El Contexto: Filtraciones de Credenciales en Chile
En mayo de 2026, la ANCI emitió alertas sobre filtraciones de credenciales en plataformas como Rutify, que exponían datos de usuarios de instituciones públicas y privadas. La investigación determinó que no se trataba de hackeos directos a los sistemas institucionales, sino de credenciales robadas por malware del tipo infostealer en los equipos personales de los usuarios.
Esto significa que miles de contraseñas válidas de personas en Chile circulan en el mercado negro de datos. Cualquier persona cuyo equipo haya sido infectado por un infostealer — incluso sin saberlo — puede tener sus contraseñas comprometidas en este momento.
Si su contraseña está en una base de datos filtrada, la única defensa que queda es el segundo factor de autenticación. Sin 2FA, el atacante que tiene su contraseña puede acceder a su cuenta directamente.
¿Qué es el Segundo Factor de Autenticación?
El segundo factor de autenticación (2FA) es un segundo elemento de verificación de identidad además de la contraseña. Incluso si alguien tiene su contraseña, no puede acceder a su cuenta sin este segundo factor — que solo usted posee físicamente (su teléfono) o biométricamente (su huella).
El principio detrás del 2FA es combinar "algo que sabe" (contraseña) con "algo que tiene" (teléfono, llave física) o "algo que es" (biometría). Un atacante que roba la contraseña no tiene el teléfono del usuario legítimo.
Tipos de Segundo Factor: Cuál Elegir
Aplicación de autenticación (mejor opción)
Apps como Microsoft Authenticator, Google Authenticator o Authy generan códigos TOTP (Time-based One-Time Password) que cambian cada 30 segundos. Funcionan sin internet, son gratuitas y ofrecen alta seguridad. Esta es la opción recomendada para correo corporativo, sistemas empresariales y cuentas críticas.
SMS (opción básica)
El código enviado por SMS es mejor que no tener 2FA, pero es vulnerable a SIM-swapping. Para cuentas personales de menor criticidad puede ser suficiente, pero para sistemas empresariales se recomienda migrar a una aplicación de autenticación.
Llave física de seguridad (máxima seguridad)
Dispositivos YubiKey o compatibles FIDO2 son la opción más segura: son resistentes al phishing (solo funcionan en el dominio correcto), requieren presencia física del usuario, y no pueden ser clonados remotamente. Ideales para ejecutivos y personas con acceso a sistemas críticos.
Cómo Activar el 2FA Paso a Paso en las Principales Plataformas
En Microsoft 365: Centro de Administración → Azure Active Directory → Seguridad → Autenticación multifactor. En Google Workspace: Consola de Administración → Seguridad → Autenticación → Verificación en dos pasos. En cuentas personales (Gmail, Instagram, etc.): Configuración → Seguridad → Verificación en 2 pasos. La ANCI también recomienda activar el segundo factor en ClaveÚnica a través del portal del Gobierno Digital.
La ANCI recomienda explícitamente: "No se recomienda interactuar con ningún mensaje no solicitado, especialmente si implica solicitudes de información personal." El 2FA activo hace que esas campañas de phishing que aprovechan credenciales filtradas sean inefectivas.
Conclusión
El segundo factor de autenticación es gratuito, tarda menos de 5 minutos en configurarse, y puede ser la diferencia entre que su cuenta sea comprometida o no. En el contexto actual de Chile, con filtraciones masivas de credenciales activas, activar el 2FA en todas las cuentas críticas es una acción urgente que no debe postergarse.