jorgesdb
Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Las preguntas de seguridad (“¿Cuál es el apellido de soltera de tu madre?”, “¿Cuál es el nombre de tu mascota?”) fueron diseñadas para recuperar cuentas, pero hoy son una de las vías más débiles para secuestrar una cuenta: la información suele ser fácil de encontrar.
Por qué son peligrosas
- Mucha de la información solicitada es pública (redes sociales, registros, entrevistas) o puede deducirse con ingeniería social.
- Los atacantes cruzan datos (social media, búsquedas, leaks) para responder correctamente.
- Si un servicio usa la respuesta como factor de autenticación, la cuenta queda tan protegida como esa respuesta.
- A diferencia de una contraseña, muchas respuestas son permanentes (no se pueden “resetear” fácilmente en todos los servicios).
Señales de alerta en preguntas de seguridad
- La pregunta usa datos familiares (madre, padre, ciudad de nacimiento) que aparecen en redes.
- Pregunta por datos que no puedes cambiar (fecha de nacimiento, número de documento).
- El servicio permite recuperar contraseña únicamente con la respuesta sin doble verificación adicional.
Qué hacer en su lugar (alternativas seguras)
- Trata las respuestas a preguntas de seguridad como si fuesen contraseñas
- Usa respuestas largas, únicas y aleatorias. No respuestas reales.
- Guárdalas en tu gestor de contraseñas.
- Usar respuestas falsas que puedas memorizar (usa mejor el punto 1)
- Crea una respuesta inventada pero que recuerdes con un truco mnemónico.
- Ejemplo de esquema: concatena un prefijo del servicio + palabra aleatoria + número, p. ej. para “¿nombre de tu mascota?” en Amazon: Aliexpress-Zapato-711.
- Guarda la respuesta en tu gestor para no tener que memorizar.
- Preferir 2FA y métodos modernos de recuperación
- Activa autenticación en dos pasos (app de autenticación, llave física).
- Usa métodos de recuperación que envíen códigos a correo alternativo o app, no preguntas de conocimiento personal.
- Si el servicio ofrece llaves U2F/WebAuthn (YubiKey, Titan, etc.), úsalas: son mucho más seguras.
- Revisa y sustituye preguntas allí donde puedas
- En servicios críticos (correo principal, banca, gestores de contraseñas, almacenamiento en la nube) cambia preguntas por respuestas aleatorias o elimina preguntas si la plataforma permite alternativas de recuperación.
- Si no puedes cambiarlas, añade 2FA y revoca preguntas como mecanismo principal.
- Usa un gestor de contraseñas como almacén seguro para las respuestas
- Guarda la “respuesta” como si fuera una contraseña más; nómbrela claramente (p. ej. “Google_NombreMadre_respuesta”) y protégela con tu contraseña maestra y 2FA.
- Evita reutilizar la misma “respuesta inventada” en varios servicios
- Si un servicio se compromete y esas respuestas se filtran, los atacantes intentarían la misma en tus otras cuentas.
Lista de preguntas “peligrosas” frecuentes (evítalas o contesta con datos ficticios)
- Nombre de soltera de tu madre/padre
- Ciudad de nacimiento
- Nombre de tu primera mascota
- Escuela primaria / instituto
- Primer coche / matrícula
- Nombre del primer jefe
- ¿Cuál es tu color favorito? (sencillo de adivinar)
Qué hacer ahora:
- Revisa tus cuentas críticas (correo principal, banco, gestor de contraseñas, nube) y activa 2FA.
- Cambia las respuestas a preguntas de seguridad por respuestas aleatorias guardadas en tu gestor.
- Si el servicio no permite cambiar respuestas, contacta con soporte para pedir alternativas de recuperación o desactivar preguntas.
- Evita usar correo/sms como único factor de recuperación; añade app autenticadora o llave física.
- Documenta en tu gestor de contraseñas las preguntas y las “respuestas” inventadas para cada servicio.
Política recomendada para equipos y pequeñas empresas
- Prohibir el uso de preguntas de conocimiento personal como único mecanismo de recuperación.
- Exigir 2FA para cuentas administrativas.
- Mantener inventario de cuentas críticas y sus mecanismos de recuperación (y dónde se guardan respuestas seguras).
- Formar al personal: explicar que “responder sinceramente” suele ser inseguro.
