Seguridad

2FA (Autenticación de Dos Factores)

Mecanismo de seguridad que requiere dos formas distintas de verificación de identidad para acceder a una cuenta o sistema: algo que el usuario sabe (contraseña), algo que tiene (teléfono, token) o algo que es (biometría). En forense digital, el análisis de la configuración y bypass de 2FA es clave para investigar accesos no autorizados.

13 min de lectura

2FA (Autenticación de dos factores)

Los ataques de bypass de 2FA crecieron un 45% en 2025, generando pérdidas globales de 1.200 millones de dólares, un 60% más que el año anterior (Eftsure, 2025). Más del 70% de los ataques dirigidos a cuentas corporativas ya incorporan alguna técnica de evasión de autenticación multifactor (Menlo Security, 2026). A pesar de estas cifras, la 2FA sigue siendo una de las defensas más efectivas: Google reportó que el 100% de los ataques automáticos por bot, el 99% de los ataques masivos de phishing y el 66% de los ataques dirigidos se bloquean con una segunda capa de autenticación.

Definición técnica

La autenticación de dos factores (2FA), también denominada verificación en dos pasos o autenticación multifactor (MFA), es un mecanismo de seguridad que exige al usuario demostrar su identidad mediante dos categorías distintas de credenciales antes de conceder acceso a un sistema, cuenta o recurso.

Los tres factores de autenticación:

FactorDescripciónEjemplos
Algo que sabes (knowledge)Información memorizadaContraseña, PIN, pregunta seguridad
Algo que tienes (possession)Objeto físico o digitalTeléfono (SMS/app), token hardware, tarjeta inteligente
Algo que eres (inherence)Característica biométricaHuella dactilar, reconocimiento facial, iris

La 2FA requiere exactamente dos de estos factores. Cuando se exigen dos o más factores (incluyendo combinaciones de tres), se habla de MFA (Multi-Factor Authentication). Es importante distinguir que dos contraseñas no constituyen 2FA (son el mismo factor repetido).

Métodos comunes de 2FA:

Método               Seguridad    Usabilidad    Resistencia a phishing
─────────────────────────────────────────────────────────────────────
SMS OTP              Baja         Alta          Baja (interceptable)
Email OTP            Baja         Alta          Baja
App TOTP (Authy)     Media        Media         Baja (phishing proxy)
Push notification    Media-Alta   Alta          Media
FIDO2/WebAuthn       Muy alta     Alta          Alta (criptográfica)
Token hardware       Muy alta     Media         Alta (YubiKey, Titan)
Biometría + token    Muy alta     Media         Muy alta
TOTP vs HOTP

TOTP (Time-based One-Time Password, RFC 6238) genera códigos que cambian cada 30 segundos basándose en la hora actual y un secreto compartido. HOTP (HMAC-based OTP, RFC 4226) genera códigos basados en un contador incremental. TOTP es el estándar más utilizado en aplicaciones como Google Authenticator, Authy y Microsoft Authenticator.

Cómo funciona: flujo técnico de autenticación

  1. Primer factor: credenciales

    El usuario introduce su nombre de usuario y contraseña. El servidor verifica estas credenciales contra su base de datos (hash bcrypt/argon2). Si son correctas, solicita el segundo factor.

  2. Generación del segundo factor

    Según el método configurado:

    • SMS/Email: El servidor genera un OTP de 6 dígitos y lo envía al teléfono o correo registrado
    • TOTP: La app del usuario genera un código basado en el secreto compartido y la hora actual
    • Push: El servidor envía notificación a la app del usuario para aprobar/denegar
    • FIDO2: El navegador solicita al token hardware una firma criptográfica vinculada al dominio

  3. Verificación del segundo factor

    El usuario proporciona el código o aprueba la notificación. El servidor verifica la validez del segundo factor. Solo tras verificar ambos factores se concede acceso.

  4. Generación de sesión

    El servidor genera un token de sesión (JWT, cookie) que permite al usuario navegar sin repetir la autenticación durante un tiempo determinado.

Técnicas de bypass de 2FA

Desde la perspectiva forense, es crucial comprender cómo los atacantes evaden la 2FA para poder investigar accesos no autorizados:

Principales técnicas de evasión:

TécnicaComplejidadEfectividadDetección
Adversary-in-the-Middle (AiTM)MediaMuy altaMedia
SIM swappingMediaAlta (solo SMS)Baja
Fatiga de push (MFA bombing)BajaMediaAlta
Social engineeringBajaMediaBaja
Session hijackingAltaAltaMedia
Malware (keylogger + screen capture)AltaMuy altaMedia
SS7 interceptionMuy altaAlta (solo SMS)Muy baja

Adversary-in-the-Middle (AiTM): Es la técnica más prevalente en 2025-2026. Frameworks como Evilginx2, Modlishka y el reciente Sneaky 2FA actúan como proxies en tiempo real entre la víctima y el servicio legítimo. Cuando la víctima introduce sus credenciales y código 2FA en la página falsa, el proxy los retransmite al servicio real, captura la cookie de sesión autenticada y la reutiliza para obtener acceso completo.

SIM swapping: El atacante convence a la operadora de telefonía para transferir el número de la víctima a una SIM bajo su control. En España, Europol desmanteló la Operación Quinientos Dusim, donde una banda robó 3 millones de euros mediante esta técnica combinada con troyanos bancarios.

SMS no es 2FA segura

El NIST (SP 800-63B) desaconseja formalmente el uso de SMS como segundo factor desde 2017. Los SMS son vulnerables a SIM swapping, intercepción SS7, malware de reenvío SMS y redirección de operadora. Siempre que sea posible, se debe usar TOTP, FIDO2 o push notification.

2FA en investigación forense

Para un perito informático, la 2FA aparece en múltiples escenarios de investigación:

Artefactos forenses relacionados con 2FA:

  • Logs de autenticación: Registros de intentos de login exitosos y fallidos con timestamps, IPs y método 2FA utilizado
  • Registros de cambio de 2FA: Cuándo se activó, desactivó o cambió el método de segundo factor
  • Tokens de sesión: Cookies o JWTs generados tras autenticación exitosa, útiles para determinar si una sesión fue legítima
  • Registros de operadora: En casos de SIM swap, los registros de la operadora telefónica documentan cuándo se realizó el cambio de SIM
  • Logs de push notifications: Registros del servicio de push que muestran si la notificación fue enviada y si fue aprobada o denegada
  • Configuración TOTP: El secreto compartido (semilla) almacenado en la app de autenticación del dispositivo

Análisis forense de bypass de 2FA:

Indicadores de compromiso (IoCs) de bypass AiTM:
─────────────────────────────────────────────────
1. Login exitoso desde IP/geolocalización inusual
2. Cookie de sesión reutilizada desde IP diferente
3. Cambio de configuración de seguridad inmediatamente después del login
4. Múltiples intentos de 2FA en ventana corta (MFA bombing)
5. Login con user-agent diferente al habitual del usuario
6. Acceso a correo + cambio de contraseñas en otros servicios

Caso práctico: acceso no autorizado a cuenta bancaria con bypass 2FA

Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.

Contexto: Un empresario de Barcelona sufrió una transferencia no autorizada de 47.000 EUR desde su cuenta de banca online. El banco alegó que el acceso se realizó con credenciales válidas y código SMS, por lo que rechazó el reembolso atribuyendo negligencia grave al cliente.

Investigación forense:

  1. Análisis del dispositivo móvil: Extracción forense del smartphone del cliente. Se identificó un SMS de phishing recibido 48 horas antes de la transferencia que suplantaba al banco
  2. Registros de la operadora: Se solicitaron judicialmente los logs de la operadora, que revelaron un cambio de SIM (SIM swap) realizado en una tienda de la operadora con DNI falsificado 24 horas antes
  3. Logs bancarios: El banco proporcionó logs que mostraban el login desde una IP asociada a una VPN comercial, no desde la IP habitual del cliente
  4. Análisis del SMS phishing: El enlace del SMS dirigía a un dominio typosquatting que replicaba la web del banco. El dominio fue registrado 72 horas antes del ataque
  5. Reconstrucción del ataque: El atacante obtuvo las credenciales mediante la web falsa, realizó SIM swap para recibir el SMS OTP, y ejecutó la transferencia en menos de 15 minutos

Resultado: El informe pericial demostró que no hubo negligencia del cliente (el phishing era sofisticado) y que el banco no implementó controles adicionales (geolocalización, análisis de comportamiento). El juzgado condenó al banco a reembolsar los 47.000 EUR más intereses.

Normativa de servicios de pago:

  • Directiva PSD2 (UE 2015/2366): Obliga a aplicar autenticación reforzada del cliente (SCA - Strong Customer Authentication) con al menos dos factores independientes para pagos electrónicos. El incumplimiento por parte de la entidad bancaria invierte la carga de la prueba
  • RDL 19/2018: Transposición de la PSD2 al ordenamiento español. Art. 44: la entidad de pago asume responsabilidad por operaciones no autorizadas salvo que demuestre fraude o negligencia grave del usuario

Código Penal:

  • Art. 197.1-3 CP: Descubrimiento y revelación de secretos. El bypass de 2FA para acceder a cuentas ajenas constituye un acceso no autorizado a datos reservados
  • Art. 248.2 CP: Estafa informática. La utilización de credenciales obtenidas mediante bypass de 2FA para realizar transferencias fraudulentas
  • Art. 264 CP: Daños informáticos. Si el acceso no autorizado mediante bypass de 2FA causa daños en sistemas

RGPD y protección de datos:

  • Art. 32 RGPD: Obliga a las organizaciones a implementar medidas técnicas apropiadas de seguridad, incluyendo autenticación multifactor para acceso a datos personales
  • Directiva NIS2: Exige MFA como medida de seguridad básica para entidades esenciales e importantes

Conceptos relacionados

  • Credential harvesting - Obtención masiva de credenciales, paso previo al bypass de 2FA
  • Phishing - Vector principal para ataques de tipo Adversary-in-the-Middle contra 2FA
  • Ingeniería social - Técnica utilizada para ataques de fatiga MFA y SIM swapping
  • Man-in-the-Middle - Base técnica de los ataques AiTM contra 2FA
  • Spear phishing - Ataques dirigidos que combinan phishing personalizado con bypass 2FA
  • Vishing - Llamadas fraudulentas para obtener códigos OTP de la víctima

Preguntas frecuentes

¿La 2FA por SMS es segura?

No se considera segura desde 2017, cuando el NIST desaconsejó formalmente su uso. Los SMS son vulnerables a SIM swapping (el atacante convence a la operadora de transferir el número), intercepción del protocolo SS7 (obsoleto pero aún en uso), malware de reenvío de SMS, y phishing AiTM en tiempo real. Se recomienda migrar a TOTP (apps como Authy), FIDO2 (YubiKey) o push notifications como segundo factor.

¿Puede un perito demostrar que un acceso fue no autorizado a pesar de la 2FA?

Si. El análisis forense puede demostrar acceso no autorizado analizando: la IP y geolocalización del login (VPN vs ubicación habitual), el user-agent del navegador, registros de la operadora que evidencien SIM swap, artefactos de phishing en el dispositivo de la víctima, y discrepancias en el timeline entre la actividad normal del usuario y el acceso fraudulento. Bajo la PSD2, si la entidad de pago no implementó controles adecuados, la carga de la prueba recae sobre ella.

¿Qué método de 2FA es el más seguro?

Los tokens hardware FIDO2/WebAuthn (como YubiKey o Google Titan) ofrecen la mayor seguridad porque vinculan criptográficamente la autenticación al dominio legítimo, haciendo imposible los ataques de phishing AiTM. El segundo método más seguro son las apps TOTP como Authy o Google Authenticator, siempre que el usuario verifique el dominio antes de introducir el código.

¿Qué relación tiene la 2FA con el SIM swapping?

El SIM swapping es una técnica diseñada específicamente para evadir la 2FA basada en SMS. El atacante obtiene una nueva SIM con el número de la víctima mediante ingeniería social o documentación falsa en la operadora. Una vez controla el número, recibe los SMS OTP destinados a la víctima. Por eso es fundamental no utilizar SMS como único segundo factor de autenticación.

Guía de implementación de 2FA para organizaciones

Para empresas que deseen implementar 2FA de forma segura:

Priorización por nivel de riesgo:

PrioridadCuentas/SistemasMétodo recomendado
CríticaAdministradores de dominio, cuentas root, acceso a datos sensiblesFIDO2 hardware (YubiKey)
AltaEmail corporativo, VPN, acceso remoto, bancaTOTP (Authy) + FIDO2 como backup
MediaAplicaciones SaaS, herramientas internasTOTP o Push notifications
BajaSistemas internos no sensiblesPush notifications

Errores comunes en la implementación:

  • Solo SMS: Utilizar únicamente SMS como segundo factor cuando existen alternativas más seguras
  • Sin backup de recuperación: No configurar métodos de recuperación alternativos, dejando a usuarios bloqueados si pierden el dispositivo
  • 2FA opcional: Dejar la 2FA como opción voluntaria en lugar de obligatoria para cuentas con acceso a datos sensibles
  • Sin registro de eventos 2FA: No logear los eventos de autenticación de segundo factor, perdiendo evidencia forense valiosa
  • Mismo dispositivo para ambos factores: Permitir que contraseña y OTP se introduzcan desde el mismo dispositivo anula el beneficio de la separación de factores

Plan de migración de SMS a TOTP/FIDO2:

  1. Auditoría: Inventariar todos los sistemas con 2FA-SMS activa y los usuarios afectados
  2. Piloto: Implementar TOTP/FIDO2 con un grupo reducido de usuarios técnicos
  3. Formación: Preparar guías y sesiones de formación para todos los usuarios
  4. Migración gradual: Activar TOTP/FIDO2 como opción y comunicar fecha límite para desactivación de SMS
  5. Desactivación de SMS: Eliminar SMS como opción de segundo factor, manteniendo solo métodos seguros

Passkeys: el futuro de la autenticación sin contraseña

Las passkeys representan la evolución natural de la 2FA hacia un modelo sin contraseña (passwordless):

  • Basadas en el estándar FIDO2/WebAuthn, las passkeys eliminan la necesidad de contraseñas por completo
  • Cada passkey está vinculada criptográficamente a un dominio específico, haciendo imposibles los ataques de phishing
  • Los principales proveedores (Google, Apple, Microsoft) ya soportan passkeys de forma nativa en sus ecosistemas
  • Para el perito forense, las passkeys representan un cambio fundamental: los ataques de credential harvesting y phishing de contraseñas se vuelven obsoletos, pero emergen nuevas superficies de ataque relacionadas con la sincronización de passkeys entre dispositivos

Estado de la 2FA en España: datos y tendencias

Adopción de 2FA en España:

  • Solo el 37% de los usuarios españoles de internet activan la 2FA en sus cuentas personales (Eurobarómetro 2024)
  • El 78% de las empresas del IBEX 35 exigen MFA para acceso a sistemas internos, pero solo el 34% de las PYMEs lo implementan
  • La banca online en España tiene la mayor adopción de 2FA gracias a la obligación de la PSD2 (SCA), aunque el método predominante sigue siendo SMS OTP
  • INCIBE reportó que el 45% de los incidentes de seguridad gestionados en 2025 involucraron credenciales comprometidas, muchos de los cuales podrían haberse evitado con 2FA

Jurisprudencia española relevante:

La jurisprudencia española sobre 2FA en casos de fraude bancario es cada vez más favorable al consumidor:

  • SAP Madrid 2023: Condenó a entidad bancaria a reembolsar 35.000 EUR por SIM swap, al considerar que el SMS no es un segundo factor “independiente” en el sentido de la PSD2
  • SAP Barcelona 2024: Estableció que la responsabilidad es del banco cuando el único segundo factor ofrecido es SMS, al existir alternativas más seguras disponibles en el mercado
  • SAP Valencia 2025: Determinó que el banco debe demostrar que informó al cliente de la disponibilidad de métodos 2FA más seguros que SMS para eximirse de responsabilidad

Estas sentencias refuerzan la posición del perito informático al evaluar si las medidas de seguridad implementadas eran “apropiadas al riesgo” según el estado del arte tecnológico.

Referencias y fuentes

  1. Eftsure - “Two-Factor Authentication Statistics 2025: First Line of Defence”. eftsure.com

  2. Menlo Security - “MFA Bypass: How Attackers Beat 2FA”, 2026. menlosecurity.com

  3. Google Security Blog - “New research: How effective is basic account hygiene at preventing hijacking”, estudio sobre efectividad de 2FA. security.googleblog.com

  4. NIST SP 800-63B - “Digital Identity Guidelines: Authentication and Lifecycle Management”, desaconsejando SMS OTP. pages.nist.gov

  5. Europol - “Operation Quinientos Dusim: Arrests of SIM swappers in Spain”. europol.europa.eu

  6. Directiva (UE) 2015/2366 (PSD2) - Autenticación reforzada del cliente. eur-lex.europa.eu

  7. RDL 19/2018 - Servicios de pago y otras medidas urgentes en materia financiera. boe.es

  8. Sekoia - “Sneaky 2FA: Exposing a New AiTM Phishing Kit”, enero 2026. sekoia.io

  9. FIDO Alliance - “FIDO2: WebAuthn & CTAP”, especificaciones técnicas. fidoalliance.org

  10. INCIBE - “Guía de autenticación robusta para empresas”, Instituto Nacional de Ciberseguridad. incibe.es

¿Necesitas un peritaje forense?

Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.

Solicitar Consulta Gratuita
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp