Ayuda y guías ›
Seguridad de cuenta
› Dispositivos de confianza (Remember device con 2FA)
Dispositivos de confianza (Remember device con 2FA)
3 min de lectura · Seguridad de cuenta
Si tiene activada la autenticación de dos factores (2FA) y quiere omitir el código de seis dígitos al iniciar sesión desde un ordenador o móvil habitual, marque "Recordar este dispositivo". Durante 30 días no le volveremos a pedir el código de un solo uso (TOTP).
Cómo funciona
- En el primer inicio de sesión con 2FA correcto en el dispositivo, marque "Recordar este dispositivo".
- Guardamos en el navegador un token de seguridad aleatorio (256 bits). En el servidor solo conservamos su hash (SHA-256), por lo que el token no se puede adivinar ni deducir - un atacante no puede falsificar una cookie válida.
- En el siguiente inicio de sesión en el mismo navegador encontramos esta cookie y omitimos el paso de 2FA.
- Tras 30 días la cookie caduca y deberá introducir de nuevo el código de un solo uso.
Gestión de dispositivos de confianza
En Ajustes, en la sección Cuenta -> Dispositivos de confianza, ve una lista con:
- El nombre del dispositivo derivado del navegador (por ejemplo "Chrome en Windows 11").
- La dirección IP y el país del último inicio de sesión.
- La fecha de adición y del último uso.
- Un botón Eliminar - revoca la confianza al instante, y el siguiente inicio de sesión desde este dispositivo volverá a requerir el código 2FA.
Cuándo eliminar un dispositivo
- Inició sesión en un ordenador ajeno o público (cafetería, biblioteca).
- Perdió o vendió un portátil o un móvil.
- Ve en la lista un dispositivo que no reconoce (dirección IP desconocida, país desconocido).
Mecanismos de seguridad
- Token aleatorio del lado del servidor: al navegador solo llega un token aleatorio de 256 bits, el servidor guarda únicamente su hash SHA-256 y lo compara - un atacante no puede falsificar una cookie válida.
- JavaScript no tiene acceso a la cookie: protección frente a que un script malicioso de la página pueda robarla.
- Solo por conexión cifrada: la cookie se envía exclusivamente por HTTPS.
- Vinculada a la cuenta: una cookie de la cuenta A no funciona en la cuenta B.
- Caducidad automática: tras 30 días la 2FA vuelve a ser necesaria.
- Al cambiar la contraseña (mediante "Contraseña olvidada" o un cambio manual) todos los dispositivos de confianza se eliminan automáticamente. Aunque un atacante tuviera su cookie antigua, ya no podrá omitir la 2FA.
¿Te ha resultado útil esta guía?