Caso de uso

Cómo enviar códigos de respaldo 2FA de forma segura

Los códigos de respaldo son literalmente llaves maestras de tus cuentas — y la mayoría los entrega por email, Slack o WhatsApp, donde quedan en un historial buscable para siempre. Así se le hace llegar un código a la persona correcta sin dejar una copia en ningún lado.

Envía un código por un chat que desaparece — gratis, sin registro

Por qué los canales de siempre son el lugar equivocado para un código de respaldo

Un código de respaldo de dos factores existe por una sola razón: salta tu segundo factor. Cualquiera que encuentre uno puede entrar directo a la cuenta a la que pertenece. Eso hace que el canal por el que lo envías sea tan importante como el código mismo.

El email es el peor de todos. Un código enviado por correo vive en la bandeja de salida del remitente, en la de entrada del destinatario, en los servidores de ambos proveedores y en cada dispositivo que sincroniza cualquiera de los dos buzones — indefinidamente, indexado y buscable. Si alguno de los dos buzones llega a comprometerse, una búsqueda rápida de "código de respaldo" lo encuentra en segundos.

Las apps de mensajería son apenas un poco mejores. WhatsApp, Telegram y Slack guardan el mensaje en el historial por defecto, lo respaldan en la nube y lo sincronizan con cada dispositivo con sesión abierta. Incluso las apps con modos efímeros suelen persistir el mensaje en algún lado primero — en un respaldo, en el registro de notificaciones o en una exportación.

El patrón seguro es simple: el código debe existir en tránsito y en ningún otro lugar. Una vez que el destinatario lo guardó como corresponde (en un gestor de contraseñas, no en una captura de pantalla), no debe quedar copia en ningún servidor, en ningún historial, en ningún dispositivo.

Las formas seguras de entregar un código de respaldo

  • 1. Una bóveda compartida en un gestor de contraseñas — la mejor para acceso continuo

    Si tú y el destinatario ya comparten una bóveda de 1Password, Bitwarden o Proton Pass, pon el código ahí. Está cifrado de extremo a extremo, el acceso es auditable, y nada viaja por un canal de chat. El detalle: solo funciona cuando ambos lados ya usan el mismo gestor — algo que rara vez pasa con familiares o situaciones puntuales.

  • 2. Un chat que desaparece — el mejor para una entrega puntual

    FadeChats te da una sala privada para dos personas donde los mensajes viajan peer-to-peer por un canal WebRTC cifrado y nunca se guardan en ningún servidor. Envía el código, confirma que la otra persona lo guardó, cierra la pestaña — sin historial, sin respaldo, sin copia en ningún lado. No hace falta cuenta ni instalar nada en ninguno de los dos lados, lo que lo hace práctico para la situación exacta que crean los códigos de respaldo: una transferencia urgente y única a alguien que no va a instalar una herramienta para eso.

  • 3. Una nota autodestructiva — sirve para entregas de una sola vía

    Servicios como Privnote o One-Time Secret cifran una nota y la borran tras una lectura. Sólido para un solo código, pero de una vía: si el destinatario necesita confirmar, preguntar a qué cuenta pertenece o pedir el siguiente código, vuelves a un canal inseguro para el seguimiento.

  • 4. En persona o por llamada — el respaldo analógico

    Leer un código en voz alta por teléfono no deja copia digital (asumiendo que ninguno de los dos graba). Lento y propenso a errores con códigos largos, pero funciona cuando no hay nada más disponible.

Dónde termina una copia de tu código

CanalCopia en servidorHistorial en dispositivosBuscable después
EmailSí — ambos proveedores, indefinidamenteCada dispositivo sincronizado
Slack / TeamsSí — historial del workspaceCada dispositivo con sesión
WhatsApp / TelegramRespaldos y sincronización multi-dispositivoSí, salvo que se borre a mano
Nota autodestructivaHasta la primera lecturaNoNo
FadeChatsNunca — solo peer-to-peerSe esfuma al cerrar la pestañaNo
Bóveda compartidaCifrada de extremo a extremoAlmacenamiento cifrado de la appSolo dentro de la bóveda

Comportamiento a julio de 2026. La configuración de respaldo en la nube puede cambiar lo que retienen las apps de mensajería.

Enviar un código por FadeChats

  1. Abre FadeChats

    Se crea una sala privada al instante — sin formularios, sin correo, sin contraseña.

  2. Envía el enlace de invitación de un solo uso

    Compártelo por cualquier canal, incluso uno inseguro. El enlace se canjea exactamente una vez y expira en minutos, así que un enlace interceptado que ya fue usado no vale nada.

  3. Pega el código, confirma, cierra

    El código viaja directo entre sus dos navegadores. Espera a que la otra persona confirme que lo guardó en su gestor de contraseñas y cierra la pestaña — la conversación desapareció y ninguna copia tocó jamás un servidor.

La recomendación honesta

Si los dos viven en el mismo gestor de contraseñas, usen una bóveda compartida — de todos modos es el hogar correcto a largo plazo para un código de respaldo. Para todo lo demás — ayudar a tu papá o a tu mamá a recuperar una cuenta, pasarle un código de emergencia a un compañero de equipo, una transferencia puntual a alguien que no va a instalar nada — usa un chat que desaparece y deja que el canal se borre solo.

Preguntas frecuentes

¿De verdad es inseguro enviar un código de respaldo por email y borrarlo después?

Borrar tu copia no borra la copia del destinatario, las copias en los servidores de los proveedores ni ningún respaldo que cualquiera de los dos buzones haya hecho en el camino. Borrar un correo elimina una de muchas copias — el resto sigue siendo buscable.

¿Qué pasa si alguien intercepta el enlace de invitación de FadeChats?

El enlace de invitación se canjea exactamente una vez y expira a los 10 minutos. Si tu destinatario ya lo usó, un enlace interceptado está muerto. Si alguien más lo canjea primero, tu destinatario no puede entrar — lo notarías de inmediato, y todavía no se ha enviado ningún código.

¿La otra persona puede hacerle captura de pantalla al código?

Sí — ninguna herramienta puede impedir de verdad las capturas de pantalla, incluidas las apps que dicen hacerlo. La meta realista es eliminar las copias que no controlas: registros de servidor, historiales de chat y respaldos. Se supone que el destinatario conserve el código; el punto es que nadie más lo haga.

¿Dónde debería guardar el código el destinatario una vez que lo tiene?

En una entrada de su gestor de contraseñas, idealmente adjunta al inicio de sesión de esa cuenta. No en una captura de pantalla, en una app de notas ni en el historial de otro mensajero — eso solo recrea el problema a un paso de distancia.