El doble factor de autenticación (2FA) añade una segunda comprobación además de tu contraseña: algo que tienes (tu móvil, una llave física) además de algo que sabes (la contraseña). En teoría, aunque roben tu contraseña, no pueden entrar sin ese segundo elemento.
El problema es que no todos los métodos de 2FA ofrecen la misma protección. De más débil a más fuerte:
Es mejor que nada, pero es vulnerable al SIM swapping (duplicado fraudulento de tu SIM) — si el atacante controla tu número, recibe también tus códigos SMS. Lo explicamos en detalle en nuestro expediente sobre SIM Swapping.
Más seguro: apps de autenticación (TOTP) — Google Authenticator, Microsoft Authenticator, Authy. Generan un código que cambia cada 30 segundos, vinculado al dispositivo, no a tu número de teléfono. Inmune al SIM swapping.
El más seguro: llaves de seguridad físicas (FIDO2/WebAuthn) — dispositivos USB/NFC tipo YubiKey. Prácticamente inmunes a phishing porque verifican criptográficamente que estás en el dominio legítimo, no solo que introdujiste el código correcto.