Cada semana se filtran millones de contraseñas en internet, y muchas de ellas siguen activas porque la persona dueña de la cuenta ni se entera. El problema no es solo que las contraseñas sean débiles: es que una contraseña, por buena que sea, es un único candado. Si alguien la consigue —por una filtración, un correo de phishing o porque la reutilizaste en un sitio que fue hackeado—, entra a tu cuenta como si fuera tú. Y cuando hablamos de un negocio, esa cuenta puede ser el correo de la empresa, la banca en línea o el sistema donde tienes a todos tus clientes.
La buena noticia es que existe una protección sencilla, gratuita y que puedes activar hoy mismo: la verificación en dos pasos, también llamada 2FA (autenticación de dos factores). En esta guía te explicamos qué es, por qué la contraseña sola ya no alcanza, qué tipos hay y cuál conviene más, y los pasos para activarla en las cuentas clave de tu negocio. No necesitas saber de tecnología: si puedes instalar una app en tu celular, puedes hacer esto.
¿Qué es la verificación en dos pasos?
La idea es simple. Para entrar a una cuenta protegida con 2FA necesitas dos cosas en lugar de una:
- Algo que sabes: tu contraseña de siempre.
- Algo que tienes: un segundo dato que solo está en tu poder en ese momento, normalmente un código de 6 dígitos que cambia cada 30 segundos en tu celular.
Piénsalo como la caja fuerte de un banco: no basta con la combinación, también hace falta la llave física. Aunque alguien te robe la combinación (tu contraseña), sin la llave (el segundo paso) no puede abrir nada. Por eso, incluso si tu contraseña se filtra, tu cuenta sigue protegida.
¿Por qué la contraseña sola ya no basta?
Durante años la contraseña fue la única barrera, y dejó de ser suficiente por razones muy concretas:
- Las filtraciones son constantes. Servicios que usas sufren brechas y publican (o venden) millones de correos y contraseñas. Si reutilizas la misma en varios sitios, una sola filtración expone todas tus cuentas.
- El phishing engaña a cualquiera. Un correo bien hecho que imita a tu banco o a tu proveedor de correo puede hacer que escribas tu contraseña en una página falsa sin darte cuenta.
- Las contraseñas se adivinan. Los atacantes usan programas que prueban millones de combinaciones por segundo, sobre todo contra contraseñas cortas o comunes.
Con 2FA activada, ninguna de estas tres situaciones le alcanza al atacante para entrar, porque le falta el segundo factor que está en tu celular.
Los tres tipos de segundo factor
No todos los segundos pasos ofrecen la misma seguridad. Estos son los tres más comunes, del más recomendado al menos recomendado.
App autenticadora (la opción recomendada)
Una app autenticadora vive en tu celular y genera un código nuevo cada pocos segundos. Las más conocidas son Google Authenticator, Microsoft Authenticator y Authy. El código se calcula dentro de tu teléfono, sin necesidad de internet ni de señal telefónica, lo que la vuelve la opción más práctica y segura para la mayoría de los negocios. Es gratuita y funciona con casi cualquier servicio.
Código por SMS (mejor que nada, pero con riesgos)
Aquí el servicio te envía el código por mensaje de texto. Es cómodo porque no requiere instalar nada, pero tiene dos puntos débiles: los SMS se pueden interceptar y existe el fraude de cambio de SIM, en el que un delincuente convence a la telefónica de pasar tu número a otro chip para recibir tus códigos. Úsalo solo cuando el servicio no ofrezca app autenticadora.
Llave física de seguridad (la más fuerte)
Es un dispositivo del tamaño de una memoria USB (como YubiKey) que conectas o acercas al equipo para confirmar tu identidad. Es el método más resistente al phishing, porque no hay código que un atacante pueda copiarte. Su desventaja es que cuesta dinero y hay que cargarla siempre. Tiene mucho sentido para cuentas de máxima criticidad o para perfiles de dirección.
Por dónde empezar: prioriza correo y banca
No tienes que proteger todo el mismo día. Lo importante es empezar por las cuentas que, si caen, arrastran a todas las demás:
- Correo electrónico (lo primero, sin excepción). Tu correo es la llave maestra del negocio: desde ahí se recuperan casi todas tus otras cuentas con el botón de "olvidé mi contraseña". Si alguien controla tu correo, puede ir tomando una por una el resto. Protégelo antes que nada.
- Banca en línea. Es donde está el dinero. La mayoría de los bancos ya ofrecen 2FA o un token; actívalo.
- Redes sociales del negocio. Tu reputación y tu canal de ventas viven ahí.
- ERP, sistema administrativo y plataformas con datos de clientes. Información sensible que no puede caer en malas manos.
Cómo activar la 2FA paso a paso
El menú cambia un poco entre cada servicio, pero el proceso es prácticamente el mismo en todos. Esta es la ruta general:
Repite este proceso en cada cuenta crítica. La primera vez puede tomarte unos minutos; las siguientes serán mucho más rápidas porque ya tendrás la app lista.
Qué hacer con los códigos de respaldo
Este paso es el que más se ignora y el que más problemas evita. Los códigos de respaldo son una lista de claves de un solo uso que el servicio te entrega al activar la 2FA. Sirven para entrar si pierdes, te roban o cambias de celular y ya no tienes la app autenticadora a la mano.
Algunas recomendaciones para manejarlos bien:
- No los dejes solo en el celular. Si pierdes el teléfono, perderías también los códigos. Guárdalos por separado.
- Imprímelos o ponlos en un gestor de contraseñas. Un papel en una caja fuerte o una nota dentro de tu gestor de contraseñas son buenas opciones.
- No los compartas por correo ni por chat. Trátalos como si fueran las llaves de tu negocio.
- Genera nuevos si sospechas que se filtraron. Casi todos los servicios permiten regenerar la lista, lo que invalida la anterior.
Si quieres ordenar todo esto a nivel empresa, te puede servir nuestro checklist de seguridad informática para empresas, que reúne las medidas básicas que todo negocio debería tener cubiertas.
Errores comunes al activar la 2FA
- Protegerlo todo menos el correo. Si dejas el correo sin 2FA, el resto pierde sentido: desde ahí se recupera todo lo demás.
- Usar SMS pudiendo usar app. Es más cómodo, pero menos seguro. Elige la app siempre que el servicio lo permita.
- No guardar los códigos de respaldo. Es la causa número uno de gente que se queda fuera de su propia cuenta tras cambiar de celular.
- Activarla solo en tu cuenta y olvidar al equipo. La seguridad del negocio es tan fuerte como su cuenta más desprotegida. Si tienes colaboradores, todos deberían tener 2FA en las cuentas de la empresa.
Activar la verificación en dos pasos es, probablemente, la acción de ciberseguridad con mejor relación esfuerzo-beneficio que puedes tomar hoy. No cuesta dinero, toma unos minutos por cuenta y bloquea de golpe la mayoría de los intentos de acceso no autorizado. Empieza por tu correo, sigue con la banca y avanza desde ahí.
Seguridad para tu negocio
¿Necesitas blindar las cuentas de toda tu empresa?
Te ayudamos a activar la 2FA en cada cuenta crítica de tu equipo y a cerrar las brechas de seguridad más comunes. Sin tecnicismos, solo protección real.