La autenticación de dos factores (2FA) lleva tiempo siendo el estándar de la seguridad digital. La contraseña ya no es suficiente: la mayoría de los servicios requiere un código adicional de un solo uso desde una aplicación especializada. Una de las soluciones más populares sigue siendo Google Authenticator. La aplicación genera códigos breves de confirmación que cambian cada pocos segundos.
Mientras el teléfono esté a mano, el sistema funciona casi sin que el usuario lo note. Pero la situación cambia drásticamente cuando el teléfono se pierde, se rompe o es robado. El usuario descubre de repente que no puede acceder a la cuenta. La contraseña se conoce, pero el servicio requiere un código desde la aplicación instalada en el dispositivo desaparecido.
A primera vista la situación parece un callejón sin salida. Sin embargo, la mayoría de los servicios han previsto estos casos y han añadido mecanismos de recuperación. Lo importante es entender qué opciones existen y qué acciones hay que emprender. En caso contrario, el proceso de recuperación puede prolongarse durante semanas.
A continuación se presenta un algoritmo práctico de recuperación de acceso usando Google Authenticator y servicios online típicos.
Por qué la pérdida del teléfono con 2FA se convierte en un problema
Google Authenticator funciona generando códigos de un solo uso basados en una clave secreta. Esa clave se almacena únicamente en el dispositivo del usuario. El servidor conoce la misma clave y puede verificar la validez del código.
Cuando la aplicación en el smartphone se elimina o el dispositivo desaparece, la clave secreta se pierde en la práctica. Sin la clave no es posible generar el código de confirmación correcto. Por eso el acceso normal a la cuenta deja de funcionar.
Algunos usuarios suponen que los códigos se pueden recuperar desde la cuenta de Google. En la práctica, Google Authenticator no sincroniza automáticamente los datos entre dispositivos. La aplicación guarda los secretos de forma local.
Debido a esa arquitectura, la seguridad es considerablemente mayor. Incluso si un atacante consigue la contraseña, la falta del código de un solo uso impide el acceso. No obstante, al perder el smartphone ese mismo mecanismo puede volverse en contra del propietario de la cuenta.
Por eso la recuperación del acceso casi siempre depende de los mecanismos de respaldo que el usuario haya preparado de antemano.
Uso de códigos de recuperación
Muchos servicios ofrecen guardar códigos de recuperación inmediatamente después de activar la autenticación de dos factores. El conjunto suele consistir en 8–10 combinaciones de un solo uso. Cada código se puede usar una vez en lugar del código habitual de la aplicación.
Si se conservan esos códigos, la recuperación se realiza rápidamente:
- el usuario introduce el nombre de usuario y la contraseña;
- en la fase de solicitud de 2FA elige el ingreso mediante un código de recuperación;
- introduce una de las combinaciones guardadas;
- accede a la configuración de seguridad de la cuenta.
Tras el acceso es necesario desactivar de inmediato la antigua autenticación de dos factores y vincular el nuevo smartphone. El procedimiento normalmente tarda unos minutos.
Los códigos de recuperación es mejor guardarlos fuera del smartphone: en un gestor de contraseñas, en papel o en un archivo cifrado.
Recuperación mediante la cuenta del servicio
Si no hay códigos de recuperación, la mayoría de los servicios ofrece un procedimiento de recuperación de acceso. El algoritmo depende de la plataforma concreta, pero el principio general es similar.
El servicio pide confirmar la identidad del usuario por vías alternativas. Entre ellas pueden estar:
- confirmación por correo electrónico;
- SMS al número asociado;
- un código desde un dispositivo de respaldo;
- verificación de identidad a través del servicio de atención al cliente.
Por ejemplo, Google dispone de una página de recuperación de la cuenta. El usuario realiza el proceso de verificación de identidad mediante el formulario en recuperación de la cuenta de Google. Tras la comprobación, el sistema puede desactivar temporalmente la autenticación de dos factores.
A veces los servicios piden esperar varios días. Esa demora reduce el riesgo de que un atacante eluda la protección con demasiada rapidez.
Transferir códigos a un nuevo smartphone
Tras recuperar el acceso es necesario configurar de nuevo la autenticación de dos factores. En Google Authenticator, añadir cuentas se hace mediante un código QR o una clave secreta.
El procedimiento estándar es el siguiente:
- abrir la configuración de seguridad de la cuenta;
- desactivar la antigua autenticación de dos factores;
- activar de nuevo la 2FA;
- escanear el nuevo código QR con Google Authenticator;
- confirmar el acceso con el código generado.
Después de esto la aplicación empezará a generar nuevos códigos de un solo uso. Las claves antiguas se anulan automáticamente.
Por precaución conviene volver a guardar los códigos de recuperación. Muchos usuarios omiten este paso hasta que se enfrentan a la pérdida del dispositivo.
Cómo reducir el riesgo de bloqueo de cuentas
La pérdida del smartphone suele ocurrir de forma inesperada. Pero unas medidas sencillas reducen casi por completo el riesgo de quedar bloqueado.
En primer lugar, conviene guardar los códigos de recuperación en un lugar seguro. Por ejemplo, dentro de un gestor de contraseñas como Bitwarden o 1Password.
En segundo lugar, es útil añadir un método alternativo de verificación de acceso. Muchos servicios permiten una dirección de correo de respaldo o un número de teléfono adicional.
En tercer lugar, algunos usuarios mantienen un segundo autenticador en un dispositivo de reserva. Por ejemplo, en una tableta o en un teléfono antiguo que quede en casa.
Por último, conviene revisar periódicamente la configuración de seguridad de las cuentas. La comprobación lleva unos minutos, pero ayuda a asegurarse de que el acceso puede recuperarse incluso en una situación desagradable.
Conclusión
La pérdida del smartphone con Google Authenticator instalado parece un problema grave solo a primera vista. Los servicios modernos reconocen esos riesgos y ofrecen varias vías para recuperar el acceso.
La opción más rápida es usar los códigos de recuperación guardados con antelación. Si no hay códigos, habrá que pasar por el proceso de verificación de identidad mediante el sistema de recuperación de la cuenta. Ese procedimiento puede llevar tiempo, pero en la mayoría de los casos se logra recuperar el acceso.
El episodio del teléfono perdido ilustra una verdad sencilla sobre la seguridad digital: la protección debe ir acompañada de un plan de recuperación. Unos cuantos mecanismos de respaldo preparados de antemano pueden ahorrar horas de angustia y evitar la pérdida de cuentas importantes.
Por eso, tras activar la autenticación de dos factores, conviene pensar de inmediato en opciones alternativas de acceso. Cuando todo funciona con normalidad, esas medidas parecen excesivas. Pero son las que salvan la situación cuando el smartphone desaparece inesperadamente.
