Seguridad y autenticación de dos factores
Seguridad de la cuenta: doble autenticación y conexiones sospechosas
Introducción
Fotostudio integra ahora varios mecanismos para proteger tu cuenta: doble autenticación (MFA), detección de conexiones inusuales, historial de conexiones e invalidación automática de sesiones en caso de cambio de contraseña.
Doble autenticación (MFA)
¿Qué es?
La doble autenticación añade un segundo paso a tu conexión. Después de introducir tu contraseña, debes ingresar un código de 6 dígitos generado por una aplicación de autenticación en tu teléfono. Aunque alguien robe tu contraseña, no puede acceder a tu cuenta sin tu teléfono.
¿Qué aplicación usar?
El MFA de Fotostudio se basa en el protocolo TOTP (estándar abierto RFC 6238), compatible con todas las apps de autenticación del mercado:
- Google Authenticator (iOS / Android)
- Authy
- Microsoft Authenticator
- 1Password, Bitwarden, etc.
Activar el MFA
- Ve a Mi cuenta → Seguridad → Doble autenticación
- Instala una app de autenticación en tu teléfono
- Escanea el código QR mostrado con tu app
- Introduce el código de 6 dígitos generado por la app para confirmar
- Elige la frecuencia de verificación (ver más abajo)
- Guarda tus códigos de recuperación (paso crítico, ver sección dedicada)
Frecuencia de verificación
Al activarlo, eliges cuándo se te pide el código:
Opción | Comportamiento |
|---|---|
En cada conexión | El código se pide siempre, sin excepción |
Al conectarse desde un navegador desconocido | El código se memoriza 90 días en este navegador mediante una cookie segura. Se te volverá a pedir si cambias de navegador o dispositivo, borras tus cookies, cambias tu contraseña, o te conectas desde un país inusual |
A tener en cuenta: en modo "navegador desconocido", si siempre vuelves al mismo navegador sin borrar tus cookies, el código no se te pedirá durante 90 días. Es una elección de comodidad deliberada, similar al comportamiento de sitios importantes como Google.
Desactivar el MFA
Ve a Mi cuenta → Seguridad → Doble autenticación y haz clic en Desactivar. Se pide una confirmación.
Códigos de recuperación
Por qué es importante
Si pierdes acceso a tu teléfono (robo, avería, nueva app), los códigos de recuperación son la única manera de conectarte. Sin ellos, tu cuenta sería inaccesible.
Cómo funciona
- Al activar el MFA, se generan y muestran 10 códigos de recuperación una sola vez
- Cada código tiene el formato
XXXX-XXXX-XXXX - Un código es de un solo uso: una vez utilizado, queda definitivamente invalidado
- Se usan en lugar del código TOTP en la página de conexión MFA
Cómo guardarlos
- En tu gestor de contraseñas (1Password, Bitwarden…)
- En un archivo cifrado
- Impresos y conservados en un lugar seguro
Regenerar los códigos
Si te acercas a 0 códigos restantes, o si crees que tus códigos han sido comprometidos:
- Ve a Mi cuenta → Seguridad → Doble autenticación
- Haz clic en Regenerar los códigos de recuperación
- Los códigos antiguos quedan inmediatamente invalidados
- Guarda los nuevos códigos
El número de códigos restantes se muestra en la página Seguridad. Una advertencia aparece automáticamente cuando quedan 2 o menos.
Detección de conexiones inusuales
Fotostudio analiza automáticamente cada conexión y compara el país de la dirección IP actual con el de la última conexión conocida.
¿Qué pasa en caso de conexión sospechosa?
Email de alerta automático - recibes un email indicando:
- El país detectado
- La dirección IP
- La fecha y hora de la conexión
- Un enlace directo para cambiar tu contraseña
- Un enlace para activar el MFA si aún no está hecho
Si tienes el MFA activado - aunque tu navegador estuviera marcado como "de confianza", el código TOTP se te vuelve a pedir automáticamente en caso de conexión desde un país diferente.
Lo que no activa una alerta
- Mismo país, dirección IP diferente (cambio de red, 4G → WiFi, etc.)
- Conexiones desde direcciones locales (red interna, desarrollo)
Si recibes un email de alerta y no eres el origen de esta conexión, cambia inmediatamente tu contraseña mediante el enlace en el email.
Historial de conexiones y página Seguridad
La página Mi cuenta → Seguridad centraliza toda la información de seguridad de tu cuenta:
Estado MFA
- Si el MFA está activo: fecha de activación, número de códigos de recuperación restantes, enlace a la gestión
- Si el MFA está inactivo: invitación a activarlo con enlace directo
Historial de conexiones
Muestra las 50 últimas conexiones a tu cuenta con:
Columna | Detalle |
|---|---|
Fecha | Fecha y hora de la conexión |
País | País detectado mediante la dirección IP |
Dirección IP | IP utilizada durante la conexión |
Navegador | User-agent del navegador |
⚠️ | Conexión desde un país inusual |
🔒 | Código MFA verificado durante esta conexión |
Cambio de contraseña
Cuando cambias tu contraseña desde Mi perfil, varias acciones de seguridad se activan automáticamente:
- Todas las demás sesiones activas son invalidadas - cualquier persona conectada a tu cuenta en otro dispositivo es inmediatamente desconectada
- La confianza de todos los dispositivos MFA es revocada - el código TOTP será pedido en todos los dispositivos en la próxima conexión, incluso los previamente memorizados
Protección contra ataques de fuerza bruta
Como complemento al MFA, Fotostudio limita automáticamente los intentos de conexión:
Punto de entrada | Límite |
|---|---|
Página de conexión (por IP) | 5 intentos por minuto |
Página de conexión (por email) | 10 intentos por 10 minutos |
Código MFA | 5 intentos por 5 minutos |
Restablecimiento de contraseña | 10 intentos por 10 minutos |
Más allá de estos límites, el acceso es temporalmente bloqueado.
Si tienes un mensaje diciendo que tu cuenta está bloqueada cuando intentas conectarte, debes esperar 1h para que se desbloquee automáticamente o contactar al soporte para que lo desbloqueen instantáneamente.
FAQ
P: Mi código TOTP no es aceptado.
Verifica que la hora de tu teléfono esté bien sincronizada automáticamente. Una desincronización del reloj impide la validación del código. Si el problema persiste, usa un código de recuperación
Actualizado el: 18/06/2026
¡Gracias!