Estar más seguro en línea en 2025 no tiene por qué ser complicado y, desde luego, no debería ralentizarte. La idea es que los inicios de sesión seguros sean la norma, no un proyecto especial que solo se realiza para unas pocas cuentas. Empieza por sustituir las contraseñas por claves de acceso siempre que puedas, añade la autenticación de dos factores a los sitios que aún la necesiten y mantén un único plan de recuperación de una página para no entrar en pánico si pierdes un dispositivo o falla el inicio de sesión. De esta manera, conseguirás inicios de sesión más rápidos en el día a día, menos riesgos de phishing y pasos sencillos para recuperarte cuando surja algún imprevisto.

Haga de las claves de acceso su primera opción siempre que se ofrezcan

Las claves de acceso utilizan una tecnología moderna y resistente al phishing y, en la práctica, parecen mágicas: usted aprueba el inicio de sesión con su huella dactilar, su rostro o el PIN de su dispositivo, y no hay secretos reutilizables que robar. Actívelas para su correo electrónico principal, almacenamiento en la nube, banca, redes sociales y cualquier servicio que las ofrezca. Utilice el administrador de contraseñas integrado en su plataforma para que sus claves de acceso se sincronicen de forma segura entre su teléfono y su ordenador, y registre al menos dos dispositivos como autenticadores para que una sola pérdida no le deje fuera. Cuando un sitio web siga pidiendo una contraseña, utilice una que sea única y larga y deje que el administrador la genere y la rellene; su objetivo es dejar de escribir secretos por completo y dejar que sus dispositivos se encarguen de la criptografía.

Añada la autenticación de dos factores (2FA) cuando aún no se disponga de claves de acceso

Algunas cuentas aún no admiten claves de acceso, y ahí es donde la autenticación de dos factores cobra importancia. Elija una aplicación de autenticación para códigos basados en el tiempo en lugar de SMS siempre que sea posible, ya que los códigos en su dispositivo son más difíciles de interceptar que los mensajes de texto que se envían a su número de teléfono. Guarde los códigos de recuperación de estas cuentas en algún lugar fuera de línea y protegidos por datos biométricos a nivel del dispositivo, y añada un segundo método de autenticación para que un teléfono averiado no le impida trabajar. Si un servicio admite avisos push vinculados a su dispositivo, actívelos y acostúmbrese a rechazar inmediatamente cualquier aviso inesperado. Reserve los SMS para los proveedores que no ofrezcan nada mejor y añada un PIN a la cuenta del operador para que los ataques de intercambio de SIM sean más difíciles de llevar a cabo.

Redacta un plan de recuperación de una página que puedas seguir medio dormido

La recuperación es donde la mayoría de la gente se atasca, así que hazla sencilla y breve. Tu página debe incluir tu correo electrónico principal, el correo electrónico de recuperación vinculado a él, el número de teléfono que recibe las alertas de la cuenta, los dispositivos que almacenan tus claves de acceso y dónde se encuentran tus códigos de respaldo. Debe indicar el orden de las operaciones si pierdes el acceso: primero protege tu correo electrónico principal, luego tu gestor de contraseñas y, por último, todo lo demás. Incluye los nombres de los modelos y los números de serie de los dispositivos importantes, la ubicación de las claves de seguridad de hardware si las utilizas y los métodos de contacto de tu operador de telefonía móvil y tu banco. Guarda una copia impresa en un lugar seguro de tu casa y otra copia sellada en un lugar al que puedas acceder en caso de emergencia; guarda una copia digital en una nota cifrada que requiera la biometría de tu dispositivo. La prueba es sencilla: ¿podría tu yo futuro, cansado, seguirla sin pensar?

Bloquea los dispositivos que contienen las claves

Las cuentas seguras solo son tan seguras como los teléfonos y ordenadores que las aprueban. Utilice un bloqueo de pantalla adecuado, mantenga activado el cifrado de disco completo y exija datos biométricos para desbloquear su gestor de contraseñas o notas seguras. Active las actualizaciones automáticas del sistema operativo y los navegadores para que las correcciones de seguridad web lleguen sin necesidad de realizar tareas adicionales. Revise los permisos de las aplicaciones cada trimestre y revoque el acceso a sus fotos, contactos y ubicación para todo lo que no los necesite. Configure alertas para los nuevos inicios de sesión en sus principales servicios, de modo que se entere rápidamente de cualquier actividad sospechosa, y active la función «Buscar mi dispositivo» con permiso de borrado remoto en caso de pérdida. Un PIN de SIM y un PIN de cuenta de operador añaden una protección sutil pero significativa contra los trucos de transferencia de números.

Manténgalo en minutos, no en horas

La seguridad que se mantiene es la seguridad que se mantiene en piloto automático. Elija un día cada trimestre para comprobar que las claves de acceso están registradas en al menos dos dispositivos, confirme que sus códigos de autenticación siguen funcionando, verifique que su correo electrónico y teléfono de recuperación están actualizados y sustituya los códigos de respaldo antiguos por un nuevo conjunto. Aproveche la misma sesión para eliminar los dispositivos antiguos de la lista de confianza de su cuenta y cerrar las sesiones que no reconozca. Una vez al año, lea su plan de una página y actualice cualquier dato que haya cambiado. El resto del tiempo, deje que los ajustes predeterminados que ha establecido hagan el trabajo: claves de acceso para mayor rapidez y resistencia al phishing, 2FA basada en aplicaciones para los rezagados y una página de recuperación que elimina las conjeturas cuando más lo necesita.