Skip to content
Email Tools

guide · Gmail Security & 2FA

Activar la verificación en dos pasos en Gmail 2026

Activa la verificación en dos pasos en Gmail en menos de cinco minutos — Mensaje de Google, llave de seguridad, app Authenticator, códigos de respaldo.

Alexis Dollé Por Alexis Dollé · ·
Activar la verificación en dos pasos en Gmail 2026

Este mes activé la verificación en dos pasos en tres de mis propias cuentas de Gmail con tres segundos factores distintos — una YubiKey 5 NFC, Google Authenticator y SMS como prueba deliberada del peor escenario — y cronometré cada configuración. La más rápida (Mensaje de Google en un teléfono ya conectado) tardó 90 segundos de principio a fin. La más lenta (llave física con códigos de respaldo impresos y guardados sin conexión) tardó algo menos de cinco minutos. Según el Verizon Data Breach Investigations Report 2024, el factor humano — abrumadoramente robo de credenciales y phishing — estuvo involucrado en el 68 % de las brechas de ese año, y el estudio interno de Google publicado en 2019 demostró que las llaves de seguridad físicas bloqueaban el 100 % de los intentos de phishing automatizados y dirigidos contra cuentas de empleados. La verificación en dos pasos es la mejora más barata y de mayor impacto que harás en una cuenta de Google. Aquí está exactamente cómo activarla, qué segundo factor elegir realmente en 2026, y qué cambia en el momento que confirmas.

Qué hace realmente la 2FA en Gmail (y qué no)

La verificación en dos pasos (el nombre que Google le da a la 2FA) añade una segunda prueba de identidad encima de tu contraseña — algo que tienes (un teléfono, una llave de seguridad, un código impreso) además de algo que sabes (la contraseña). Cuando la verificación en dos pasos está activa, una contraseña robada por sí sola ya no basta para iniciar sesión en tu cuenta de Google. Un atacante también necesita el segundo factor, que casi nunca tiene. Esa es la razón principal por la que los ataques de credential stuffing y phishing fallan contra cuentas que tienen la 2FA activada.

Lo que la 2FA hace bien: mata toda la categoría de ataques en los que una contraseña filtrada de una brecha de terceros (LinkedIn 2012, Adobe 2013, todas las brechas desde entonces) se reutiliza contra tu Gmail. También bloquea el phishing masivo donde el atacante captura tu contraseña pero no tiene forma de capturar también el segundo factor vinculado al dispositivo. Según la investigación de Google de 2019 con NYU y UC San Diego, los avisos en el dispositivo bloquearon el 100 % de los bots automatizados, el 99 % del phishing masivo y el 90 % del phishing dirigido. Las llaves de seguridad bloquearon los tres al 100 %.

Lo que la 2FA no hace: no te protege contra malware en un dispositivo ya conectado, contra el robo de cookies de sesión desde un navegador comprometido, ni contra un kit de phishing sofisticado en tiempo real que retransmite tu código de segundo factor a la página real de inicio de sesión de Google en el mismo minuto en que lo escribes (ataques adversary-in-the-middle). Tampoco te protege si tu segundo factor es SMS y el atacante hace SIM-swap de tu número — un patrón de ataque documentado que el FBI IC3 ha señalado repetidamente desde 2019.

Dos implicaciones prácticas. Primero, elegir el segundo factor adecuado importa: una llave de seguridad es notablemente más segura que SMS, aunque ambos satisfacen técnicamente «2FA activada». Segundo, la 2FA es necesaria pero no suficiente — combínala con un gestor de contraseñas, un correo y un teléfono de recuperación que controles, y la Comprobación de Seguridad de Google cada pocos meses. INCIBE recomienda la misma capa de protección en sus consejos al ciudadano sobre doble factor.

Los cuatro métodos que ofrece Google en 2026

Google admite cuatro opciones de segundo factor para la verificación en dos pasos, clasificadas aquí de más a menos seguras: llaves de seguridad físicas (FIDO2 / WebAuthn — YubiKey, Titan, cualquier llave certificada), Mensaje de Google en un teléfono conectado, Google Authenticator u otra app TOTP, y SMS o llamada de voz. Las passkeys existen como opción de credencial principal aparte y más fuerte, que reemplaza tanto la contraseña como el paso 2FA en los dispositivos compatibles. Google permite registrar varios métodos y recomienda tener al menos dos para no quedarse bloqueado.

MétodoCómo funcionaResistente al phishingCosteMejor para
Llave de seguridad física (FIDO2)Conectar o acercar una llave USB-C/NFC para confirmar el inicio de sesiónSí — vinculada criptográficamente al origen google.com real30-70 $ una vezCuentas de alto valor, periodistas, fundadores, finanzas, perfiles públicos
Mensaje de GoogleTocar «Sí» en una notificación enviada a tu Android o iPhone conectadoFuerte — vinculada a un dispositivo concreto, difícil de phishearGratisLa mayoría de usuarios — el punto de equilibrio por defecto
App Authenticator (TOTP)Generar un código de 6 dígitos basado en tiempo en Google Authenticator, Authy, 1Password, BitwardenMedio — código phisheable en tiempo real pero sin riesgo de SIM-swapGratisUsuarios avanzados con múltiples cuentas en distintos proveedores
SMS o llamada de vozRecibir un código de 6 dígitos por mensaje o vozDébil — vulnerable a SIM-swap e interceptación SS7GratisSolo como respaldo, nunca como factor principal

La clasificación propia de Google coincide con este orden. El Centro de seguridad de Google y el Programa de Protección Avanzada de Google — el modo blindaje que Google ofrece a usuarios de alto riesgo como activistas, periodistas y campañas políticas — solo aceptan llaves de seguridad físicas o passkeys, ni SMS ni códigos Authenticator. Es el respaldo más fuerte que Google ha dado al tipo de factor en el que realmente confían.

La recomendación práctica honesta: la mayoría de los lectores deberían registrar Mensaje de Google como factor principal (gratis, instantáneo y notablemente mejor que nada), añadir una llave de seguridad física si la cuenta importa financiera o profesionalmente, y guardar un juego de códigos de respaldo impresos en una caja fuerte en casa. El SMS entra en la cuenta solo si no tienes otro camino de recuperación — e incluso entonces, planea quitarlo en cuanto tengas algo mejor.

Paso a paso — Activar la verificación en dos pasos

La configuración completa tarda de dos a cinco minutos según el segundo factor elegido. En escritorio el camino es myaccount.google.com → Seguridad → Verificación en dos pasos → Empezar. En móvil, abre la app de Gmail, toca tu foto de perfil → Gestionar tu cuenta de Google → Seguridad → Verificación en dos pasos. Ambos flujos te piden que vuelvas a introducir tu contraseña para confirmar, y luego te guían para elegir un segundo factor, registrarlo y guardar los códigos de respaldo antes de activar la función.

La secuencia exacta en escritorio, cronometrada en una sesión de Chrome con sesión iniciada en una cuenta personal estándar de Google:

  1. Abre la página de Seguridad. Ve a myaccount.google.com y haz clic en Seguridad en la barra lateral izquierda. Desplázate hasta la sección «Cómo iniciar sesión en Google» — aquí viven la verificación en dos pasos, las passkeys y las opciones de recuperación.

  2. Haz clic en Verificación en dos pasos. Toca la fila etiquetada «Verificación en dos pasos». Google te pide reintroducir tu contraseña. Es una repetición de contraseña, no un aviso 2FA — si ya tienes 2FA en otra cuenta familiar en el dispositivo, ese aviso no aplica aquí.

  3. Haz clic en «Empezar» (o «Activar» si Google ha preseleccionado un teléfono por defecto). Google te guía por el asistente. La primera pantalla suele pedir un número de teléfono para usarlo como segundo factor por defecto (Mensaje de Google en ese teléfono si tiene tu sesión iniciada) o como respaldo. Si no quieres compartir número de teléfono, puedes saltar directamente a elegir llave de seguridad o app Authenticator.

  4. Elige tu segundo factor principal. Google ofrece por defecto Mensaje de Google en tu teléfono conectado — toca «Probar ahora», aprueba el aviso de prueba en tu teléfono, y el registro de ese factor está completo. Para usar una llave de seguridad en su lugar, haz clic en «Mostrar más opciones» → «Llave de seguridad» y sigue el flujo de emparejamiento (sección siguiente). Para Authenticator, haz clic en «Mostrar más opciones» → «App Authenticator» y escanea el código QR.

  5. Genera los códigos de respaldo ANTES de activar la 2FA. Haz clic en Códigos de respaldoObtener códigos. Google muestra diez códigos de un solo uso de 8 dígitos. Imprímelos, cópialos en un gestor de contraseñas o guárdalos en una caja fuerte cifrada. Cada código funciona una vez. Sin códigos de respaldo, perder tu teléfono y tu llave de seguridad el mismo día significa más de una semana de proceso de recuperación de cuenta y posible bloqueo permanente.

  6. Confirma «Activar». Google aplica la verificación en dos pasos desde este momento. Tus sesiones ya iniciadas permanecen válidas; el próximo inicio de sesión en un dispositivo nuevo o tras una actualización de credenciales pedirá el segundo factor.

  7. Añade un segundo segundo-factor. Una vez activa la verificación en dos pasos, vuelve a la página y añade al menos otro método (otra llave de seguridad, Authenticator en un teléfono de respaldo, o códigos de respaldo si saltaste ese paso). El registro con un solo factor es la causa más frecuente de bloqueos autoinfligidos.

El flujo móvil en Android e iOS refleja el de escritorio. En Android el punto de entrada es Ajustes → Google → Gestionar tu cuenta de Google → Seguridad → Verificación en dos pasos. En iPhone, abre la app de Gmail, toca tu foto de perfil, toca «Gestionar tu cuenta de Google», desplázate a Seguridad. Las páginas del asistente son idénticas a las de escritorio.

Añadir una llave de seguridad — el camino recomendado

Una llave de seguridad FIDO2 — YubiKey, Google Titan, Feitian, o cualquier llave certificada FIDO2 — es el factor 2FA más resistente al phishing que Gmail admite. Emparejarla lleva 60 segundos: conecta o acerca la llave a tu ordenador, toca el botón dorado cuando la llave parpadee, nombra la llave, guarda. Desde ese momento, los inicios de sesión en Google en cualquier dispositivo nuevo pedirán la llave. Las páginas de phishing que imitan google.com no pueden completar el apretón de manos criptográfico porque la llave está vinculada al origen google.com real.

Qué comprar en 2026 (verificado en las páginas de precios de los fabricantes, sin afiliación): una YubiKey 5 NFC (USB-A + NFC, unos 55 $) o YubiKey 5C NFC (USB-C + NFC, unos 55 $) para una llave que funcione con teléfonos, portátiles y tabletas. La Google Titan Security Key (USB-A o USB-C + NFC, unos 30 $) es la opción de marca Google más barata. La Feitian ePass FIDO2 (USB-C + NFC, unos 25 $) es la opción económica. Compra dos, no una — registra ambas en la cuenta, guarda la de repuesto en un cajón o caja fuerte. Una sola llave de seguridad sin respaldo es un punto único de fallo.

El flujo de registro en escritorio:

  1. Desde la página de Verificación en dos pasos, haz clic en Añadir llave de seguridad.
  2. Conecta o acerca la llave a tu ordenador. Si la llave tiene un botón o disco dorado, tócalo cuando parpadee.
  3. Introduce un PIN si la llave lo solicita (las llaves FIDO2 con PIN son ligeramente más fuertes que las que no — pon un PIN de 6 dígitos que recuerdes).
  4. Nombra la llave de forma memorable: «YubiKey escritorio» o «Titan viaje».
  5. Repite el proceso con tu segunda llave.

Qué cambia en el día a día. En dispositivos en los que ya tienes sesión iniciada, nada — el segundo factor solo se pide en inicios de sesión nuevos o en eventos marcados con riesgo. En un navegador nuevo, un teléfono nuevo, o tras detectar Google una señal de riesgo, la página de inicio de sesión te pedirá conectar o acercar la llave. Las llaves NFC también funcionan en iPhone y Android tocando la llave a la parte trasera del teléfono cuando se pida.

Dos notas prácticas. Primero, las llaves de seguridad también satisfacen el nivel más alto del Programa de Protección Avanzada de Google — si alguna vez quieres blindar una cuenta de alto valor (el Gmail detrás de tu registrador de dominios, tu contabilidad, tu copia de seguridad de frase semilla de wallet frío), registrar una llave física es el requisito previo. Segundo, la especificación FIDO2 la mantiene la FIDO Alliance, un consorcio industrial que incluye a Google, Apple, Microsoft, Amazon y la mayor parte de la industria de la seguridad — tu llave también funcionará con cientos de otros servicios (GitHub, AWS, Cloudflare, cuentas de Microsoft), no solo Google.

Añadir un método de respaldo — Authenticator y códigos

Incluso con una llave de seguridad como factor principal, siempre deberías añadir al menos un respaldo: app Authenticator (Google Authenticator, Authy, 1Password, Bitwarden) y códigos de respaldo impresos. Las apps Authenticator generan códigos TOTP (contraseña de un solo uso basada en tiempo) de 6 dígitos que se renuevan cada 30 segundos. Los códigos de respaldo son diez códigos imprimibles de un solo uso que funcionan incluso cuando tu teléfono está muerto, perdido o con otra SIM. Configura ambos el mismo día que actives la 2FA.

Para añadir Google Authenticator (o cualquier app TOTP — Authy y los módulos TOTP integrados en 1Password y Bitwarden funcionan igual contra Google):

  1. Instala la app authenticator en tu teléfono desde el App Store o Play Store.
  2. En la página de Verificación en dos pasos en escritorio, haz clic en App AuthenticatorConfigurar authenticator.
  3. Aparece un código QR. Abre la app authenticator en tu teléfono, toca «+» o «Añadir cuenta», escanea el código QR con la cámara del teléfono.
  4. La app muestra un código de 6 dígitos para «Google (tu-email@gmail.com)». Escribe ese código en el asistente de escritorio para confirmar.
  5. Guarda la clave secreta (la cadena alfanumérica larga bajo el código QR) en un gestor de contraseñas. Es la única forma de restaurar la semilla TOTP en un teléfono nuevo si pierdes este.

Los códigos de respaldo son el respaldo más simple técnicamente y el más fiable. Desde la página de Verificación en dos pasos, haz clic en Códigos de respaldoMostrar códigos (o Generar códigos nuevos si ya tienes un juego). Google muestra diez códigos de 8 dígitos. Imprímelos, guárdalos en un gestor de contraseñas o escríbelos en papel y mételos en una caja fuerte. Cada código funciona una vez y solo una. Cuando hayas usado la mayoría, genera un juego nuevo — Google invalida los códigos viejos cuando lo haces.

La recomendación transversal que sorprende a la mayoría de lectores: un gestor de contraseñas con TOTP integrado (1Password, Bitwarden, Proton Pass) te permite guardar la semilla TOTP en la misma caja fuerte que la contraseña. Es técnicamente algo menos seguro que un teléfono aparte (el segundo factor deja de ser «otra cosa que tienes») pero mucho más fácil en el día a día y mucho mejor que no tener 2FA. Las directrices de autenticación del NIST SP 800-63B aceptan TOTP como segundo factor válido en AAL2; recomiendan autenticadores hardware para AAL3.

Passkeys vs 2FA — el reemplazo silencioso

Las passkeys son un mecanismo distinto a la 2FA. Donde la 2FA superpone un segundo factor a tu contraseña, una passkey reemplaza la contraseña y el paso 2FA por una única credencial criptográfica vinculada a tu dispositivo. Desde octubre de 2023 Google admite passkeys como credencial principal completa para cuentas personales; desde 2024 el botón «Omitir contraseña cuando sea posible» está activado por defecto en los dispositivos compatibles. La contraseña y la 2FA siguen en la cuenta como respaldo, pero puedes pasar meses sin volver a teclearlas.

El modelo mental: una passkey es una credencial FIDO2 guardada en tu teléfono, ordenador o llave física, con una mitad privada que nunca sale del dispositivo y una mitad pública registrada con Google. Cuando inicias sesión, el dispositivo prueba criptográficamente la posesión de la clave privada. No hay secreto compartido que phishear, ningún código que teclear, ninguna SIM que robar. La credencial está vinculada al origen google.com real, así que una página de phishing no puede usarla. Las cifras publicadas por Google sobre adopción de passkeys — más de 1 000 millones de inicios de sesión con passkey reportados en 2024 — sugieren que la transición está bien avanzada.

El camino de transición importa. Añadir una passkey no desactiva tu contraseña ni tu 2FA — ambas se quedan en la cuenta como respaldo. Para registrar una passkey, ve a myaccount.google.com → Seguridad → PasskeysCrear una passkey. Google te guía para registrar el dispositivo (tu Mac, tu iPhone, tu teléfono Android, tu llave física — todos contenedores válidos de passkey). Una vez registrada, el próximo inicio de sesión en ese dispositivo salta la contraseña por completo.

Dónde las passkeys aún no son un reemplazo completo: inicio de sesión entre dispositivos en sistemas heredados, algunas integraciones de SSO empresarial y cualquier dispositivo que no pueda ejecutar un cliente FIDO2. La recomendación honesta para 2026: registra una passkey en tu teléfono y portátil principales, mantén la verificación en dos pasos activada con una llave de seguridad como segundo factor de respaldo, y conserva tus códigos de respaldo impresos. El futuro «solo passkey, sin contraseña» es real pero aún no es universal.

Para la documentación propia de Google sobre la diferencia, consulta Iniciar sesión con una passkey en lugar de una contraseña en el sitio de Ayuda de la cuenta. Para la especificación multi-proveedor, consulta la página de passkeys de la FIDO Alliance.

Si pierdes tu teléfono

Perder el teléfono que contiene tu Mensaje de Google, tu app Authenticator y tu número SMS el mismo día es el peor escenario 2FA. El camino de recuperación: usa un código de respaldo del juego que imprimiste al registrarte, o usa una llave de seguridad física si registraste una, o ejecuta el flujo de recuperación de cuenta de Google en g.co/recover. La recuperación usa tu correo de recuperación, teléfono de recuperación (un número diferente al vinculado a la 2FA), dispositivos de confianza ya conectados y una serie de preguntas de verificación de identidad. Varios intentos fallidos disparan un periodo de espera de varias horas a varios días.

En orden práctico, el día que descubres que el teléfono se ha ido:

  1. Prueba un código de respaldo. Abre el inicio de sesión de Gmail en un ordenador, introduce la contraseña, haz clic en «Probar otra forma» en el aviso 2FA, elige «Introduce uno de tus códigos de respaldo de 8 dígitos». Teclea un código del juego que guardaste al registrarte. Ya estás dentro. Genera un juego nuevo de inmediato y continúa.

  2. Toca tu llave de seguridad física. Si registraste una YubiKey o Titan como segundo factor, la llave de seguridad sigue en tu escritorio. Conéctala al ordenador, toca cuando se te pida. Ya estás dentro.

  3. Usa un dispositivo previamente conectado. Si tienes otro portátil, tableta o el teléfono de un familiar ya conectado a tu cuenta de Google, inicia sesión allí primero. Google a menudo acepta la señal de dispositivo de confianza en lugar del aviso 2FA para el nuevo inicio.

  4. Ejecuta la recuperación de cuenta. Abre g.co/recover, introduce la dirección de Gmail y sigue las indicaciones. Google pide tu correo de recuperación, teléfono de recuperación, última contraseña que recuerdes y fecha aproximada de creación de la cuenta. Responde con precisión — respuestas inventadas hacen fallar la recuperación.

  5. Espera el enfriamiento si la recuperación falla. Varios intentos fallidos disparan un enfriamiento de seguridad de horas a días. No reintentes en bucle — espera y vuelve a intentarlo con mejor información.

La lección estructural la primera vez que tienes que hacer esto: registra dos llaves de seguridad (una en tu bolsa, otra en casa), guarda códigos de respaldo en dos sitios (un gestor de contraseñas y una copia impresa en un cajón), y conserva un número de teléfono de recuperación distinto del teléfono que contiene tu app Authenticator. Si el teléfono principal es la fuente única de verdad para todo, perderlo es catastrófico.

Contraseñas de aplicación — la salida para apps heredadas

Una contraseña de aplicación es una credencial de un solo uso de 16 caracteres que Google genera para apps que no pueden pedir un código 2FA. Cuando activas la verificación en dos pasos, cualquier app que inicia sesión con IMAP, SMTP o POP3 puro — y sin OAuth moderno — deja de funcionar hasta que generes una contraseña de aplicación para ella. La mayoría de los clientes de correo actuales (Apple Mail, Outlook 2019+, Thunderbird 102+, Mailbird, Spike, Spark, Newton, Postbox) usan OAuth y no necesitan contraseñas de aplicación. Los casos de uso restantes: un pequeño conjunto de integraciones IMAP heredadas, algunos pipelines empresariales de escáner-a-correo y unos pocos scripts de automatización.

Para generar una contraseña de aplicación:

  1. Ve a myaccount.google.com → Seguridad → Verificación en dos pasos → Contraseñas de aplicación (la fila solo aparece una vez activada la verificación en dos pasos).
  2. Haz clic en Seleccionar app, elige «Correo» u «Otra (nombre personalizado)», escribe un nombre como «escaner_oficina_sotano».
  3. Haz clic en Generar. Google muestra una contraseña de 16 caracteres en cuatro grupos de cuatro. Cópiala ahora — Google no la volverá a mostrar.
  4. Pega la contraseña de aplicación en el campo de contraseña IMAP/SMTP de la app heredada.
  5. La contraseña de aplicación funciona solo para esa app y puede revocarse desde la misma pantalla en cualquier momento sin afectar tu contraseña real.

Notas de seguridad. Las contraseñas de aplicación se saltan la verificación en dos pasos por diseño — cualquiera con la contraseña de aplicación puede acceder a tu buzón por IMAP/SMTP sin que se pida un código 2FA. Trátalas como una contraseña real: no las pegues en apps no confiables, no las commits a git, no las captures en Slack. Revoca cualquier contraseña de aplicación en cuanto dejes de usar la app para la que la generaste. Si sospechas de un compromiso, revoca todas las contraseñas de aplicación desde la misma pantalla — eso cierra la sesión de todos los clientes IMAP/SMTP que las usan y obliga a una autenticación nueva.

La dirección a largo plazo: Google retiró el «acceso de aplicaciones menos seguras» en 2022, y la mayoría de los clientes de correo heredados se han pasado desde entonces a OAuth. Las contraseñas de aplicación son el apaño para la cola larga que no ha migrado. Si tienes la opción de usar OAuth en tu cliente, elige siempre OAuth en lugar de una contraseña de aplicación.

Errores comunes

Los patrones que veo con más frecuencia cuando los lectores me piden depurar una configuración 2FA que ha salido mal:

  • SMS como único segundo factor. Los ataques SIM-swap están documentados, son comunes y van en aumento — el FBI IC3 los ha señalado como categoría principal de fraude al consumidor durante varios años. SMS es mejor que nada, pero solo como respaldo de un factor principal más fuerte. Nunca conviertas SMS en el único segundo factor de una cuenta de alto valor.
  • No guardar códigos de respaldo. La razón más común por la que la gente queda bloqueada permanentemente fuera de Gmail es registrar un segundo factor en un teléfono, nunca guardar los códigos de respaldo y después perder el teléfono. Genera los códigos el mismo día que actives la 2FA. Guárdalos en dos sitios.
  • El teléfono de recuperación es el mismo que el teléfono 2FA. Si el teléfono que contiene tu app Authenticator también es el número de recuperación, perder ese teléfono elimina ambas capas. Usa un número diferente — el de un familiar, una línea fija, una SIM secundaria.
  • Una sola llave de seguridad, sin repuesto. Una llave física en un solo lugar físico está a una caída, un ciclo de lavadora o una mochila perdida de un bloqueo. Registra al menos dos llaves.
  • Nunca lanzar la Comprobación de Seguridad. La Comprobación de Seguridad de Google en myaccount.google.com/security-checkup tarda dos minutos y muestra cada dispositivo conectado, cada app con acceso, cada evento de seguridad reciente. Lánzala el día que actives la 2FA y otra vez cada seis meses.
  • Contraseñas de aplicación guardadas en claro. Las contraseñas de aplicación son credenciales reales. Guardarlas en una app de Notas o en un archivo de texto en el escritorio anula el propósito de seguridad. Usa un gestor de contraseñas.
  • Saltarse el registro de passkey. Las passkeys son estrictamente mejores que contraseña + SMS 2FA para la mayoría de las cuentas. Una vez activa la verificación en dos pasos, el siguiente paso es registrar una passkey en tu teléfono principal. La transición se hace con un clic desde la página de seguridad.

Para lectura relacionada de seguridad Gmail: cómo cambiar tu contraseña de Gmail para el lado contraseña de la ecuación, cómo añadir otra cuenta a Gmail si gestionas varias cuentas de Gmail, y cómo cambiar entre cuentas de Gmail para el flujo multi-cuenta.

Alexis Dollé, fundador de Email Tools
Alexis Dollé
Fundador y editor

Alexis Dollé, experto en correo desde hace más de 10 años. Fundador de Email Tools. Pruebo personalmente cada cliente de correo y flujo de seguridad, y escribo sobre ellos como se lo explicaría a un amigo — sin paja de marketing, sin clasificaciones patrocinadas, cada afirmación con fuente.

LinkedIn
Fuentes y referencias
  1. Ayuda de la cuenta de Google — «Activar la verificación en dos pasos»: flujo de registro, segundos factores admitidos (Mensaje de Google, llave de seguridad, app Authenticator, códigos de respaldo, SMS / voz), generación de códigos de respaldo, documentación de contraseñas de aplicación. Consultado 2026-05-17. support.google.com/accounts/answer/185839
  2. Ayuda de la cuenta de Google — «Iniciar sesión con una passkey en lugar de una contraseña»: registro de passkey, despliegue por defecto de «Omitir contraseña cuando sea posible» desde octubre de 2023, flujo de passkey entre dispositivos. Consultado 2026-05-17. support.google.com/accounts/answer/13548313
  3. Centro de seguridad de Google — herramienta Comprobación de Seguridad y visión general de las capas de protección de la cuenta de Google. Consultado 2026-05-17. safety.google/security/security-checkup/
  4. Programa de Protección Avanzada de Google — aplicación de solo llaves físicas para cuentas de alto riesgo. Consultado 2026-05-17. landing.google.com/advancedprotection/
  5. FIDO Alliance — especificación de passkeys, soporte de proveedores y estadísticas de adopción. Consultado 2026-05-17. fidoalliance.org/passkeys/
  6. NIST Special Publication 800-63B — Digital Identity Guidelines, Authentication and Lifecycle Management; definiciones de autenticadores AAL2 y AAL3. pages.nist.gov/800-63-3/sp800-63b.html
  7. INCIBE — Consejos al ciudadano sobre doble factor de autenticación. incibe.es — Doble factor de autenticación
  8. Verizon 2024 Data Breach Investigations Report — el 68 % de las brechas implica el factor humano (mayoritariamente credenciales y phishing). verizon.com/business/resources/reports/dbir/
  9. Google Security Blog (con NYU y UC San Diego) — estudio de 2019 sobre la eficacia de los avisos en el dispositivo y de las llaves de seguridad frente a ataques de bot, phishing masivo y phishing dirigido. security.googleblog.com
  10. Email Tools — «Cómo cambiar tu contraseña de Gmail (guía 2026)». email-tools.me/posts/gmail-password-change/
  11. Email Tools — «Cómo añadir otra cuenta a Gmail». email-tools.me/posts/gmail-add-another-account/
  12. Email Tools — «Cómo cambiar entre cuentas de Gmail». email-tools.me/posts/gmail-switch-between-accounts/

Preguntas frecuentes

¿La verificación en dos pasos de Gmail es gratis? Sí. La verificación en dos pasos forma parte de toda cuenta de Google sin coste, incluidas las cuentas personales gratuitas y Google Workspace. Lo único que puede costar dinero es el hardware: una llave de seguridad FIDO2 (YubiKey 5 NFC unos 55 $, llave Google Titan unos 30 $) si eliges ese método. Mensaje de Google, app Authenticator, códigos de respaldo y SMS son todos gratis.

¿Qué método 2FA es el más seguro para Gmail? Una llave de seguridad física FIDO2 (YubiKey, Titan, u otra llave certificada) es la opción más resistente al phishing que ofrece Google. El estudio interno de Google de 2019 mostró que las llaves de seguridad bloquearon el 100 % de los ataques por bot automatizado, phishing dirigido y phishing masivo contra las cuentas Google de los empleados. El Mensaje de Google y los códigos TOTP por Authenticator son los siguientes. El SMS es el más débil por el riesgo de SIM-swap — úsalo solo como respaldo cuando no haya nada más disponible.

¿Qué pasa si pierdo mi teléfono y mi llave de seguridad? Usa un código de respaldo. Cada cuenta de Google recibe diez códigos de respaldo de un solo uso de 8 dígitos al activar la verificación en dos pasos — guárdalos en un gestor de contraseñas o imprímelos. Si también perdiste los códigos de respaldo, el flujo de recuperación de cuenta de Google en g.co/recover te permite verificar con un teléfono de recuperación, un correo de recuperación o un dispositivo donde ya iniciaste sesión. La recuperación aplica un periodo de espera tras varios intentos fallidos.

¿Las passkeys están reemplazando la 2FA en Gmail? Sí, de forma progresiva. Desde 2023 Google admite passkeys (credenciales FIDO2 vinculadas al dispositivo) como reemplazo completo de contraseña + 2FA. Desde octubre de 2023 el ajuste «Omitir contraseña cuando sea posible» está activado por defecto en los dispositivos compatibles. La contraseña y la verificación en dos pasos siguen en la cuenta como respaldo, pero puede que nunca más vuelvas a escribir la contraseña ni el código 2FA si tu teléfono está registrado como passkey. El cambio de «contraseña + 2FA» a «solo passkey» es la dirección que impulsan Google, Apple y Microsoft — consulta la FIDO Alliance para la especificación multi-proveedor.

¿Qué es una contraseña de aplicación y cuándo aún la necesito? Una contraseña de aplicación es una credencial de un solo uso de 16 caracteres que Google genera para apps antiguas que no pueden pedir un código 2FA — más comúnmente clientes de correo de escritorio sin soporte OAuth moderno, algunas integraciones IMAP heredadas y unas pocas configuraciones empresariales de escáner-a-correo. Google retiró el acceso de aplicaciones menos seguras en 2022, pero las contraseñas de aplicación siguen existiendo para cuentas con verificación en dos pasos activada. Genera una en myaccount.google.com → Seguridad → Verificación en dos pasos → Contraseñas de aplicación. Evítalo si tu cliente admite OAuth — los clientes modernos (Apple Mail, Outlook 2019+, Thunderbird 102+, Mailbird, Spike, Spark) inician sesión con OAuth y no necesitan contraseñas de aplicación.

¿Activar la 2FA me cerrará la sesión en mis dispositivos? No — las sesiones ya iniciadas en dispositivos de confianza se mantienen. El segundo factor solo se pide en inicios de sesión nuevos o cuando Google detecta una señal de riesgo (dispositivo nuevo, ubicación nueva, patrón sospechoso). El primer aviso 2FA puede aparecer en dispositivos que se reautentican tras una actualización de credenciales de Google, lo cual ocurre normalmente cada pocas semanas. Los clientes IMAP/SMTP que usas con contraseñas de aplicación no se ven afectados — la contraseña de aplicación sigue funcionando.

Relacionado: Cómo cambiar tu contraseña de Gmail — la mitad contraseña de la ecuación. Cómo añadir otra cuenta a Gmail — configuración multi-cuenta. Cómo cambiar entre cuentas de Gmail — el flujo multi-cuenta.