La autenticación de dos factores (2FA - Two-Factor Authentication) es un método de seguridad que, además de la contraseña, requiere un segundo elemento de verificación para iniciar sesión. Al combinar "algo que sabes" (la contraseña) con "algo que tienes" (un smartphone) o "algo que eres" (una huella dactilar), se impide el acceso no autorizado incluso si la contraseña queda expuesta.
Según un estudio de Google, activar la 2FA basada en SMS bloquea el 100% de los ataques automatizados de bots y el 96% de los ataques de phishing. Estas cifras evidencian la fragilidad de depender únicamente de una contraseña.
Existen cuatro métodos principales de 2FA: autenticación por SMS (se introduce un código recibido por mensaje de texto), aplicación de autenticación (códigos de 6 dígitos generados por Google Authenticator o Authy), llave de hardware (dispositivos físicos como YubiKey) y biometría (huella dactilar o reconocimiento facial). El nivel de seguridad aumenta en este orden: SMS < aplicación de autenticación < llave de hardware. El SMS es vulnerable a ataques de SIM swapping, por lo que siempre que sea posible se recomienda usar al menos una aplicación de autenticación.
Activar la 2FA en la cuenta de un servicio de URL cortas es especialmente importante. Si alguien accede al panel de administración, podría modificar el destino de los enlaces existentes. Si un enlace legítimo se redirige a un sitio de phishing, todos los usuarios que confían en ese enlace se verían afectados.
Un aspecto que no debe descuidarse al implementar 2FA es la preparación de un método de recuperación. Si pierdes el smartphone o se borran los datos de la aplicación de autenticación, tú mismo quedarás bloqueado. Es imprescindible guardar los códigos de respaldo (recovery codes) en un lugar seguro. Los libros sobre autenticación y seguridad en Amazon amplían estos temas.