Google ha ampliado las opciones de recuperación de cuentas de Gmail con una función llamada Contactos de recuperación (Recovery Contacts). El objetivo es ofrecer un canal adicional, controlado y verificable, para demostrar identidad cuando los métodos habituales (SMS, email alternativo o llave física) no están disponibles, en un contexto de transición acelerada hacia la autenticación sin contraseñas basada en passkeys.
Contactos de recuperación en Gmail: propósito y encaje con passkeys
Las passkeys se vinculan al dispositivo y al dominio y emplean criptografía de clave pública, lo que las hace resistentes al phishing. Este enfoque está alineado con las guías de NIST SP 800‑63 para autenticadores resistentes a suplantación. Sin embargo, la pérdida del teléfono o la imposibilidad de usar un segundo factor puede bloquear el acceso. Los Contactos de recuperación añaden resiliencia al proceso de restablecimiento mediante la validación de personas de confianza previamente designadas.
Cómo funciona el restablecimiento con personas de confianza
El titular de la cuenta puede designar hasta 10 contactos de recuperación y, a su vez, una persona puede actuar como contacto de confianza para hasta 25 cuentas. Cuando se inicia un proceso de recuperación, el contacto recibe una notificación con tres códigos numéricos; debe seleccionar el código que el titular le haya comunicado por un canal acordado previamente. Este diseño minimiza la posibilidad de aprobación accidental.
Verificaciones en segundo plano y bloqueo temporal preventivo
Para reducir riesgos de abuso, Google aplica verificaciones adicionales: historial y huella del dispositivo, dirección IP, geolocalización y otros indicadores de telemetría. Incluso con la aprobación del contacto, el sistema puede imponer un bloqueo temporal para completar comprobaciones de seguridad y dar margen al propietario legítimo para validar la solicitud.
Ventanas temporales, exclusiones y cobertura
Las solicitudes a contactos de recuperación tienen una validez de 15 minutos. Si no hay respuesta en ese intervalo, será necesario reenviar la petición o escoger a otra persona. La función no está disponible para cuentas corporativas de Google Workspace, participantes del Advanced Protection Program ni cuentas infantiles. No obstante, estas cuentas sí pueden actuar como contactos de recuperación para terceros.
Riesgos de ingeniería social y cómo mitigarlos
Todo esquema que involucra intervención humana es susceptible a ingeniería social. Un escenario típico consiste en que un atacante inicie la recuperación y contacte al “familiar o colega de confianza” desde un correo o número falsificado para persuadirle de confirmar el código. El Verizon Data Breach Investigations Report 2024 señala que el factor humano sigue siendo determinante en una gran proporción de incidentes, lo que subraya la necesidad de procedimientos claros y entrenamiento continuo.
Buenas prácticas para una configuración segura
– Selecciona contactos capaces de responder con rapidez y con nociones básicas de ciberhigiene.
– Acordad un canal de verificación previo (por ejemplo, llamada de voz al número principal) y evitad aprobar solicitudes recibidas por canales no acordados.
– El contacto no debe confirmar ningún código sin validar antes la identidad del solicitante según un “protocolo” pactado (palabra clave, pregunta, o una videollamada breve).
– Revisa periódicamente el listado de contactos y la vigencia de sus medios de comunicación.
Passkeys y recuperación: seguridad complementaria, no sustitutiva
Las passkeys (FIDO2/WebAuthn) proporcionan autenticación resistente al phishing al estar limitadas al dominio y no exponer secretos reutilizables. Recursos como NIST SP 800‑63 y la práctica de la industria recomiendan su adopción como pilar de autenticación moderna. Contactos de recuperación no reemplazan passkeys ni llaves de hardware; agregan una vía de recuperación robusta ante incidentes comunes como el extravío o daño del dispositivo. En paralelo, la concienciación frente a la ingeniería social, respaldada por informes como el Verizon DBIR 2024, es clave para reducir aprobaciones fraudulentas.
La nueva opción de Gmail equilibra comodidad y control al endurecer el restablecimiento de cuentas sin sacrificar usabilidad. Para maximizar su eficacia, conviene combinar passkeys, factores de respaldo y contactos de recuperación bien instruidos, además de probar periódicamente el proceso de recuperación. Configura hoy tus contactos, ensaya el “protocolo de verificación” y refuerza tu postura de seguridad antes de que ocurra un incidente.
