la contrasena y dispara notificaciones push hasta que el usuario aprueba por error. Mitigaciones:
- Usa TOTP o llaves hardware en cuentas criticas.
- Activa number matching (Microsoft Authenticator desde febrero 2023, Okta desde 2022).
- Alertar y bloquear tras varias denegaciones.
- Forma a los usuarios para no aprobar nunca peticiones inesperadas.
Estandares que rigen 2FA
| Estandar | Ano | Proposito |
|---|---|---|
| RFC 4226 (HOTP) | 2005 | OTP basado en HMAC y contador |
| RFC 6238 (TOTP) | 2011 | OTP basado en tiempo |
| FIDO U2F | 2014 | Llave hardware como segundo factor |
| FIDO2 / WebAuthn | 2019 | Login sin contrasena resistente al phishing |
| NIST SP 800 63B Rev 3 | 2017 | Guia federal EE.UU., desaconseja SMS |
| PSD2 SCA | 2019 (UE) | Autenticacion fuerte en pagos |
| Passkeys | 2022 | WebAuthn sincronizado entre dispositivos |
Errores comunes con 2FA
- Guardar codigos de respaldo en el mismo gestor de contrasenas.
- Usar la misma SIM para SMS 2FA y email de recuperacion.
- No registrar una segunda llave hardware de respaldo.
- Permitir reset de contrasena por email sin 2FA en ese flujo.
- No forzar 2FA en administradores de WordPress.
Como ayuda InspectWP con 2FA?
InspectWP detecta si un sitio WordPress expone /wp-login.php sin desafio 2FA visible analizando el HTML y firmas de plugins. Los sitios sin segundo factor se marcan en el informe.