Claves de acceso vs. autenticación de dos factores: ¿Cuál protege mejor tus criptomonedas?
Tu contraseña se filtra en una brecha de seguridad de la que nunca te enteras. Unas semanas después, alguien intenta usarla en tu plataforma de intercambio de criptomonedas, y lo único que se interpone entre ellos y tu saldo es un código de seis dígitos enviado a tu teléfono. Se suponía que ese código era la barrera de seguridad. Durante años, fue suficiente. El debate entre las claves de acceso y la autenticación de dos factores (2FA) gira en torno a si esa barrera sigue siendo fiable, y la respuesta honesta es crucial para cualquiera que gestione dinero que solo se mueve en una dirección. Esta guía explica ambos métodos en términos sencillos, los compara directamente y muestra por qué el ataque que realmente vacía las cuentas apenas se ralentiza con la autenticación tradicional de dos factores.
¿Qué es la autenticación de dos factores (2FA)?
La autenticación de dos factores, también conocida como 2-factor, es una segunda verificación que se añade a tu contraseña. Su funcionamiento es tan sencillo que la mayoría de la gente la usa sin pensarlo. Incluso si alguien roba el primer factor, necesita el segundo para acceder. Los expertos en seguridad suelen clasificar estos factores en tres categorías principales: algo que sabes, como una contraseña o un PIN; algo que tienes, como tu teléfono o un token de hardware; y algo que eres, como una huella dactilar o un reconocimiento facial. Un sistema 2FA simplemente combina dos de estos factores.
El problema es que no todos los segundos factores son iguales, y la opción "2FA activado" lo oculta discretamente. Un código SMS es la opción más débil, un código de una aplicación de autenticación como Google Authenticator (normalmente un TOTP que se renueva cada 30 segundos) es significativamente más seguro, y una llave de seguridad física es aún más segura. Microsoft ha afirmado que activar la MFA bloquea aproximadamente el 99,9 % de los ataques automatizados a cuentas, lo que indica que la configuración básica funciona bien contra intentos masivos y de bajo esfuerzo. La pregunta central de este artículo es qué sucede cuando el atacante no se esfuerza en absoluto.
Así es como se comparan los segundos factores comunes.
| Método 2FA | Cómo funciona | ¿Resistente al phishing? | Principal debilidad |
|---|---|---|---|
| Código SMS | Código de un solo uso enviado por SMS a tu número | No | Intercambio de SIM, intercepción SS7 |
| Aplicación de autenticación (TOTP) | Rotación de código en una aplicación | No | Phishing de retransmisión en tiempo real |
| Aprobación de impulso | Pulsa "aprobar" en tu teléfono. | No | Fatiga del Ministerio de Asuntos Exteriores, bombardeo inmediato |
| clave de seguridad de hardware | Llave física que se enchufa o se pulsa | Sí | Costo, se puede perder |
El salto que importa se encuentra en la fila inferior. Los códigos SMS, los códigos de aplicaciones y las notificaciones push comparten una debilidad: se puede engañar a una persona para que los complete en un sitio web incorrecto, mientras que una clave de seguridad de hardware es completamente invulnerable. Esta es la misma propiedad en la que se basa una clave de acceso, por lo que la verdadera diferencia radica entre los factores de seguridad vulnerables al phishing y los resistentes al phishing, en lugar de entre una contraseña y un segundo factor.
¿Qué es una clave de acceso y cómo funcionan las claves de acceso?
Una clave de acceso no es un código mejor; es un par de claves criptográficas, y comprender ese par es precisamente lo fundamental. Cuando creas una clave de acceso para un sitio web o una aplicación, tu dispositivo genera automáticamente dos valores vinculados: una clave pública y una clave privada, utilizando los estándares FIDO2 y WebAuthn que Apple, Google y Microsoft han integrado en sus sistemas como base de la autenticación sin contraseña.
Las claves de acceso se han popularizado rápidamente. La Alianza FIDO informó que, a mayo de 2026, había alrededor de 5 mil millones de claves de acceso activas, y que el 75 % de los consumidores las habían habilitado en al menos una cuenta. Ya no se trata de una función minoritaria.
El intercambio de claves públicas y privadas
La separación entre las dos claves es lo que mantiene segura una contraseña. Imagina la clave pública como un candado del que el sitio web guarda una copia, y la clave privada como la única que puede abrirlo, sellada dentro de tu teléfono. Cuando inicias sesión, el sitio le entrega a tu dispositivo un acertijo de un solo uso para que lo firmes. Tu dispositivo firma el acertijo con la clave privada, envía la respuesta, el servidor la compara con la clave pública que ya posee, y accedes. Nada secreto viaja por la red, por lo que quien intercepte la comunicación no podrá robar ni reproducir la información posteriormente.
Un control biométrico o el PIN de tu dispositivo desbloquea la clave privada localmente para que pueda firmar. La huella dactilar tampoco llega nunca al servidor. Compáralo con una contraseña, que proporcionas completa cada vez que inicias sesión, confiando en que quien esté al otro lado la almacene de forma segura.
Dónde se almacenan sus claves de acceso: sincronizadas o vinculadas al dispositivo.
Existen dos tipos de claves de acceso. Las claves sincronizadas se almacenan en un gestor de contraseñas o llavero de la plataforma (Apple, Google, o herramientas como 1Password o Bitwarden) y te acompañan en todos tus dispositivos. Las claves vinculadas al dispositivo, incluidas las de las llaves de seguridad de hardware, nunca se separan del dispositivo que las creó. Las claves sincronizadas son más prácticas y se conservan incluso si pierdes el teléfono; las llaves vinculadas al dispositivo ofrecen la mayor seguridad física, ya que las claves criptográficas están fijadas a un objeto que puedes guardar bajo llave en un cajón.
Claves de acceso vs. autenticación de dos factores: las principales diferencias
La forma más sencilla de entender la diferencia es esta: la autenticación de dos factores (2FA) añade un paso a la contraseña, mientras que una clave de acceso la reemplaza por completo. Una vez que lo comprendas así, todo lo demás será obvio. La 2FA aún depende de un secreto conocido que puede filtrarse. Una clave de acceso, en cambio, no tiene ningún secreto compartido que pueda filtrarse.
Ese único cambio repercute en todo lo demás, desde la resistencia al phishing hasta la velocidad de inicio de sesión. Los proveedores que implementan claves de acceso informan de inicios de sesión significativamente más rápidos y exitosos que con una contraseña combinada con un código SMS, ya que no hay nada que escribir ni nada que esperar. La siguiente tabla muestra las principales diferencias.
| Lo que importa | Autenticación de dos factores (contraseña + SMS/TOTP) | Llave maestra |
|---|---|---|
| Reemplaza la contraseña | No, le suma a eso | Sí |
| Resistente al phishing | No (los códigos pueden ser transmitidos) | Sí (vinculado al dominio real) |
| Expuesto al intercambio de tarjetas SIM | Sí, con SMS | No |
| Secreto compartido para robar | Sí | No |
| Velocidad de inicio de sesión | Más lento (escribe un código) | Más rápido (toca o escanea) |
| Recuperación en caso de pérdida del dispositivo | Códigos de respaldo / SMS | Clave de sincronización o de copia de seguridad |
¿Es la clave de acceso en sí misma una forma de autenticación de dos factores (2FA) o de autenticación multifactor (MFA)?
Aquí radica el matiz que suele confundir a la gente. Al desbloquear una clave de acceso, se realizan dos comprobaciones simultáneamente. Se demuestra que se tiene en la mano el dispositivo que almacena la clave privada, y la huella dactilar o el reconocimiento facial confirman que el dispositivo está realmente en sus manos. Esto supone dos factores de autenticación en un solo toque, lo que convierte a la clave de acceso en un sistema multifactor por sí sola. Si además se le añade la autenticación de dos factores tradicional, lo que se consigue es, en realidad, una segunda solicitud de autenticación, no una segunda barrera.
Por eso, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) solo considera FIDO2/WebAuthn y las tarjetas inteligentes PKI como métodos de autenticación multifactor (MFA) verdaderamente resistentes al phishing. Una clave de acceso no es una alternativa menos eficaz que un segundo factor; su diseño integra la autenticación multifactor en un solo paso.
¿Por qué el phishing vulnera la autenticación de dos factores pero no las contraseñas?
El phishing es el ataque que decide todo este debate. El Informe de Investigaciones de Violaciones de Datos de Verizon de 2025 reveló que las credenciales robadas estaban detrás del 22 % de las violaciones y el phishing detrás de otro 16 %, por lo que no se trata de exploits exóticos, sino de la puerta de entrada por la que la mayoría de los intrusos acceden.
Imagínese la trampa habitual. Recibe un correo electrónico que le advierte que su cuenta está bloqueada, accede a una página idéntica a la de su plataforma de intercambio y, obedientemente, introduce su contraseña y el código de seis dígitos de su aplicación de autenticación. En el sitio web real, ese código no supondría ningún problema. En la copia del atacante, este lo roba y lo utiliza contra el inicio de sesión legítimo en cuestión de segundos, y el segundo factor de autenticación en el que confiaba le permite el acceso sin problemas. Esta es la parte que la gente subestima. La autenticación de dos factores (2FA) sigue requiriendo que una persona proporcione información, y a una persona se le puede convencer de casi cualquier cosa. Una clave privada no proporciona nada. La clave privada no se puede escribir, leer en voz alta ni pegar en un formulario falso, y solo funciona en el dominio exacto donde la creó, por lo que la página que imita la autenticación no tiene nada que recopilar ni nada que utilizar.
El problema del intercambio de tarjetas SIM y el código SMS
Los SMS son el punto débil de la autenticación de dos factores (2FA). En un intercambio de SIM , un atacante convence a tu operador para que transfiera tu número a su teléfono, y todos los códigos destinados a ti ahora llegan a su pantalla. El Centro de Denuncias de Delitos en Internet del FBI registró 982 denuncias de intercambio de SIM en su informe de 2024, con pérdidas cercanas a los 26 millones de dólares, y esos son solo los casos que la gente se molestó en denunciar. Los mensajes SMS también pueden ser interceptados directamente debido a fallos en el obsoleto protocolo de telecomunicaciones SS7, lo que nos deja con una incómoda realidad: cualquier código que viaje por la red telefónica es un código que alguien más puede redirigir silenciosamente.
El phishing de OTP y la fatiga por MFA
Ni siquiera una aplicación de autenticación es inmune, ya que los atacantes utilizan sitios de retransmisión en tiempo real que se interponen entre el usuario y el inicio de sesión real, capturando el TOTP y reutilizándolo dentro de su ventana de 30 segundos. La autenticación de dos factores (2FA) basada en notificaciones push tiene su propio modo de fallo conocido como fatiga de MFA, en el que un atacante envía mensajes de aprobación repetidamente hasta que el usuario, cansado, pulsa el botón de aprobar para que cesen las notificaciones. Ninguno de estos trucos funciona con una clave de acceso, ya que no hay código que interceptar ni mensaje que pueda aprobarse por error.
Utilice contraseñas en plataformas de intercambio y monederos de criptomonedas.
Aquí es donde la comparación entre claves de acceso y autenticación de dos factores deja de ser teórica, y donde la mayoría de las guías generales se quedan en silencio. Un banco puede revertir un cargo fraudulento. Una cadena de bloques no. Cuando un atacante accede a tu cuenta de intercambio mediante un intercambio de tarjeta SIM y retira tu saldo, esa transacción es definitiva. El informe de delitos informáticos del FBI de 2025 registró pérdidas totales de 20.900 millones de dólares, de los cuales aproximadamente 11.400 millones estaban relacionados con el fraude con criptomonedas, y el robo de cuentas es una parte constante de esa cifra.
Las principales plataformas de intercambio, como Coinbase, Binance y Kraken, ahora permiten proteger el acceso con una clave de acceso. Al activarla, se elimina el código SMS que buscan los ciberdelincuentes que realizan suplantación de identidad mediante SIM y se reemplaza por una clave que un atacante no puede obtener mediante phishing desde otro país.
Hay una distinción importante, porque es fácil confundirla. Una clave de acceso protege la forma en que inicias sesión en una cuenta de custodia en un exchange. No es lo mismo que la clave privada o la frase semilla de tu monedero de autocustodia , y no las reemplaza. Si tienes tus propias criptomonedas, la frase semilla sigue siendo la clave maestra de tus fondos; una clave de acceso protege la puerta del exchange, no la bóveda que llevas contigo. Entender esto es la diferencia entre la seguridad real de tu cuenta y una falsa sensación de seguridad.
Una clave de acceso también se complementa perfectamente con los controles que ya te ofrece la plataforma. Actívala para iniciar sesión y añade una lista de direcciones permitidas para retiros, de modo que incluso una sesión pirateada no pueda enviar fondos a una billetera desconocida sin un período de espera. La clave de acceso bloquea la intrusión; la lista de direcciones permitidas limita los daños si se produce algún fallo. Utilizadas conjuntamente, las claves de acceso y la autenticación de dos factores (2FA) mejoran la seguridad mucho más que por separado, y tu cuenta deja de depender de un código que puede ser enviado de forma inalámbrica al teléfono de un desconocido.
Cuando aún necesitas la autenticación de dos factores tradicional
Las claves de acceso aún no están disponibles en todas partes, y la elección entre claves de acceso y autenticación de dos factores (2FA) suele depender de lo que admita cada servicio, así que no elimines tu segundo factor el primer día. La Alianza FIDO contabiliza más de 15 mil millones de cuentas preparadas para claves de acceso a partir de 2025, pero la cobertura en sitios más pequeños sigue siendo irregular, y muchos de los servicios que utilizas todavía solo ofrecen contraseña y código. Para estos, conserva tu 2FA y simplemente elige la mejor versión: una aplicación de autenticación en lugar de SMS. La recuperación es otro aspecto en el que demuestra su utilidad. Si pierdes el dispositivo que contiene una clave de acceso vinculada, un factor de respaldo o un conjunto de códigos de recuperación guardados te permitirán volver a acceder. La configuración inteligente utiliza ambos, con claves de acceso donde sea posible, 2FA basada en aplicaciones donde no lo sea, y un plan de recuperación que funcione discretamente en ambos casos.
También existe un coste de transición que conviene mencionar. Hasta que un sitio admita claves de acceso, tendrás que conformarte con la opción más segura disponible, y para muchos servicios esto sigue siendo una aplicación de autenticación básica. Considera esto como una solución temporal, no como la definitiva, y revisa tus cuentas importantes cada pocos meses, ya que la compatibilidad con claves de acceso se está expandiendo y la cuenta que no pudiste proteger la primavera pasada podría ofrecerla ahora.
Cómo cambiar de autenticación de dos factores (2FA) a claves de acceso
Avanzar es como subir escaleras, no dar un solo salto, y la única regla es nunca borrar tu ruta de recuperación a mitad del cambio. Aquí tienes un orden sensato:
1. Reemplaza los SMS con una aplicación de autenticación en todas las cuentas que aún utilicen códigos. Esto por sí solo elimina el riesgo de intercambio de tarjetas SIM.
2. Añada una clave de acceso donde se le ofrezca, normalmente en la configuración de seguridad de la cuenta o de inicio de sesión.
3. Guarde la clave de acceso en un gestor de contraseñas sincronizado o en una llave de seguridad de hardware, según el nivel de seguridad física que desee.
4. Mantenga un método de autenticación de respaldo y guarde sus códigos de recuperación en algún lugar sin conexión a internet.
5. Solo elimine el SMS como factor una vez que la clave de acceso le permita iniciar sesión correctamente.
Empieza por las cuentas que contienen dinero o información de identidad: tu correo electrónico (la clave principal para restablecer contraseñas), tu cuenta de Exchange y tu gestor de contraseñas. Continúa con las demás. La migración completa puede durar una tarde, y la mayor parte del tiempo se dedica a esperar a que se carguen las páginas.
El veredicto: ¿claves de acceso, autenticación de dos factores o ambas?
En el debate entre claves de acceso y autenticación de dos factores (2FA), las claves de acceso son superiores en los ataques que realmente vacían las cuentas. El phishing y el intercambio de tarjetas SIM ignoran los códigos SMS y, a menudo, también los códigos de las aplicaciones, pero se topan con la barrera de las claves de acceso. Usa una clave de acceso siempre que esté disponible, considérala como la opción predeterminada en cualquier plataforma de intercambio de criptomonedas y mantén la 2FA basada en aplicaciones como respaldo para todo lo que aún no se haya actualizado. La verdadera pregunta no es en cuál confiar, sino la rapidez con la que puedes transferir las cuentas. ¿Cuál cambiarás primero?
