Cada vez que alguien completa una compra online y su banco le envía una notificación al móvil para confirmar el pago, está experimentando el doble factor de autenticación en acción. Lo mismo ocurre cuando un empleado accede al sistema de gestión de su empresa y, tras introducir su contraseña, recibe un código de seis dígitos por SMS. Es un proceso tan habitual que ya apenas genera fricción, pero su impacto sobre la seguridad digital es mucho mayor de lo que parece a primera vista.
El problema que el 2FA resuelve es estructural. Las contraseñas, por sí solas, son el eslabón más débil de la cadena de seguridad digital. Según el informe Cost of a Data Breach 2024 de IBM, el coste medio de una brecha de seguridad alcanzó los 4,88 millones de dólares en 2024, y una parte significativa de esas brechas tiene su origen en credenciales comprometidas. Añadir un segundo factor de verificación no elimina todos los riesgos, pero cambia radicalmente la ecuación de coste para el atacante.
Cómo funciona el doble factor de autenticación
El principio es sencillo: para acceder a un servicio o completar una transacción, no basta con demostrar que se conoce la contraseña. Hay que demostrar también que se posee algo, o que se es alguien.
Los sistemas de seguridad distinguen tres categorías de factores. El primero es el conocimiento, algo que el usuario sabe, como una contraseña o un PIN. El segundo es la posesión, algo que el usuario tiene, como un teléfono móvil, un token físico o una tarjeta de coordenadas. El tercero es la inherencia, algo que el usuario es, a través de biometría como la huella dactilar o el reconocimiento facial.
El doble factor de autenticación combina exactamente dos de estos tres elementos en cada verificación. El ejemplo más común en pagos es el siguiente: el usuario introduce su contraseña, conocimiento, y acto seguido recibe en su móvil un código de un solo uso, el OTP (One-Time Password), posesión. Solo si ambos factores son correctos se autoriza la operación.
Lo que hace robusto este sistema no es la complejidad de cada factor por separado, sino su independencia. Que un atacante obtenga la contraseña de un usuario, algo relativamente habitual a través de filtraciones de bases de datos o phishing, no le sirve de nada si no dispone también del dispositivo físico asociado. Según datos del equipo de seguridad de identidad de Microsoft, más del 99,9% de las cuentas comprometidas no tenían activado el MFA, lo que confirma que el segundo factor es la barrera más efectiva contra los ataques de credenciales.
Conviene subrayarlo: existen varios tipos de segundo factor con niveles de seguridad distintos. Los SMS son el método más extendido pero también el más vulnerable, ya que pueden interceptarse mediante ataques de SIM swapping. Las aplicaciones de autenticación, como Google Authenticator o Microsoft Authenticator, y la biometría ofrecen una protección considerablemente más sólida.
El 2FA en los pagos online: de recomendación a obligación regulatoria
En el sector de pagos, el doble factor de autenticación dejó de ser una buena práctica para convertirse en un requisito legal con la entrada en vigor de la PSD2, la Segunda Directiva Europea de Servicios de Pago. Desde enero de 2021, la Autenticación Reforzada del Cliente, conocida como SCA por sus siglas en inglés, es obligatoria para la mayoría de pagos electrónicos en el Espacio Económico Europeo, según establece la Autoridad Bancaria Europea (EBA).
La SCA es, en esencia, la versión regulada del 2FA aplicada a pagos. Cuando un usuario compra en un eCommerce, el banco emisor de su tarjeta debe verificar su identidad combinando al menos dos de los tres factores de autenticación. En la práctica, esto se implementa a través del protocolo 3D Secure 2 (3DS2), que integra la verificación en el propio flujo de compra de forma más fluida que su versión anterior.
La normativa contempla exenciones que permiten omitir la autenticación reforzada en determinadas situaciones: pagos inferiores a 30 euros, siempre que no se superen 100 euros acumulados o cinco operaciones consecutivas sin autenticación; suscripciones recurrentes de importe y periodicidad fija; o transacciones con comercios que el usuario ha incluido en su lista de confianza. Estas exenciones tienen un impacto directo en la tasa de conversión del checkout, lo que las convierte en una palanca relevante para cualquier comercio que opere en Europa.
Ventajas reales y limitaciones que conviene conocer
La adopción generalizada del 2FA ha tenido un efecto medible sobre el fraude digital. La investigación de Google muestra que añadir un segundo factor puede bloquear prácticamente el 100% de los ataques automatizados con bots, el 99% de los ataques de phishing masivo y el 66% de los ataques dirigidos. Son cifras relevantes, especialmente teniendo en cuenta que el phishing sigue siendo el principal vector de entrada para los ciberataques en el sector financiero.
Pero sería un error presentar el 2FA como una solución definitiva. Tiene vulnerabilidades documentadas que el sector ya conoce bien.
El SIM swapping consiste en que un atacante convence a la operadora telefónica para transferir el número de la víctima a una SIM bajo su control, lo que le permite interceptar los SMS de verificación. Los ataques AiTM (Adversary-in-the-Middle), documentados por el equipo de inteligencia de amenazas Mandiant en el informe M-Trends 2024, interceptan en tiempo real las sesiones autenticadas, capturando tanto la contraseña como el código de un solo uso antes de que expire. Y la biometría, aunque robusta, tampoco es infalible frente a técnicas de suplantación avanzadas.
El 2FA mejora sustancialmente la seguridad, pero debe entenderse como una capa dentro de una estrategia más amplia, no como el único mecanismo de protección. La gestión dinámica del riesgo, que analiza el comportamiento del usuario y el contexto de cada transacción para decidir cuándo exigir autenticación adicional, es el paso siguiente natural.
Existe también una fricción de usuario que no puede ignorarse. En Reino Unido, según el State of IT 2024 de JumpCloud, el 67% de los profesionales de IT reconoce que añadir medidas de seguridad adicionales genera más fricción en la experiencia del usuario. En el entorno de pagos, esa fricción tiene un coste directo en conversión, lo que refuerza la necesidad de implementar el 2FA de forma inteligente y no solo como un requisito de cumplimiento.
Qué deben tener en cuenta comercios y plataformas al implementarlo
Para los comercios que operan en Europa, la implementación del 2FA en pagos no es opcional, sino un requisito de cumplimiento con consecuencias directas sobre la tasa de aprobación de transacciones. Un checkout que no soporte correctamente el protocolo 3DS2 verá aumentar el rechazo de pagos por parte de los bancos emisores.
Los aspectos críticos a gestionar son tres. El primero es la integración con el PSP o pasarela de pago: debe asegurarse de que el proveedor de servicios de pago soporta 3DS2 y gestiona correctamente las exenciones disponibles bajo PSD2. El segundo es la gestión de exenciones: aplicar correctamente las exenciones, como la del análisis de riesgo en transacciones de bajo importe, puede mejorar significativamente la experiencia de checkout sin comprometer el cumplimiento normativo. El tercero es la comunicación con el usuario: los mensajes de verificación deben ser claros, rápidos y accesibles desde el canal donde el usuario está completando la compra, ya sea web o app.
La tensión entre seguridad y conversión es real, pero gestionable. Los comercios que trabajan con proveedores que permiten configurar dinámicamente los umbrales de autenticación pueden calibrar ese equilibrio de forma más precisa que aquellos que aplican reglas estáticas.
Un estándar mínimo que sigue evolucionando
El doble factor de autenticación es, hoy, la medida de seguridad digital con mejor ratio entre coste de implementación e impacto preventivo. Eso no lo convierte en la solución definitiva a todos los problemas de fraude, pero sí en el estándar mínimo razonable para cualquier servicio que gestione datos sensibles o transacciones económicas, sobre todo en épocas pico como las rebajas.
El sector de pagos europeo lleva varios años conviviendo con la SCA como obligación regulatoria. El reto ya no es si implementar el 2FA, sino cómo hacerlo de forma que proteja sin penalizar la experiencia del usuario. Esa calibración, que combina análisis de riesgo en tiempo real, gestión inteligente de exenciones y autenticación adaptativa, es donde se juega realmente la diferencia entre un checkout seguro y un checkout que convierte.
La autenticación evoluciona al mismo ritmo que las amenazas. La pregunta para comercios y proveedores no es si actualizar sus mecanismos de verificación, sino con qué criterio hacerlo.
¿Quieres saber cómo la gestión de la autenticación afecta directamente a tus tasas de aprobación? En Sipay podemos ayudarte a configurar tu estrategia de pagos con las herramientas adecuadas.
