¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar? - AWS Identity and Access Management

¿Qué pasa si un dispositivo MFA se pierde o deja de funcionar?

Si el dispositivo MFA virtual o el token TOTP de hardware parece funcionar correctamente, pero no puede utilizarlo para obtener acceso a sus recursos de AWS, es posible que no esté sincronizado con AWS. Para obtener más información acerca de cómo sincronizar un dispositivo de MFA virtual o físico, consulte Resincronización de dispositivos MFA físicos y virtuales. Las claves de seguridad FIDO no pierden la sincronización.

Si el dispositivo de autenticación multifactor (MFA) del Usuario raíz de la cuenta de AWS se pierde, se daña o no funciona, puede recuperar el acceso a su cuenta. Los usuarios de IAM deben ponerse en contacto con un administrador para desactivar el dispositivo.

importante

Le recomendamos que habilite varios dispositivos MFA para sus usuarios de IAM a fin de garantizar el acceso continuo a su cuenta en caso de pérdida o inaccesibilidad del dispositivo MFA. Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el usuario raíz de la Cuenta de AWS y los usuarios de IAM.

Recuperación de un dispositivo MFA de usuario raíz

Si el dispositivo de autenticación multifactor (MFA) del Usuario raíz de la cuenta de AWS se pierde, se daña o no funciona, puede iniciar sesión con otro dispositivo MFA registrado con el mismo Usuario raíz de la cuenta de AWS. Si el usuario raíz solo tiene un dispositivo MFA activado, puede usar métodos alternativos de autenticación. Esto significa que, si no puede iniciar sesión con su dispositivo MFA, puede iniciar la sesión verificando su identidad mediante el correo electrónico y el número de teléfono de contacto principal registrados en su cuenta.

Antes de utilizar factores alternativos de autenticación para iniciar sesión como usuario raíz, debe poder acceder al correo electrónico y al número de teléfono de contacto principal que están asociados a su cuenta. Si necesita actualizar el número de teléfono de contacto principal, puede iniciar sesión como usuario de IAM con acceso de Administrator (Administrador) en lugar del usuario raíz. Para obtener instrucciones adicionales sobre cómo actualizar la información de contacto de la cuenta, consulte Editar la información de contacto en la Guía del usuario de AWS Billing. Si no tiene acceso a un correo electrónico ni a un número de teléfono de contacto principal, debe contactar con AWS Support.

importante

Se recomienda mantener actualizados la dirección de correo electrónico y el número de teléfono de contacto vinculados al usuario raíz para recuperar la cuenta correctamente. Para obtener más información, consulte Actualizar su contacto principal para Cuenta de AWS en la Guía de referencia de AWS Account Management.

Para iniciar sesión con otros factores de autenticación como Usuario raíz de la cuenta de AWS
  1. Inicie sesión en AWS Management Console como propietario de cuenta eligiendo Usuario raíz e ingrese el email de su Cuenta de AWS. En la siguiente página, escriba su contraseña.

  2. En la página Se requiere verificación adicional, seleccione un método de MFA con el que autenticarse y elija Siguiente.

    nota

    Es posible que aparezca un texto alternativo, como Sign in using MFA (Iniciar sesión con MFA), Troubleshoot your authentication device (Solucionar problemas de su dispositivo de autenticación) o Troubleshoot MFA (Solucionar problemas de MFA), pero la funcionalidad es la misma. Si no puede utilizar factores alternativos de autenticación para verificar la dirección de correo electrónico y el número de teléfono de contacto principal de su cuenta, contacte con AWS Support para desactivar su dispositivo MFA.

  3. Según el tipo de MFA que utilice, verá una página diferente, pero la opción Solución de problemas de MFA funciona igual. En la página Se requiere verificación adicional o en la página Autenticación multifactor, elija Solución problemas de MFA.

  4. Si se le solicita, escriba la contraseña de nuevo y elija Sign in (Inicio de sesión).

  5. En la página Solución de problemas con el dispositivo de autenticación, en la sección Iniciar sesión con otros factores de autenticación, elija Iniciar sesión con otros factores.

  6. En la página Iniciar sesión con otros factores de autenticación, autentique su cuenta verificando la dirección de correo electrónico y seleccione Enviar correo electrónico de verificación.

  7. Busque en la bandeja del correo electrónico asociado a su Cuenta de AWS un mensaje de Amazon Web Services (no-reply-aws@amazon.com). Siga las indicaciones del correo electrónico.

    Si no ve el correo electrónico en su cuenta, revise la carpeta de spam o vuelva a su navegador y seleccione Resend the email (Reenviar el correo electrónico).

  8. Después de verificar su dirección de correo electrónico, podrá continuar el proceso de autenticación de la cuenta. Para verificar su número de teléfono de contacto principal, elija Call me now (Llamarme ahora).

  9. Responda a la llamada de AWS y, cuando se le solicite, introduzca el número de 6 dígitos del sitio web de AWS en el teclado de su teléfono.

    Si no recibe la llamada de AWS, seleccione Sign in (Iniciar sesión) para iniciar sesión de nuevo en la consola y volver a comenzar. O consulte Lost or unusable Multi-Factor Authentication (MFA) device (Dispositivo de autenticación multifactor [MFA] perdido o inutilizado) para contactar con el servicio de asistencia técnica para obtener ayuda.

  10. Después de verificar su número de teléfono, podrá iniciar sesión en su cuenta. Para ello, elija Sign in to the console (Iniciar sesión en la consola).

  11. El siguiente paso varía en función del tipo de MFA que utilice:

    • Si utiliza un dispositivo MFA virtual, elimine la cuenta del dispositivo. A continuación, diríjase a la página Credenciales de seguridad de AWS y elimine la entidad de dispositivo MFA virtual antigua antes de crear una nueva.

    • Para obtener una clave de seguridad FIDO, diríjase a la página Credenciales de seguridad de AWS y desactive la clave de seguridad FIDO antigua antes de habilitar una nueva.

    • En el caso de un token TOTP de hardware, contacte con el proveedor externo para que le ayude a reparar o sustituir el dispositivo. Puede seguir iniciando sesión a través de factores de autenticación alternativos hasta que reciba su nuevo dispositivo. Una vez que tenga su nuevo dispositivo MFA físico, visite la página Credenciales de seguridad de AWS y elimine la entidad del dispositivo MFA físico antigua antes de crear una nueva.

    nota

    No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar MFA virtual o un token TOTP de hardware hasta que reciba una nueva clave de seguridad FIDO.

importante

Si su dispositivo MFA ha desaparecido o se lo han robado, después de iniciar sesión con factores de autenticación alternativos y establecer el dispositivo MFA de reemplazo, cambie la contraseña de usuario raíz en caso de que un atacante haya robado el dispositivo de autenticación y también pueda tener su contraseña actual. Para obtener más información, consulteCambiar la contraseña delUsuario raíz de la cuenta de AWS en la AWS Account Management Guía de referencia.

Recuperación de un dispositivo MFA de usuario de IAM

Si es usuario de IAM y su dispositivo se pierde o deja de funcionar, no puede recuperarlo usted mismo. Debe ponerse en contacto con un administrador para desactivar el dispositivo. Después, puede habilitar un nuevo dispositivo.

Para obtener ayuda relacionada con un dispositivo de MFA asociado a un usuario de IAM
  1. Póngase en contacto con el administrador de AWS o cualquier otra persona que le diera el nombre de usuario y la contraseña de usuario de IAM. El administrador debe desactivar el dispositivo de MFA tal y como se describe en Desactivación de dispositivos MFA para que pueda iniciar sesión.

  2. El siguiente paso varía en función del tipo de MFA que utilice:

    nota

    No es necesario reemplazar un dispositivo MFA perdido o robado con el mismo tipo de dispositivo. Puede tener hasta ocho dispositivos MFA de cualquier combinación. Por ejemplo, si se rompe la clave de seguridad FIDO y pide una nueva, puede utilizar MFA virtual o un token TOTP de hardware hasta que reciba una nueva clave de seguridad FIDO.

  3. Si su dispositivo MFA ha sido robado o se ha extraviado, cambie su contraseña para que la persona que tenga el dispositivo de autenticación no tenga también su contraseña actual. Para obtener más información, consultar Administración de las contraseñas de los usuarios de IAM