# Autenticación multifactor para Usuario raíz de la cuenta de AWS
<a name="enable-mfa-for-root"></a>

**importante**  
AWS recomienda, en lo posible, que se utilice una clave de paso o de seguridad para la MFA en AWS, ya que son más resistentes a ataques como el phishing. Para obtener más información, consulte [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root).

La autenticación multifactor (MFA) es un mecanismo simple y eficaz para mejorar la seguridad. El primer factor, su contraseña, es un secreto que debe memorizar, también conocido como factor de conocimiento. Otros factores pueden ser factores de posesión (algo que posea, como una clave de seguridad) o factores inherentes (algo que sea suyo y solo suyo, como un escaneo biométrico). Para más seguridad, le recomendamos encarecidamente que configure la autenticación multifactor (MFA) para ayudar a proteger sus recursos de AWS.

**nota**  
Todos los tipos de Cuenta de AWS (cuentas independientes, cuentas de administración y cuentas de miembros) requieren que la MFA esté configurada para su usuario raíz. Los usuarios deben registrar la MFA en un plazo de 35 días a partir de su primer intento de inicio de sesión para acceder a la Consola de administración de AWS si la MFA aún no está habilitada.

Puede habilitar MFA para el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Cuando habilita la MFA para el usuario raíz, esto solo afecta a las credenciales del usuario raíz. Para obtener más información sobre cómo habilitar MFA para los usuarios de IAM, consulte [Autenticación multifactor de AWS en IAM](id_credentials_mfa.md).

**nota**  
Las Cuentas de AWS administradas con AWS Organizations pueden tener la opción de [administrar de forma centralizada el acceso raíz](id_root-user.md#id_root-user-access-management) de las cuentas miembro para prevenir la recuperación de credenciales y el acceso a escala. Si esta opción está habilitada, puede eliminar las credenciales del usuario raíz de las cuentas miembro, incluidas las contraseñas y la MFA, lo que previene de manera efectiva el inicio de sesión como usuario raíz, la recuperación de la contraseña o la configuración de la MFA. Como alternativa, si prefiere mantener métodos de inicio de sesión basados en contraseñas, registre la MFA para mejorar la protección de la cuenta.

Antes de habilitar la MFA para su usuario raíz, revise y [actualice la configuración de la cuenta y la información de contacto](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html) para asegurarse de que tiene acceso al correo electrónico y al número de teléfono. Si su dispositivo MFA se pierde, se lo roban o no funciona, puede iniciar sesión como usuario raíz mediante la verificación de su identidad con ese correo electrónico y número de teléfono. Para obtener más información acerca de cómo iniciar sesión con factores de autenticación alternativos, consulte [Recuperación de una identidad protegida por MFA en IAM](id_credentials_mfa_lost-or-broken.md). Para deshabilitar esta característica, póngase en contacto con [AWS Support](https://console.aws.amazon.com/support/home#/). 

AWS admite los siguientes tipos de MFA para el usuario raíz:
+ [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root)
+ [Aplicaciones de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens TOTP físicos](#hardware-totp-token-for-root)

## Claves de acceso y claves de seguridad
<a name="passkeys-security-keys-for-root"></a>

AWS Identity and Access Management admite claves de acceso y claves de seguridad para MFA. Según los estándares FIDO, las claves de acceso utilizan la criptografía de clave pública para proporcionar una autenticación sólida y resistente a la suplantación de identidad que es más segura que las contraseñas. AWS admite dos tipos de claves de acceso: claves de acceso vinculadas al dispositivo (claves de seguridad) y claves de acceso sincronizadas.
+ **Claves de seguridad**: son dispositivos físicos, como una YubiKey, que se utilizan como segundo factor de autenticación. Una sola clave de seguridad puede admitir varias cuentas de usuario raíz y usuarios de IAM. 
+ **Claves de acceso sincronizadas**: utilizan administradores de credenciales de proveedores como Google, Apple, cuentas de Microsoft y servicios de terceros como 1Password, Dashlane y Bitwarden como segundo factor.

Puede utilizar autenticadores biométricos integrados, como Touch ID en los MacBooks de Apple, para desbloquear el administrador de credenciales e iniciar sesión en AWS. Las claves de acceso se crean con el proveedor que elija mediante su huella digital, su rostro o el PIN del dispositivo. También puede utilizar una clave de acceso de autenticación entre dispositivos (CDA) de un dispositivo, como un dispositivo móvil o una clave de seguridad de hardware, para iniciar sesión en otro dispositivo, como una computadora portátil. Para obtener más información, consulte [cross-device authentication](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).

Puede sincronizar las claves de acceso entre sus dispositivos para facilitar el inicio de sesión con AWS y mejorar la usabilidad y la capacidad de recuperación. Para obtener más información acerca de la habilitación de las claves de acceso y las claves de seguridad, consulte [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md).

FIDO Alliance mantiene una lista de todos los [productos certificados por FIDO](https://fidoalliance.org/certification/fido-certified-products/) que son compatibles con las especificaciones de FIDO.

## Aplicaciones de autenticador virtual
<a name="virtual-auth-apps-for-root"></a>

Una aplicación de autenticador virtual se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Las aplicaciones de autenticación virtual aplican el algoritmo de [contraseña temporal de un solo uso](https://datatracker.ietf.org/doc/html/rfc6238) (TOTP) y admiten varios tokens en un mismo dispositivo. El usuario debe escribir un código válido del dispositivo cuando se le solicite durante el proceso de inicio de sesión. Cada token asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el token de otro usuario para la autenticación.

Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para ver una lista de algunas aplicaciones compatibles que puede utilizar como dispositivos de MFA virtuales, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obtener instrucciones acerca de cómo configurar un dispositivo MFA virtual con AWS, consulte [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md).

## Tokens TOTP físicos
<a name="hardware-totp-token-for-root"></a>

Un dispositivo de hardware genera un código numérico de seis dígitos basado en el [algoritmo de contraseña temporal de un solo uso (TOTP)](https://datatracker.ietf.org/doc/html/rfc6238). El usuario debe escribir un código válido del dispositivo en otra página web durante el inicio de sesión. Cada dispositivo MFA asignado a un usuario debe ser único. Un usuario no puede escribir un código desde el dispositivo de otro usuario para la autenticación. Para obtener más información sobre los dispositivos MFA físicos admitidos, consulte [Autenticación multifactor (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1). Para obtener instrucciones sobre cómo configurar un token TOTP de hardware con AWS, consulte [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md).

Si desea usar un dispositivo MFA físico, le recomendamos que utilice las claves de seguridad FIDO como una alternativa a los dispositivos TOTP físicos. Las claves de seguridad FIDO tienen la ventaja de que no necesitan baterías, son resistentes a la suplantación de identidad y son compatibles con varios usuarios raíz o de IAM en un solo dispositivo, lo que mejora la seguridad.

**Topics**
+ [Claves de acceso y claves de seguridad](#passkeys-security-keys-for-root)
+ [Aplicaciones de autenticador virtual](#virtual-auth-apps-for-root)
+ [Tokens TOTP físicos](#hardware-totp-token-for-root)
+ [Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)](enable-fido-mfa-for-root.md)
+ [Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)](enable-virt-mfa-for-root.md)
+ [Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)](enable-hw-mfa-for-root.md)

# Habilitación de una clave de acceso o clave de seguridad para el usuario raíz (consola)
<a name="enable-fido-mfa-for-root"></a>

Puede configurar y habilitar una clave de acceso para el usuario raíz únicamente desde la Consola de administración de AWS, no desde la AWS CLI ni desde la API de AWS. <a name="enable_fido_root"></a>

**Cómo habilitar una clave de acceso o clave de seguridad para su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Credenciales de seguridad**.  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. En la página **Mis credenciales de seguridad** del usuario raíz, en **Autenticación multifactor (MFA**), elija **Asignar dispositivo de MFA**.

1. En la página de **nombres del dispositivo de MFA**, introduzca un **Nombre de dispositivo**, elija **Clave de acceso o Clave de seguridad** y, a continuación, elija **Siguiente.**

1. En **Configurar dispositivo**, configure su clave de acceso. Cree una clave de acceso con datos biométricos, como su rostro o huella digital, con el PIN del dispositivo o al insertar la clave de seguridad FIDO en el puerto USB de la computadora y al pulsarla.

1. Siga las instrucciones del navegador para elegir un proveedor de claves de acceso o dónde quiere guardarlas para utilizarlas en todos sus dispositivos. 

1. Elija **Continuar**.

Ya ha registrado su clave de acceso para usarla con AWS. La próxima vez que utilice sus credenciales de usuario raíz para iniciar sesión, deberá realizar la autenticación con su clave de seguridad para completar el proceso de inicio de sesión.

Para obtener ayuda sobre cómo solucionar problemas con su llave de seguridad FIDO, consulte [Solucionar problemas con claves de acceso y claves de seguridad FIDO](troubleshoot_mfa-fido.md).

# Habilitación de un dispositivo MFA virtual para el usuario raíz (consola)
<a name="enable-virt-mfa-for-root"></a>

Puede utilizar Consola de administración de AWS para configurar y habilitar un dispositivo MFA virtual para su usuario raíz. Para habilitar dispositivos MFA para la Cuenta de AWS, debe haber iniciado sesión en AWS con las credenciales de usuario raíz. 

**Para configurar y habilitar un dispositivo MFA virtual para utilizarlo con su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y seleccione **Security Credentials** (Credenciales de seguridad).  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. En la sección **Multi-Factor Authentication (MFA)** (Autenticación multifactor [MFA]), elija **Assign MFA device** (Asignar dispositivo MFA).

1. En el asistente, escriba un **Nombre de dispositivo**, elija **Aplicación del autenticador** y luego, **Siguiente**.

   IAM generará y mostrará la información de configuración del dispositivo MFA virtual, incluido un gráfico de código QR. El gráfico es una representación de la clave de configuración secreta que se puede introducir manualmente en dispositivos que no admiten códigos QR.

1. Abra la aplicación de MFA virtual en el dispositivo. 

   Si la aplicación de MFA virtual admite varios dispositivos o cuentas de MFA, elija la opción para crear un nuevo dispositivo o cuenta de MFA virtual.

1. La forma más sencilla de configurar la aplicación consiste en utilizar la aplicación para escanear el código QR. Si no puede analizar el código, puede escribir la información de configuración manualmente. El código QR y la clave de configuración secreta generada por IAM están vinculados a su Cuenta de AWS y no se pueden utilizar con otra cuenta. Sin embargo, se pueden volver a utilizar para configurar un dispositivo MFA nuevo para su cuenta en caso de que pierda el acceso al dispositivo MFA original.
   + En el asistente, para utilizar el código QR para configurar el dispositivo MFA virtual, elija **Show QR code (Mostrar código QR)**. A continuación, siga las instrucciones de la aplicación para escanear el código. Por ejemplo, puede que tenga que elegir el icono de la cámara o un comando similar a **Scan account barcode (Escanear código de barras)** y, a continuación, utilizar la cámara del dispositivo para analizar el código QR.
   + En el asistente **Set up device** (Configurar el dispositivo), elija **Show secret key** (Mostrar clave secreta) y, a continuación, escriba la clave secreta en su aplicación MFA.
**importante**  
Haga una copia de seguridad protegida del código QR o la clave de configuración secreta, o asegúrese de habilitar varios dispositivos MFA para su cuenta. Puede registrar hasta **ocho** dispositivos MFA de cualquier combinación de los [tipos de MFA admitidos actualmente](https://aws.amazon.com/iam/features/mfa/) con el Usuario raíz de la cuenta de AWS y los usuarios de IAM. Un dispositivo MFA virtual puede dejar de estar disponible si, por ejemplo, pierde el smartphone donde se aloja el dispositivo MFA virtual. Si eso ocurre y no puede iniciar sesión en su cuenta sin dispositivos de MFA adicionales asociados al usuario o incluso mediante [Recuperación de un dispositivo MFA de usuario raíz](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken), no podrá iniciar sesión en su cuenta y tendrá que [contactarse con el servicio de atención al cliente](https://support.aws.amazon.com/#/contacts/aws-mfa-support) para eliminar la protección de MFA de la cuenta. 

   El dispositivo comienza a generar números de seis dígitos.

1. En el asistente, en la casilla **MFA code 1** (Código MFA 1), escriba la contraseña de un solo uso que aparece actualmente en el dispositivo MFA virtual. Espere hasta 30 segundos a que el dispositivo genere una nueva contraseña de uso único. A continuación, escriba la otra contraseña de uso único en el cuadro **MFA code 2 (Código MFA 2)**. Elija **Add MFA** (Agregar MFA). 
**importante**  
Envíe su solicitud inmediatamente después de generar el código. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

El dispositivo ya está listo para utilizarlo con AWS. Para obtener más información sobre el uso de MFA con la Consola de administración de AWS, consulte [Inicio de sesión con MFA habilitado](console_sign-in-mfa.md).

# Habilitación de un token TOTP de hardware para el usuario raíz de la (consola)
<a name="enable-hw-mfa-for-root"></a>

Puede configurar y habilitar un dispositivo MFA virtual para el usuario raíz únicamente desde la Consola de administración de AWS, no desde la AWS CLI ni la API de AWS.

**nota**  
Puede ver texto diferente, como, por ejemplo, **Iniciar sesión mediante MFA** y **Solución de problemas con el dispositivo de autenticación**. Sin embargo, se proporcionan las mismas características. En cualquier caso, si no puede verificar la dirección de correo electrónico y el número de teléfono de su cuenta mediante factores de autenticación alternativos, póngase en contacto con [AWS Support](https://aws.amazon.com/forms/aws-mfa-support) para eliminar la configuración de MFA.<a name="enable_physical_root"></a>

**Para habilitar un token TOTP de hardware para su usuario raíz (consola)**

1. Abra la [Consola de administración de AWS](https://console.aws.amazon.com/) e inicie sesión con sus credenciales de usuario raíz.

   Para obtener instrucciones, consulte [Iniciar sesión en la Consola de administración de AWS como usuario raíz](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html) en la *Guía del usuario de AWS Sign-In*.

1. En la parte derecha de la barra de navegación, elija su nombre de cuenta y, a continuación, **Credenciales de seguridad**.  
![\[Credenciales de seguridad en el menú de navegación\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)

1. Expanda la sección **Autenticación multifactor (MFA)**.

1. Elija **Assign MFA device** (Asignar dispositivo MFA).

1. En el asistente, escriba un **Device name** (Nombre del dispositivo), elija **Hardware TOTP token** (Token TOTP de hardware) y, a continuación, elija **Next** (Siguiente).

1. En el campo **Serial number (Número de serie)**, escriba el número de serie que se encuentra en la parte posterior del dispositivo MFA.

1. En el cuadro **Código MFA 1**, escriba el número de seis dígitos que se encuentra en el dispositivo MFA. Es posible que tenga que pulsar el botón de la parte anterior del dispositivo para mostrar el número.  
![\[Panel de IAM, dispositivo MFA\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/MFADevice.png)

1. Espere 30 segundos a que el dispositivo actualice el código y, a continuación, escriba el número de seis dígitos siguiente en el cuadro **Código MFA 2**. Es posible que tenga que volver a pulsar el botón de la parte anterior del dispositivo para mostrar el otro número.

1. Elija **Add MFA** (Agregar MFA). Ahora el dispositivo MFA está asociado a Cuenta de AWS.
**importante**  
Envíe su solicitud inmediatamente después de generar los códigos de autenticación. Si genera los códigos y después espera demasiado tiempo a enviar la solicitud, el dispositivo MFA se asociará correctamente al usuario, pero no estará sincronizado. Esto ocurre porque las contraseñas temporales de un solo uso (TOTP) caducan tras un corto periodo de tiempo. Si esto ocurre, puede [volver a sincronizar el dispositivo](id_credentials_mfa_sync.md).

   La siguiente vez que utilice sus credenciales de usuario raíz para iniciar sesión, debe escribir un código del dispositivo de MFA.