Ayuda y FAQ/Seguridad y privacidad
Porque es una decisión deliberada, no un descuido. La 2FA de siempre - un código por SMS o una app de autenticación - existe para apuntalar contraseñas débiles elegidas por humanos, y se apoya en un secreto compartido y una vía de recuperación guardados en un servidor. Esa es exactamente la superficie de ataque que el modelo de frase elimina: tu dispositivo demuestra que posee la llave firmando un desafío, así que nuestros servidores solo reciben una clave pública y una firma - nunca la frase, nunca un hash de contraseña. Atornillarle un código encima reintroduciría la maquinaria de servidor que este diseño evita a propósito, sin aportar nada contra la adivinación, porque 128 bits ya cierran esa puerta.
El único segundo factor que de verdad sumaría es uno resistente al phishing, como una llave de seguridad física o una passkey, porque los riesgos residuales reales no son adivinar, sino el phishing, el malware y una frase robada o espiada por encima del hombro. En un dispositivo desbloqueado y desatendido, el bloqueo de la app (PIN) y el desbloqueo biométrico son el respaldo local.
Más allá de eso, la frase es la llave, así que respáldala el mismo día que crees tu cuenta: guárdala en un gestor de contraseñas de confianza, o imprímela o escríbela y guarda esa copia en un lugar seguro. Y nunca la pegues en ningún sitio que no sea la propia app.