¿Qué ocurre si utilizo la autenticación de dos factores y pierdo mi teléfono?

Posted by admin Articles

La autenticación de dos factores es una medida de seguridad esencial que utiliza tu teléfono para evitar el acceso no autorizado a tu cuenta. Hace que sea más difícil acceder a tu cuenta si pierdes el teléfono, pero de eso también se trata. Por suerte, no te faltan opciones si no puedes encontrar el único dispositivo que utilizas para verificar que eres realmente tú.

Vídeo reciente

Este navegador no soporta el elemento de vídeo.

La autenticación de dos factores, por su propia naturaleza, está diseñada para impedir el acceso a tus cuentas si no tienes acceso a tu teléfono (u otro dispositivo de autenticación). Por lo tanto, no hay muchas formas de eludir este requisito a posteriori. Sin embargo, hay muchas formas de prevenir este problema. Así que no esperes a perder tu teléfono para configurarlas.

G/O Media puede obtener una comisión

Publicidad

(Si actualmente estás bloqueado, puedes pasar a la última sección.)

Si te deshaces a propósito de tu teléfono…

Screenshot: David Murphy

Publicidad

Si sabes que vas a cambiar de teléfono, asegúrate de cambiar a un dispositivo diferente para la autenticación de dos factores (o a ninguno, temporalmente) antes de deshacerte de tu antiguo teléfono. Para facilitar el acceso, aquí hay algunos enlaces donde puedes cambiar la configuración del doble factor si ya lo tienes activado para algunos servicios comunes (o aprender a hacerlo). Tenga en cuenta que estos enlaces probablemente sólo funcionarán si está conectado a su cuenta.

  • Google
  • Dropbox
  • Twitter
  • LastPass: Abre LastPass en la web, haz clic en Configuración >Opciones Multifactor
  • 1Password
  • Discord
  • Twitch

El proceso difiere de un servicio a otro, pero el principio básico es el mismo. Instalarás una aplicación en tu nuevo dispositivo, escanearás un código de barras o introducirás un código del sitio web en cuestión y confirmarás que estás en posesión del dispositivo. En la mayoría de los casos, los autentificadores antiguos dejarán de funcionar, así que asegúrate antes de hacer el cambio.

Anuncio

Si usas SMS, cambiar de teléfono no debería importar. Simplemente activa tu nuevo teléfono y los códigos llegarán a tu número de teléfono. Si utiliza una aplicación de autenticación (recomendamos Authy, de la que hablaremos en un momento), es probable que pueda intercambiar su dispositivo de autenticación a través de la configuración de su cuenta.

Publicidad

Escriba siempre sus códigos de copia de seguridad de un solo uso

Captura de pantalla: David Murphy

Publicidad

No podemos dejar de insistir en esto. Anota tus códigos de seguridad. Si alguna vez te encuentras bloqueado de tu cuenta por cualquier razón, incluyendo el hecho de que te olvidaste de desactivar tu autenticador antes de regalarlo (o no pudiste, si te robaron el teléfono), los códigos de respaldo son la mejor y más fácil manera de recuperar el acceso a tu cuenta. A continuación, puede configurar un nuevo autenticador, probablemente generar nuevos códigos de copia de seguridad, y estar tan seguro como antes.

Probablemente haya oído que no debe escribir su contraseña, pero estos códigos de un solo uso son una excepción. Definitivamente debe imprimirlos o anotarlos y guardarlos en un lugar donde pueda encontrarlos. Lo ideal sería que estuvieran separados del teléfono, quizá en una caja a prueba de incendios o en una caja fuerte con otros documentos importantes. No los guardes en un documento de Word en tu ordenador portátil, porque si éste se estropea (o te lo roban), no tendrás suerte.

Anuncio

A diferencia de los códigos de autentificación, estos códigos de un solo uso no cambian. La mayoría de los sitios también te dirán cuando han sido utilizados, o al menos los marcarán fuera de las listas de códigos utilizables. Por ejemplo, Google ofrece diez códigos de seguridad. Cuando usas uno, la lista de códigos baja de diez a nueve (no se reponen inmediatamente), y recibes un correo electrónico diciendo que el código ha sido usado. Esto significa que incluso si alguien encuentra tus códigos de reserva y los utiliza para acceder a tu cuenta, sería difícil que lo hiciera sin ser detectado.

Publicidad

Utiliza una app de autenticación de terceros, como Authy

Publicidad

Como hemos comentado anteriormente, Authy es una gran app para gestionar tus cuentas de dos factores en iPhone, Android e incluso en tu ordenador. Esto no sólo te da un dispositivo de «respaldo» en caso de que pierdas tu teléfono, ya que tus tokens se sincronizan entre tus diversos dispositivos, sino que también hace que sea muy fácil migrar tus tokens de un dispositivo a otro (digamos, si vas a tener un nuevo teléfono). Sólo tienes que sincronizar el nuevo dispositivo y desautorizar el antiguo.

Publicidad

Para configurar los tokens sincronizados en tus dispositivos, primero tendrás que configurar Authy como tu aplicación principal de autenticación de dos factores. Si actualmente usas Google Authenticator u otra aplicación para obtener tus códigos, tendrás que ir a tus cuentas y configurar Authy, probablemente usando un código QR que tendrás que escanear, como si estuvieras cambiando a un dispositivo nuevo. A continuación, sigue estos pasos para sincronizar Authy con un segundo dispositivo:

  1. Abre la configuración de Authy en tu dispositivo principal y toca Dispositivos.
  2. Activa la opción «Permitir varios dispositivos»
  3. En tu segundo dispositivo, instala Authy.
  4. Cuando abras la aplicación por primera vez, te pedirá un número de teléfono. Introduce el número de teléfono de tu dispositivo principal.
  5. En la ventana emergente que dice «Obtener verificación de la cuenta a través de», toca «Usar dispositivo existente».
  6. En tu dispositivo principal recibirás una notificación que te pedirá que verifiques la adición de un nuevo dispositivo. Toca «Aceptar»
  7. Escribe «Aceptar» en el cuadro que te pide que te asegures de aprobar esta decisión.
  8. Vuelve a Configuración en tu dispositivo principal y toca «Dispositivos» de nuevo.
  9. Desactiva «Permitir multidispositivo». Esto evita que se agregue cualquier dispositivo adicional, mientras que sus dispositivos conectados existentes permanecen activos.

Publicidad

También es una buena idea habilitar un código PIN (o un bloqueo de huellas dactilares/cara) para todos los dispositivos que ha conectado a Authy. (Tendrá que hacer esto para cada dispositivo individualmente en Mi cuenta > Seguridad). De esta manera, incluso si alguien consigue acceso físico a su dispositivo, es más difícil que vean sus códigos.

Captura de pantalla: David Murphy

Publicidad

Para aquellos preocupados por la seguridad de este método: todos tus tokens de autenticación están encriptados localmente (usando una contraseña compleja, no el PIN de cuatro dígitos que protege la propia app), por lo que ni los servidores de Authy, ni ningún tercero fisgón en el camino debería poder acceder a los tokens.

Publicidad

Obtener un teléfono de reemplazo para los códigos de autenticación SMS de respaldo

Publicidad

Si bien algunos métodos de autenticación requieren una aplicación, casi todos ofrecen al menos el uso de un código SMS como opción de respaldo. No es una solución tan segura como una aplicación de autenticación dedicada o un token de hardware, pero si pierdes tu teléfono, conseguir un dispositivo de copia de seguridad y activarlo con tu operador te permitirá enviar mensajes de texto al número de teléfono asociado a tu cuenta.

¿El inconveniente? Los mensajes de texto son mucho más pirateables incluso si alguien no tiene acceso a tu dispositivo, incluyendo el temido ataque de intercambio de sim. Por supuesto, un atacante también necesitará tu contraseña para hacer cualquier cosa con una cuenta específica, pero la autenticación basada en texto sigue siendo un método menos seguro que la autenticación de dos factores, ya que ésta requiere que tengan acceso físico a tu dispositivo autenticador para poder entrar en tus cuentas.

Aviso

Qué hacer si te bloquean (y no te has preparado)

Captura de pantalla: David Murphy

Publicidad

Aunque tienes varias formas de prepararte para lo peor, las cosas pasan. Tu teléfono se ha caído a un pozo, has perdido la nota adhesiva con los códigos de la copia de seguridad, y hoy justo ha sido el día en que tu cuenta de Google te ha pedido que vuelvas a verificar. Mala suerte.

A veces puedes llamar o enviar un mensaje a la empresa que gestiona el servicio al que intentas acceder. La mala noticia es que el proceso de recuperación de la cuenta suele tardar varios días laborables en solucionarse, suponiendo que la empresa pueda hacerlo. Otras empresas (como Discord) te dirán que si las opciones de copia de seguridad fallan, no podrán proporcionarte acceso a tu cuenta. Tendrás que empezar una cuenta nueva, lo que no es una solución ideal.

Publicidad

Por eso es importante estar al tanto de tus opciones de copia de seguridad. Sin embargo, en caso de que ocurra lo peor, aquí hay algunos enlaces con información sobre cómo (o si) puedes recuperar el acceso a tu cuenta para varios servicios:

  • Google
  • Dropbox
  • Twitter
  • LastPass
  • 1Password

Como siempre, un poco de prevención vale la pena el revuelo y la angustia de tratar de recuperar el acceso a todas sus cuentas críticas después de haber perdido su dispositivo autenticador.

Publicidad

Esta historia fue publicada originalmente el 19/12/14 y fue actualizada con información más actual el 18/10/19.

Publicidad

Deja una respuesta

Tu dirección de correo electrónico no será publicada.