Autenticación de dos factores (2FA)
La autenticación de dos factores (2FA, MFA) añade a la contraseña un segundo paso de verificación al iniciar sesión. Aunque alguien conozca la contraseña, sin el segundo factor no podrá acceder a la cuenta. Para el negocio es una protección básica de los datos de trabajo: tareas, clientes, documentos y comunicaciones.
En LadVen OS cada empleado puede activar la 2FA por sí mismo en su perfil, y el administrador puede definir una política para toda la empresa y para los participantes externos (extranet).
Cómo funciona
Con la 2FA activada, el inicio de sesión consta de dos pasos:
- Usuario y contraseña, como de costumbre.
- Un código de un solo uso de la aplicación de autenticación de tu teléfono.
El código cambia cada pocas decenas de segundos, por lo que no se puede reutilizar ni interceptar durante mucho tiempo. Si el teléfono no está disponible, en lugar del código puedes introducir uno de los códigos de recuperación que guardaste al activar la 2FA.
Cómo activar la 2FA en el perfil
La activación lleva un par de minutos. Instala de antemano en el teléfono una aplicación de autenticación: Google Authenticator, Microsoft Authenticator, Authy o similar.
- Abre tu perfil y localiza la sección de seguridad con el bloque de autenticación de dos factores.
- Pulsa activar la 2FA. Para confirmar tu identidad, el sistema te pedirá introducir la contraseña actual.
- Aparecerá un código QR. Abre la aplicación de autenticación y escanéalo: en la aplicación se añadirá una entrada con tu cuenta de LadVen OS y un código que va cambiando.
- Introduce el código actual de la aplicación para confirmar que está configurada correctamente.
- El sistema mostrará los códigos de recuperación. Guárdalos de inmediato: es el único momento en que se ven por completo.
Tras la activación, la 2FA pasa a ser obligatoria para iniciar sesión en tu cuenta.
Si el código QR no se escanea, en la aplicación normalmente puedes añadir la cuenta manualmente con la clave de texto que se muestra junto al código.
Códigos de recuperación
Los códigos de recuperación son códigos de reserva de un solo uso para cuando la aplicación de autenticación no está disponible: el teléfono se pierde, se descarga, se cambia o se reinstala.
- Guarda los códigos en un lugar seguro: gestor de contraseñas, nota protegida, copia impresa en una caja fuerte. No los guardes junto a la contraseña ni los envíes por chats abiertos.
- Cada código funciona una sola vez. Después de usarlo deja de ser válido.
- Cuando se agoten los códigos o sospeches que alguien los ha visto, genera un nuevo conjunto en el perfil. Los antiguos dejan de funcionar entonces.
Los códigos de recuperación son el acceso a tu cuenta. Trátalos como una contraseña.
Dispositivos de confianza
Para no introducir el código en cada inicio de sesión desde tu ordenador de trabajo personal, puedes marcar el navegador como de confianza. En un dispositivo de confianza no se solicita el segundo factor durante un tiempo.
- Marca como de confianza solo los dispositivos de trabajo personales, no los ordenadores compartidos o ajenos.
- Si un dispositivo se pierde o alguien pudo obtener acceso a él, revoca la confianza: en el siguiente inicio de sesión se volverá a solicitar el segundo factor.
- La confianza tiene un límite de tiempo y se guarda en un navegador concreto: tras borrar los datos del navegador o al vencer el plazo, el código se solicitará de nuevo.
Inicio de sesión con el segundo factor
Cuando la 2FA está activada, después del usuario y la contraseña aparece un campo para el código de un solo uso:
- Abre la aplicación de autenticación y consulta el código actual para LadVen OS.
- Introduce el código antes de que cambie. Si no llegas a tiempo, espera al nuevo código e introdúcelo.
- Si la aplicación no está disponible, cambia a introducir un código de recuperación.
Si el código no es válido, comprueba que el teléfono tiene la hora correcta (las aplicaciones de autenticación dependen de la hora exacta) y que estás introduciendo el código para la cuenta de LadVen OS y no para otro servicio.
Cómo desactivar la 2FA
Puedes desactivar la 2FA en la misma sección del perfil. El sistema te pedirá confirmar tu identidad con la contraseña y el segundo factor: esto protege frente a que alguien la desactive tras acceder a una pantalla desbloqueada.
Desactiva la 2FA de forma consciente: la cuenta volverá a estar protegida solo por la contraseña. Si la 2FA es obligatoria según la política de la empresa, no podrás desactivarla por tu cuenta; contacta con el administrador.
Para el administrador: política de 2FA de la empresa
El administrador define para quién es obligatorio el segundo factor. La política se configura por separado para los empleados del portal y para los participantes externos de la extranet, con varios niveles:
| Nivel | Qué significa |
|---|---|
| Desactivado | La 2FA no está disponible o no se usa. |
| Opcional | Cada uno activa la 2FA por sí mismo; no es obligatoria. |
| Obligatoria para administradores | Los empleados con permisos administrativos deben usar la 2FA. |
| Obligatoria para todos | Todos los empleados (o todos los participantes externos) deben activar la 2FA. |
Elige el nivel según la sensibilidad de los datos y la madurez del equipo. Una ruta práctica de implantación: primero «opcional» con una petición de activarla, luego «obligatoria para administradores» y después «obligatoria para todos», cuando el equipo se ha habituado al proceso y conoce los códigos de recuperación.
Cuando rige una política obligatoria, el empleado que no tenga la 2FA configurada deberá completar la configuración para poder seguir trabajando.
Para el administrador: restablecer la 2FA de un empleado
Si un empleado pierde el acceso al segundo factor (teléfono y códigos de recuperación perdidos, baja con traspaso de la cuenta, compromiso de seguridad), el administrador realiza un restablecimiento forzado de la 2FA en la lista de empleados. Es una acción sensible, por lo que requiere confirmación.
Tras el restablecimiento:
- se retira la configuración actual de 2FA del empleado;
- en el siguiente inicio de sesión vuelve a completar la configuración si rige una política obligatoria;
- los códigos de recuperación y los dispositivos de confianza anteriores dejan de ser válidos.
Verifica la identidad del empleado antes del restablecimiento por un canal independiente: restablecer la 2FA retira la protección de la cuenta, por lo que no debe usarse a partir de una solicitud sin verificar.
Buenas prácticas
- Activa la 2FA para todos los que tengan acceso a clientes, documentos, finanzas o ajustes administrativos.
- Guarda los códigos de recuperación en cuanto actives la 2FA y mantenlos separados de la contraseña.
- No marques como de confianza dispositivos compartidos o ajenos.
- Implanta la política obligatoria por fases y avisa al equipo con antelación sobre los códigos de recuperación para que nadie pierda el acceso.
- Restablece la 2FA de un empleado solo tras verificar su identidad por un canal fiable.
Errores frecuentes
- Activar la 2FA sin guardar los códigos de recuperación: al perder el teléfono, el acceso solo se recupera a través del administrador.
- Guardar los códigos de recuperación junto a la contraseña o en un chat compartido: esto anula la protección.
- Marcar como de confianza un ordenador compartido: el segundo factor deja de proteger el inicio de sesión.
- Implantar la política obligatoria de golpe, sin aviso: parte del equipo pierde el acceso y satura al administrador con solicitudes de restablecimiento.
- Hora incorrecta en el teléfono: los códigos de la aplicación de autenticación no son válidos aunque todo esté configurado correctamente.