Guía de autenticación multifactor (MFA)

La autenticación multifactor (MFA) añade una capa adicional de seguridad a su cuenta de DNScale. Incluso si alguien obtiene su contraseña, no podrá iniciar sesión sin acceso a su segundo factor. Esta guía explica cómo funciona MFA y cómo configurarlo.

¿Qué es la autenticación multifactor?

MFA requiere que verifique su identidad utilizando dos o más factores independientes al iniciar sesión:

1. Algo que usted sabe — su contraseña
2. Algo que usted tiene — un código temporal generado por una aplicación de autenticación, o una llave de seguridad física

Al combinar estos factores, MFA dificulta significativamente el acceso no autorizado. Una contraseña robada por sí sola no es suficiente para comprometer su cuenta.

Métodos compatibles

DNScale admite los siguientes métodos de autenticación:

Puede habilitar tanto una aplicación de autenticación como una o más llaves de seguridad en la misma cuenta. Cada método puede utilizarse de forma independiente para iniciar sesión.

Aplicaciones de autenticación compatibles

Cualquier aplicación que admita TOTP (contraseñas de un solo uso basadas en tiempo) funciona con DNScale:

• Google Authenticator (Android, iOS)
• Microsoft Authenticator (Android, iOS)
• Authy (Android, iOS, escritorio)
• 1Password
• Bitwarden
• YubiKey Authenticator (con hardware YubiKey)

Llaves de seguridad compatibles

Cualquier dispositivo compatible con FIDO2/WebAuthn funciona con DNScale:

• Llaves de seguridad USB — YubiKey 5 series, SoloKey, Nitrokey, Google Titan
• Llaves de seguridad NFC — YubiKey 5 NFC (toque para autenticar en dispositivos móviles)
• Autenticadores de plataforma — Touch ID (macOS), Windows Hello (Windows), biometría de Android

Nota: La compatibilidad con llaves de seguridad requiere un navegador que implemente la API WebAuthn. Todos los navegadores modernos (Chrome, Firefox, Safari, Edge) la admiten. La opción de agregar una llave de seguridad solo aparecerá si su navegador es compatible con WebAuthn.

Configuración de una aplicación de autenticación (TOTP)

Paso 1: Abrir la configuración de seguridad

Inicie sesión en su panel de DNScale y navegue hasta Settings. Desplácese hacia abajo hasta la tarjeta Security.

Verá una sección de "Two-Factor Authentication" que muestra su estado actual como Disabled.

Paso 2: Iniciar la configuración

Haga clic en el botón Enable 2FA. Aparecerá un cuadro de diálogo de configuración con un código QR.

Paso 3: Escanear el código QR

Abra su aplicación de autenticación y escanee el código QR que se muestra en el cuadro de diálogo. Si no puede escanear el código, haga clic en la opción de ingreso manual para copiar la clave secreta e introducirla manualmente en su aplicación.

Consejo: Asegúrese de que la hora de su teléfono sea precisa. Los códigos TOTP dependen del tiempo, y un reloj desfasado en más de 30 segundos puede hacer que los códigos fallen.

Paso 4: Introducir el código de verificación

Su aplicación de autenticación ahora mostrará un código de 6 dígitos que se renueva cada 30 segundos. Introduzca el código actual en el campo de verificación y haga clic en Verify & Enable.

Paso 5: Guardar los códigos de recuperación

Después de la verificación, se le mostrarán 10 códigos de recuperación. Estos son códigos de respaldo de un solo uso que le permiten iniciar sesión si pierde el acceso a su aplicación de autenticación.

Importante: Guarde estos códigos ahora. No podrá verlos de nuevo. Almacénelos en un gestor de contraseñas, imprimalos o guárdelos en un lugar seguro.

Puede copiar todos los códigos al portapapeles o descargarlos como un archivo de texto.

Haga clic en I've Saved My Codes para completar la configuración.

Configuración de una llave de seguridad (WebAuthn)

Paso 1: Abrir la configuración de seguridad

Inicie sesión en su panel de DNScale y navegue hasta Settings. Desplácese hacia abajo hasta la tarjeta Security.

Paso 2: Agregar una llave de seguridad

En la sección "Security Keys", haga clic en Add Security Key. Aparecerá un cuadro de diálogo pidiéndole que nombre su llave.

Paso 3: Nombrar la llave

Introduzca una etiqueta descriptiva para su llave (por ejemplo, "YubiKey 5", "MacBook Touch ID", "Llave de respaldo"). Esto le ayudará a identificar cada llave si registra varias.

Paso 4: Registrar la llave

Haga clic en Register. Su navegador le pedirá que interactúe con su llave de seguridad:

• Llave USB (YubiKey, SoloKey): Inserte la llave y toque el contacto metálico cuando parpadee
• Touch ID (macOS): Coloque su dedo en el sensor Touch ID
• Windows Hello: Use su huella digital, reconocimiento facial o PIN
• Llave NFC: Acerque la llave a su dispositivo

El registro se completa automáticamente una vez que interactúe con la llave.

Paso 5: Guardar los códigos de recuperación

Si este es su primer método MFA, se le mostrarán 10 códigos de recuperación. Guárdelos en un lugar seguro; son su respaldo en caso de que pierda acceso a todas sus llaves registradas.

Consejo: Registre una llave de seguridad de respaldo en caso de que su llave principal se pierda o se dañe. Puede tener varias llaves de seguridad en su cuenta.

Cómo funciona el inicio de sesión

Sin MFA (predeterminado)

1. Introduzca su correo electrónico y contraseña
2. Se envía un código de seguridad de 6 dígitos a su correo electrónico
3. Introduzca el código (o haga clic en el enlace del correo)
4. Ha iniciado sesión

Con aplicación de autenticación (TOTP preferido)

1. Introduzca su correo electrónico y contraseña
2. Se le solicita que introduzca su código de autenticación
3. Abra su aplicación de autenticación e introduzca el código de 6 dígitos actual
4. Ha iniciado sesión

No se envía ningún correo electrónico cuando TOTP es su método preferido, lo que hace que el inicio de sesión sea más rápido y seguro.

Con llave de seguridad (WebAuthn preferido)

1. Introduzca su correo electrónico y contraseña
2. Verá un mensaje de "Toque su llave de seguridad"
3. Inserte su llave y tóquela (o use Touch ID / Windows Hello)
4. Ha iniciado sesión

Todo el proceso de inicio de sesión toma solo unos segundos, sin códigos que escribir.

Cambiar de método durante el inicio de sesión

En la pantalla de verificación, puede alternar entre los métodos disponibles:

• Usar una llave de seguridad — cambiar a autenticación WebAuthn
• Usar aplicación de autenticación — cambiar a ingreso de código TOTP
• Usar verificación por correo electrónico — volver al código por correo
• Usar un código de recuperación — introducir un código de recuperación de un solo uso

Uso de un código de recuperación

Si no puede acceder a su aplicación de autenticación o llave de seguridad (teléfono perdido, llave dañada):

1. Introduzca su correo electrónico y contraseña
2. En la pantalla de verificación, haga clic en Use a recovery code
3. Introduzca uno de sus códigos de recuperación guardados (formato: xxxx-xxxx)
4. Ha iniciado sesión

Cada código de recuperación solo puede utilizarse una vez. Después de usar un código, considere regenerar sus códigos de recuperación desde el panel de control.

Gestión de la configuración MFA

Consultar el estado

Vaya a Settings > Security para ver:

• Si 2FA está habilitado o deshabilitado
• Su método de verificación preferido
• La aplicación de autenticación registrada y cuándo se usó por última vez
• Las llaves de seguridad registradas con sus nombres y fechas de último uso
• Cuántos códigos de recuperación le quedan (de 10)

Establecer el método preferido

Cuando tiene varios métodos MFA habilitados, puede elegir cuál se solicita primero durante el inicio de sesión:

1. Vaya a Settings > Security
2. Use el selector de método preferido para elegir entre Authenticator App, Security Key o Email
3. El cambio surte efecto en su próximo inicio de sesión

Siempre puede cambiar a un método diferente desde la pantalla de inicio de sesión, independientemente de su preferencia.

Gestión de llaves de seguridad

Puede registrar varias llaves de seguridad (recomendado para redundancia):

• Cada llave aparece listada con su etiqueta y fecha de último uso
• Haga clic en el icono de papelera junto a una llave para eliminarla
• Si elimina su último método MFA, la autenticación de dos factores se desactivará completamente

Regeneración de códigos de recuperación

Si ha utilizado algunos códigos de recuperación o sospecha que han sido comprometidos:

1. Vaya a Settings > Security
2. Haga clic en Regenerate junto al contador de códigos de recuperación
3. Confirme la acción (esto invalida todos los códigos existentes)
4. Guarde el nuevo conjunto de 10 códigos

Desactivación de 2FA

Si desea eliminar la autenticación de dos factores:

1. Vaya a Settings > Security
2. Elimine su aplicación de autenticación y/o llaves de seguridad individualmente
3. Cuando se elimine el último método MFA, 2FA se desactivará automáticamente

Su cuenta volverá a utilizar la verificación por correo electrónico para iniciar sesión.

Guías por dispositivo

Uso de Touch ID en Mac

Touch ID funciona como un autenticador de plataforma a través del estándar WebAuthn. Su huella digital nunca sale de su Mac; se verifica localmente mediante el chip Secure Enclave, y solo se envía una prueba criptográfica a DNScale.

Configuración:

1. Vaya a Settings > Security y haga clic en Add Security Key
2. Asígnele un nombre como "MacBook Touch ID" o "iMac Touch ID"
3. Haga clic en Register — macOS mostrará un diálogo de Touch ID
4. Coloque su dedo en el sensor Touch ID
5. El registro se completa al instante

Inicio de sesión:

1. Introduzca su correo electrónico y contraseña
2. Aparece un mensaje de "Verifique su identidad" — macOS muestra el diálogo de Touch ID
3. Toque el sensor y habrá iniciado sesión

Consejos:

• Touch ID funciona en Safari, Chrome y otros navegadores compatibles con WebAuthn
• Si utiliza varios Mac, registre Touch ID en cada uno por separado; cada dispositivo tiene su propio Secure Enclave
• Si Touch ID falla (por ejemplo, dedo húmedo), puede cambiar a otro método en la pantalla de inicio de sesión
• Las credenciales de Touch ID están vinculadas al Mac específico; si reemplaza su computadora, deberá registrarlo de nuevo

Uso de una YubiKey

Las YubiKey son llaves de seguridad físicas USB o NFC que proporcionan autenticación resistente al phishing. Funcionan verificando criptográficamente el sitio en el que está iniciando sesión, de modo que las credenciales no pueden ser robadas por páginas de inicio de sesión falsas.

Configuración:

1. Inserte su YubiKey en un puerto USB (use un adaptador USB-C si es necesario)
2. Vaya a Settings > Security y haga clic en Add Security Key
3. Asígnele un nombre (por ejemplo, "YubiKey 5 NFC", "YubiKey de respaldo")
4. Haga clic en Register — su navegador muestra un diálogo de llave de seguridad
5. Toque el contacto metálico en la YubiKey cuando parpadee
6. El registro se completa

Inicio de sesión:

1. Introduzca su correo electrónico y contraseña
2. Inserte su YubiKey cuando se le solicite
3. Toque el contacto metálico y habrá iniciado sesión

Consejos:

• Registre al menos dos YubiKey; guarde una como respaldo en un lugar seguro
• Los modelos YubiKey 5 NFC también funcionan por NFC en teléfonos; acerque la llave a la parte trasera de su teléfono
• Las YubiKey funcionan en todos sus dispositivos (a diferencia de Touch ID, que es por máquina)
• La YubiKey no necesita pilas ni carga; se alimenta a través del puerto USB
• Si pierde una YubiKey, inicie sesión con otro método, vaya a Settings y elimine la llave perdida de inmediato

Uso de una aplicación de autenticación

Las aplicaciones de autenticación generan códigos de 6 dígitos que cambian cada 30 segundos. Esto se denomina TOTP (contraseña de un solo uso basada en tiempo). El código se genera completamente en su dispositivo; no se necesita conexión a internet después de la configuración inicial.

Aplicaciones populares:

Configuración:

1. Instale su aplicación de autenticación preferida
2. Vaya a Settings > Security y haga clic en Enable 2FA
3. Abra su aplicación de autenticación y escanee el código QR que se muestra en DNScale
4. Si no puede escanear, toque "Can't scan?" para ver la clave secreta e introducirla manualmente
5. Introduzca el código de 6 dígitos que muestra su aplicación para verificar la configuración
6. Guarde sus códigos de recuperación

Inicio de sesión:

1. Introduzca su correo electrónico y contraseña
2. Abra su aplicación de autenticación y busque la entrada de DNScale
3. Introduzca el código de 6 dígitos actual y habrá iniciado sesión

Consejos:

• Asegúrese de que el reloj de su teléfono esté configurado en automático; los códigos TOTP dependen de la hora exacta
• Si cambia de teléfono, exporte las cuentas de su aplicación de autenticación antes de borrar el teléfono anterior (Google Authenticator admite transferencia de cuentas, Authy sincroniza automáticamente)
• Considere usar un gestor de contraseñas con TOTP integrado (1Password, Bitwarden) para que sus códigos estén respaldados y disponibles en todos sus dispositivos
• Tome una captura de pantalla del código QR durante la configuración y guárdela en su gestor de contraseñas; esto le permitirá volver a agregar la cuenta si pierde su teléfono sin necesidad de desactivar y reactivar 2FA

Mejores prácticas de seguridad

• Use una llave de seguridad física para la máxima protección contra phishing; WebAuthn verifica criptográficamente el origen del sitio, por lo que las credenciales no pueden ser reutilizadas en sitios falsos
• Registre una llave de seguridad de respaldo en caso de que su llave principal se pierda, sea robada o se dañe
• Use un gestor de contraseñas para almacenar sus códigos de recuperación de forma segura
• No comparta su clave secreta TOTP, llaves de seguridad ni códigos de recuperación con nadie
• Mantenga el reloj de su teléfono sincronizado — los códigos TOTP se basan en la hora
• Regenere los códigos de recuperación después de usar cualquiera de ellos
• Habilite 2FA también en su cuenta de correo electrónico — dado que el correo electrónico es un método de autenticación alternativo, proteger su correo añade otra capa de defensa

Solución de problemas

"Código de autenticación no válido"

• Asegúrese de que está introduciendo el código que se muestra actualmente en su aplicación (los códigos cambian cada 30 segundos)
• Verifique que el reloj de su teléfono esté configurado en hora automática/de red
• Si el problema persiste, intente eliminar y volver a agregar la cuenta en su aplicación de autenticación desactivando y reactivando 2FA en DNScale

La llave de seguridad no es reconocida

• Asegúrese de que la llave esté insertada correctamente en el puerto USB
• Pruebe con un puerto USB diferente o use un adaptador USB-A si es necesario
• Verifique que su navegador sea compatible con WebAuthn (todos los navegadores modernos lo son)
• En macOS, asegúrese de que no haya desactivado Touch ID en Configuración del Sistema
• Si usa una llave NFC, manténgala cerca del lector NFC durante unos segundos

"La operación fue cancelada"

• Es posible que haya descartado el diálogo de llave de seguridad del navegador. Haga clic en el botón de verificación de nuevo para reintentar.
• Algunos navegadores agotan el tiempo de espera después de aproximadamente 60 segundos; inserte su llave y tóquela rápidamente después de que aparezca el diálogo.

"Esta llave de seguridad ya está registrada"

• La llave que está intentando registrar ya está asociada a su cuenta. Cada llave física solo puede registrarse una vez por cuenta.

"No hay códigos de recuperación disponibles"

• Se han utilizado los 10 códigos de recuperación. Contacte con soporte para recuperar el acceso a su cuenta.

Dispositivo de autenticación perdido

• Use uno de sus códigos de recuperación guardados para iniciar sesión
• O use una llave de seguridad registrada si tiene una
• Una vez que haya iniciado sesión, vaya a Settings y elimine el método TOTP anterior, luego configúrelo de nuevo con su nuevo dispositivo
• Si no tiene códigos de recuperación ni otro método MFA, contacte con el soporte de DNScale para una verificación de identidad manual

Llave de seguridad perdida

• Use su aplicación de autenticación o la verificación por correo electrónico para iniciar sesión
• O use un código de recuperación
• Una vez que haya iniciado sesión, vaya a Settings y elimine la llave perdida
• Registre una nueva llave de seguridad si tiene un reemplazo

Los códigos expiran demasiado rápido

Los códigos TOTP son válidos durante 30 segundos. Si su código sigue expirando antes de que pueda introducirlo, verifique la sincronización del reloj de su dispositivo. En la mayoría de los teléfonos, esta opción se encuentra en Ajustes > Fecha y hora > Automática.