Ayuda y guíasSeguridad de cuenta › Dispositivos de confianza (Remember device con 2FA)

Dispositivos de confianza (Remember device con 2FA)

3 min de lectura · Seguridad de cuenta

Si tiene activada la autenticación de dos factores (2FA) y quiere omitir el código de seis dígitos al iniciar sesión desde un ordenador o móvil habitual, marque "Recordar este dispositivo". Durante 30 días no le volveremos a pedir el código de un solo uso (TOTP).

Ajustes de la cuenta - correo electrónico, contraseña, 2FA y dispositivos de confianza
Sección Cuenta: aquí gestiona la 2FA y los dispositivos de confianza.

Cómo funciona

  1. En el primer inicio de sesión con 2FA correcto en el dispositivo, marque "Recordar este dispositivo".
  2. Guardamos en el navegador un token de seguridad aleatorio (256 bits). En el servidor solo conservamos su hash (SHA-256), por lo que el token no se puede adivinar ni deducir - un atacante no puede falsificar una cookie válida.
  3. En el siguiente inicio de sesión en el mismo navegador encontramos esta cookie y omitimos el paso de 2FA.
  4. Tras 30 días la cookie caduca y deberá introducir de nuevo el código de un solo uso.

Gestión de dispositivos de confianza

En Ajustes, en la sección Cuenta -> Dispositivos de confianza, ve una lista con:

  • El nombre del dispositivo derivado del navegador (por ejemplo "Chrome en Windows 11").
  • La dirección IP y el país del último inicio de sesión.
  • La fecha de adición y del último uso.
  • Un botón Eliminar - revoca la confianza al instante, y el siguiente inicio de sesión desde este dispositivo volverá a requerir el código 2FA.

Cuándo eliminar un dispositivo

  • Inició sesión en un ordenador ajeno o público (cafetería, biblioteca).
  • Perdió o vendió un portátil o un móvil.
  • Ve en la lista un dispositivo que no reconoce (dirección IP desconocida, país desconocido).

Mecanismos de seguridad

  • Token aleatorio del lado del servidor: al navegador solo llega un token aleatorio de 256 bits, el servidor guarda únicamente su hash SHA-256 y lo compara - un atacante no puede falsificar una cookie válida.
  • JavaScript no tiene acceso a la cookie: protección frente a que un script malicioso de la página pueda robarla.
  • Solo por conexión cifrada: la cookie se envía exclusivamente por HTTPS.
  • Vinculada a la cuenta: una cookie de la cuenta A no funciona en la cuenta B.
  • Caducidad automática: tras 30 días la 2FA vuelve a ser necesaria.
  • Al cambiar la contraseña (mediante "Contraseña olvidada" o un cambio manual) todos los dispositivos de confianza se eliminan automáticamente. Aunque un atacante tuviera su cookie antigua, ya no podrá omitir la 2FA.
¿Te ha resultado útil esta guía?