Security UX

Al activar la verificación en dos pasos, presenta passkeys, apps TOTP y llaves de seguridad fisicas como opciones primarias, y deja SMS como secundario con una advertencia explicita. Los métodos criptograficos resisten el phishing porque su salida esta ligada al dominio de origen; SMS no lo esta y es vulnerable a SIM-swap e interceptación SS7. NIST clasifica los autenticadores vía PSTN como "restricted" y exige que AAL2 ofrezca al menos una opción resistente a phishing. Microsoft estima que MFA habria detenido el 99.9% de los compromisos de cuenta.

La página de seguridad debe mostrar cada sesión activa con navegador, sistema operativo, ubicación aproximada y último acceso, y permitir cerrar cualquier sesión remota con un clic. Sin ese contexto el usuario no puede distinguir su propia actividad de un acceso intruso, y sin el botón de revocar depende de soporte técnico para reaccionar. GitHub expone una página dedicada con "Revoke sessión" por entrada; revocar una sesión móvil la elimina además como segundo factor. En el estudio CHI 2024 (n=229), más del 95% de usuarios esperaban algun tipo de notificación de seguridad.

En el momento de activar MFA, no bajo demanda, el sistema debe generar un set de códigos de un solo uso y mostrarlos con opciones claras de guardado y un paso de confirmación. Sin esos códigos, un usuario que pierde su dispositivo puede quedar bloqueado permanentemente. El momento de entrega es critico: mostrarlos una sola vez dentro del flujo de activación maximiza la probabilidad de que se guarden; enterrarlos en configuración avanzada significa que casi nadie los descargara. GitHub genera 16 códigos y ofrece descargar, imprimir o copiar.

Nunca muestres un prompt "Tu contrasena vence en 14 días" si no hay evidencia de brecha. La rotación forzada sin motivo empuja a los usuarios a cambios triviales (incrementar un número, anadir un simbolo al final) que no mejoran la seguridad, o a apuntar contrasenas difíciles dejando el sistema más expuesto. NIST prohibe la rotación periodica obligatoria y solo admite forzar el cambio cuando hay evidencia de que el autenticador fue comprometido. Las politicas de 90 días provienen de estandares pre-2017 ya retirados: mantenerlas es deuda de UX y de seguridad a la vez.

Envia notificación inmediata por email y en-app ante inicio de sesión en dispositivo nuevo, cambio de contrasena, cambio de MFA y revocación de sesiones. La alerta debe incluir dispositivo, ubicación aproximada, hora y un enlace directo a "No fui yo, asegurar mi cuenta". La inmediatez es decisiva: recibir la alerta en tiempo real permite actuar antes del daño. En el estudio CHI 2024 (n=229) ~80% vio la notificación, pero ante un login malicioso solo 22% cambio su contrasena pese a tener toda la información. Una alerta vaga ("actividad inusual, inicia sesión para revisar") no da al usuario nada con que decidir.

Todo campo de autenticación (contrasena, código OTP, PIN de recuperación) debe permitir pegar desde el portapapeles y ser compatible con gestores de contrasenas vía autocomplete. Bloquear el pegado no es una medida de seguridad: es una falla de WCAG 3.3.8 (nivel AA) que obliga a usuarios con discapacidad cognitiva, memoria reducida o baja visión a transcribir manualmente cadenas largas. También es falla pedir "el 1er, 3er y 5to caracter" de la contrasena. Métodos conformes: autocomplete correcto, WebAuthn/biometria, OAuth y QR.

Cada control de seguridad (2FA, revisión de sesiones, alertas de login, passkeys) debe ir acompanado de una descripción de 1-2 oraciones en lenguaje de usuario, no de desarrollador. "Autenticador TOTP" o "RFC 6238" no significan nada para la mayoría; "una app de códigos en tu telefono, como Google Authenticator" si. Los usuarios no activan protecciones que no entienden: la descripción funcional (que hace y contra que protege) es el mecanismo primario de adopción en población no técnica. Usa resumenes de alto nivel con detalle expandible para distintos niveles de sofisticación.

Antes de permitir cambio de contrasena, cambio de email principal, activación o desactivación de MFA, o eliminación de sesiones, solicita la contrasena actual (reautenticación) y envia una notificación al email registrado para que el dueño legitimo pueda cancelar si no fue el. Este patrón crea una ventana de intervención: si un atacante con sesión activa intenta cambiar el email, el dueño recibe el aviso y bloquea el cambio antes de que se complete. NIST anade que la reautenticación debe invalidar sesiones y rotar tokens, reduciendo la ventana de ataque.