> ## Documentation Index
> Fetch the complete documentation index at: https://woku.app/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticación en dos pasos (MFA)

> Cómo activar TOTP en tu cuenta, gestionar códigos de respaldo y desactivar el segundo factor

Woku soporta **MFA TOTP** (códigos de un solo uso, 6 dígitos, cada 30
segundos) compatible con cualquier app de autenticación: Google
Authenticator, 1Password, Authy, Microsoft Authenticator, Bitwarden,
etc.

## Activar MFA

1. En **admin.woku.app**, abre tu perfil (esquina superior derecha →
   tu nombre).
2. Busca la sección **"Autenticación en dos pasos"** y haz clic en
   **Activar**.
3. Verás un código QR + un secreto en texto plano. Escanea el QR
   con tu app de autenticación (o ingresa el secreto manualmente).
4. Guarda los **10 códigos de respaldo** que aparecen en pantalla. Se
   muestran una sola vez. Puedes descargarlos como `.txt`.
5. Ingresa el código de 6 dígitos que muestra tu app y confirma.

A partir de ese momento la MFA queda activa para tu cuenta.

## Códigos de respaldo

* Son 10 códigos hexadecimales de 12 caracteres en mayúsculas.
* Se usan como **alternativa** al código TOTP cuando pierdes acceso a
  tu app (teléfono perdido, app desinstalada).
* **Cada código se consume al usarlo**. Cuando te queden pocos,
  regenéralos.
* Se guardan en el servidor como **hashes bcrypt**; en texto plano
  solo los ves en el momento de la generación.

### Regenerar códigos

Si perdiste el listado o consumiste demasiados:

1. Perfil → Autenticación en dos pasos.
2. Ingresa tu código TOTP actual (o uno de respaldo que te quede).
3. Haz clic en **Regenerar códigos de respaldo**.
4. Se invalidan los 10 anteriores y aparecen 10 nuevos.

## Desactivar MFA

1. Perfil → Autenticación en dos pasos.
2. Ingresa un código TOTP válido o uno de respaldo.
3. Haz clic en **Desactivar**.

> **Por qué pedimos un código antes de desactivar:** evita que
> alguien con tu sesión robada (pero sin acceso a tu app) pueda
> deshabilitar tu segundo factor sin que te enteres.

## Ventana de verificación reciente

Algunas acciones sensibles (por ejemplo, futuras integraciones de
admin avanzado) requieren una **re-verificación MFA reciente**: el
servidor exige que la última verificación TOTP haya sido en los
últimos **5 minutos**. Si pasaron más, el sistema te pide ingresar el
código antes de proceder.

## Recuperación en pérdida total

Si perdiste tu app **y** todos los códigos de respaldo: contacta a
soporte (`team@woku.app`). Un administrador interno puede desactivar
la MFA tras verificar tu identidad por canales fuera de banda. Este
proceso queda registrado en el [registro de auditoría](/seguridad/audit-log)
de tu empresa como `auth.unlock`.
