AWS Identity and Access Management
Guía del usuario

Uso de Multi-Factor Authentication (MFA) en AWS

Para más seguridad, le recomendamos que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS. Puede habilitar la MFA para usuarios de IAM o Usuario de la cuenta raíz de AWS. Cuando habilita MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades diferenciadas que tienen sus propias credenciales y cada identidad tiene su propia configuración de MFA.

¿Qué es MFA?

MFA aporta seguridad adicional, ya que exige a los usuarios que proporcionen una autenticación exclusiva obtenida de un mecanismo de MFA admitido por AWS, además de sus credenciales de inicio de sesión habituales, para obtener acceso a los sitios web o servicios de AWS:

  • Dispositivos MFA virtuales. Una aplicación de software que se ejecuta en un teléfono u otro dispositivo y simula un dispositivo físico. El dispositivo genera un código de seis dígitos basándose en un algoritmo de contraseña de uso único y sincronización de tiempo. El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA virtual asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo MFA virtual de otro usuario para la autenticación. Dado que se pueden ejecutar en dispositivos móviles desprotegidos, MFA virtual podría no proporcionar el mismo nivel de seguridad que los dispositivos U2F o los dispositivos de MFA físicos. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivo MFA virtual, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (Consola).

  • Llave de seguridad U2F. Un dispositivo que se conectan a un puerto USB del equipo. U2F es un estándar de autenticación alojado por FIDO Alliance. Cuando configure una llave de seguridad U2F, iniciará sesión introduciendo sus credenciales y pulsando en el dispositivo en lugar de escribiendo manualmente un código. Para obtener más información sobre las llaves de seguridad U2F compatibles con AWS, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar una llave de seguridad U2F con AWS, consulte Habilitación de una llave de seguridad U2F (consola).

  • Dispositivo MFA físico. Un dispositivo físico que genera un código de seis dígitos basándose en un algoritmo de contraseña de uso único y sincronización de tiempo. El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte Autenticación multifactor. Para obtener instrucciones acerca de cómo configurar un dispositivo MFA físico con AWS, consulte Habilitar un dispositivo MFA físico (consola).

  • MFA basada en mensaje de texto SMS. Un tipo de MFA en la que la configuración del usuario de IAM incluye el número de teléfono del dispositivo móvil compatible con SMS del usuario. Cuando el usuario inicia sesión en AWS, se envía un código numérico de seis dígitos mediante un mensaje de texto SMS al dispositivo móvil del usuario. El usuario debe escribir ese código en una segunda página web durante el inicio de sesión. Tenga en cuenta que la MFA basada en SMS solo está disponible para los usuarios de IAM. No puede utilizar este tipo de MFA con el usuario Usuario de la cuenta raíz de AWS. Para obtener más información acerca de la activación de la MFA basada en SMS, consulte VISTA PREVIA – Habilitar dispositivos MFA con mensajes de texto SMS.

    nota

    AWS finalizará pronto el soporte de autenticación multifactor (MFA) para SMS. No permitimos a los nuevos clientes obtener una vista previa de esta característica. Recomendamos a los clientes existentes cambiar a uno de los siguientes métodos alternativos de MFA: dispositivo MFA virtual (basado en software), clave de seguridad U2F o dispositivo MFA físico. Puede ver los usuarios de su cuenta con un dispositivo MFA asignado. Para ello, vaya a la consola de IAM, seleccione Users (Usuarios) en el panel de navegación y busque usuarios con SMS en la columna MFA de la tabla.

Para obtener respuestas a las preguntas frecuentes sobre MFA para AWS, consulte la página Preguntas frecuentes sobre la autenticación multifactor.

En esta página: