Autenticación en dos pasos:tu cuenta, blindada contra la IA
Entiende por qué la autenticación en dos pasos (2FA) se ha vuelto imprescindible para proteger tus datos fiscales y cómo activarla en menos de dos minutos.
Vivimos un momento sin precedentes. La inteligencia artificial ha transformado la manera en que trabajamos, pero también ha puesto herramientas sofisticadas en manos de quienes buscan vulnerar cuentas ajenas. Hoy un atacante puede generar miles de intentos de acceso por segundo, clonar voces, falsificar correos perfectamente redactados y adivinar contraseñas con modelos entrenados en filtraciones masivas. La contraseña, por sí sola, ya no es suficiente.
crecimiento de ataques automatizados con IA en los últimos dos años
de las brechas involucran contraseñas filtradas o débiles
de los ataques a cuentas se bloquean con 2FA activado
Fuentes: reportes públicos de Microsoft Security (2024), Verizon DBIR (2024) y CISA. Las cifras se presentan como referencia y pueden variar según el sector.
Conceptos
¿Qué es la autenticación en dos pasos?
La autenticación en dos pasos — también llamada 2FA (del inglés two-factor authentication) o MFA (autenticación multifactor) — es un mecanismo de seguridad que exige dos pruebas de identidad distintas antes de permitirte entrar a tu cuenta. La primera es algo que sabes (tu contraseña). La segunda es algo que tienes (un código temporal generado en tu teléfono).
Contraseña
Algo que sabes. Se valida contra un hash bcrypt que nunca guarda el texto real.
Código temporal
Algo que tienes. Un número de 6 dígitos que cambia cada 30 segundos en tu celular.
Acceso concedido
Solo si ambas pruebas coinciden, tu sesión se abre. Si no, el intento se bloquea.
La analogía del cajero automático
Piensa en tu cajero: necesitas la tarjeta (algo que tienes) y el NIP (algo que sabes). Con una sola pieza el dinero no sale. 2FA aplica el mismo principio a tu cuenta de facturación: aunque alguien descubra tu contraseña, sin el código temporal no puede entrar.
Contexto
Por qué es crítico hoy — y no hace cinco años
Los mismos modelos de IA que te ayudan a redactar un correo o resumir un documento están siendo utilizados en sentido inverso. Hoy, un ciberdelincuente dispone — legalmente o desde foros clandestinos — de herramientas capaces de:
Phishing hiperrealista
Correos y sitios falsos generados con IA que imitan a la perfección el tono, logo y dominio de servicios legítimos. Ya no tienen errores ortográficos ni banderas evidentes.
Credential stuffing masivo
Bots que prueban millones de combinaciones de correo y contraseña filtradas en brechas anteriores contra todos los servicios que encuentran.
Clonación de voz e identidad
Con menos de 30 segundos de tu voz, un modelo puede suplantarte en una llamada de soporte para restablecer accesos.
Ataques de diccionario inteligentes
Modelos entrenados en patrones humanos que predicen contraseñas basándose en tu fecha de nacimiento, mascotas o empresa publicada en redes.
Lo que pierdes si una cuenta de facturación es comprometida
No son solo contraseñas. Tus CSD, RFC, histórico de CFDI, datos de clientes y proveedores están ahí. Un atacante podría emitir facturación apócrifa a tu nombre, exponerte a requerimientos del SAT o usar tus datos para ingeniería social contra tu cartera. El costo de recuperar una identidad fiscal comprometida es mucho mayor que dos minutos de configuración.
Guía práctica
Cómo activar 2FA en ContaDB
Nuestra recomendación
Usa Google Authenticator
Es gratuita, funciona sin conexión a internet, no requiere cuenta de Google para operar los códigos y está disponible para iPhone y Android. También son compatibles Microsoft Authenticator, Authy, 1Password y cualquier app que soporte el estándar TOTP (RFC 6238).
- 1
Instala Google Authenticator en tu teléfono
Descárgala desde App Store (iPhone) o Google Play (Android). La primera vez que la abras no te pedirá crear cuenta: simplemente presiona el botón + para agregar tu primer sitio.
- 2
Inicia sesión en ContaDB y abre Configuración
Una vez dentro de la plataforma, ve al menú lateral y entra en Configuración. Baja hasta la tarjeta “Autenticación en dos pasos” y presiona Activar 2FA.
- 3
Escanea el código QR con tu app
ContaDB te mostrará un código QR y una clave secreta. En Google Authenticator, toca + y elige “Escanear código QR”. Apunta la cámara al QR de la pantalla. Si no puedes escanear, escribe manualmente la clave secreta que aparece debajo del código.
Clave secreta (respaldo)
JBSWY3DPEHPK3PXPEscanea el QR o escribe esta clave manualmente si tu app lo solicita.
- 4
Ingresa el código de 6 dígitos
Google Authenticator mostrará un número de 6 dígitos que se renueva cada 30 segundos. Escríbelo en el campo de verificación de ContaDB y presiona Confirmar. Si el código ya está por expirar, espera a que aparezca el siguiente y usa ese.
- 5
Guarda tus códigos de recuperación
Al activar 2FA te entregamos 10 códigos de recuperación de un solo uso. Úsalos si pierdes tu teléfono o la app se desinstala. Guárdalos impresos en un lugar seguro o en tu gestor de contraseñas nunca los envíes por correo o WhatsApp.
Códigos de recuperación (ejemplo)A7F2-9K3P8M4N-Q1R5Z3X7-B9C2T5Y8-H2J6L9P3-K7M4Cada código funciona una sola vez. Guárdalos fuera del teléfono.
Buenas prácticas
Consejos para que tu 2FA sea realmente efectivo
Mantén tu teléfono bloqueado
Activa un PIN, patrón o biometría (huella/rostro). Si tu app de autenticación está abierta para cualquiera, el factor 'algo que tienes' deja de serlo.
Respalda tus códigos de recuperación
Impresos, en una caja fuerte o en un gestor de contraseñas con su propio 2FA. Nunca como captura en la galería del teléfono.
No compartas códigos por ningún motivo
ContaDB jamás te pedirá el código de 6 dígitos por correo, teléfono o chat. Si alguien lo pide, es un intento de fraude.
Desactiva 2FA si cambias de teléfono
Antes de formatear o cambiar de equipo, desactívalo y vuélvelo a activar en el nuevo dispositivo. Así evitas quedarte fuera.
Revisa tu correo de verificación
Mantén tu email actualizado en tu perfil: es tu canal de respaldo si pierdes el acceso a la app y a los códigos.
No uses 2FA por SMS si puedes evitarlo
Las apps TOTP como Google Authenticator son más seguras que los códigos por mensaje de texto, que pueden interceptarse mediante 'SIM swapping'.
Preguntas frecuentes
Dudas comunes sobre 2FA
¿Qué pasa si pierdo mi teléfono?
Usa uno de los 10 códigos de recuperación que guardaste al activar 2FA. Cada código funciona una sola vez. Si también los perdiste, escríbenos a nuestro correo de soporte desde el email con el que te registraste para iniciar un proceso de verificación de identidad.
¿Me va a pedir el código cada vez que entre?
Sí. Se solicita al iniciar sesión. Esto es justamente lo que hace segura a la autenticación en dos pasos: no hay sesiones 'eternas' que un atacante pueda secuestrar.
¿Funciona Google Authenticator sin internet?
Sí. Los códigos se generan localmente en tu teléfono usando el estándar TOTP (RFC 6238). No necesita conexión ni servidor de Google para mostrarte el número.
¿Puedo usar la misma app para varias cuentas?
Sí. Google Authenticator (y otras apps) permiten guardar decenas de sitios. Cada uno aparece con su propio nombre y su propio código.
¿Es obligatorio activar 2FA?
Hoy no lo es, pero sí es fuertemente recomendado, especialmente si tu cuenta administra CSD y emisión de CFDI. Evaluamos hacerlo obligatorio para cuentas con permisos administrativos en futuras versiones.
Dos minutos hoy, tranquilidad por años
La seguridad ya no es opcional. Activa la autenticación en dos pasos en tu cuenta de ContaDB y mantén tus datos fiscales fuera del alcance de cualquier IA maliciosa.
Configurar mi 2FAEste contenido es informativo y no sustituye la asesoría profesional en materia de ciberseguridad. ContaDB · https://contadb.mx