Volver al blog
4 min de lectura

Por qué el 2FA por SMS ya no es suficiente

Los códigos SMS pueden ser robados. Aprende sobre mejores métodos de autenticación de dos factores que realmente protegen tus cuentas.

Por qué el 2FA por SMS ya no es suficiente

Activaste la autenticación de dos factores. ¡Genial! Pero si usas códigos SMS, no estás tan seguro como crees.

Códigos SMS: El problema

Cuando inicias sesión en algún lugar y recibes un código por mensaje de texto, ese código viaja a través de la red de tu operador. Y esa red puede ser engañada.

SIM swapping: básicamente, es cuando un atacante convence a tu compañía telefónica de mover tu número a su teléfono. Llaman al servicio al cliente, haciéndose pasar por ti, y dicen que perdieron su teléfono. Una vez que tu número está en su tarjeta SIM, reciben todos tus mensajes de texto, incluyendo esos códigos de seguridad.

Esto no es algo de películas de hackers alejado de la realidad. El fraude de SIM swap ha crecido masivamente y sigue aumentando. Con la nueva tecnología eSIM, los atacantes ahora pueden robar tu número en menos de cinco minutos.

Cómo sucede

  1. Te investigan — Tu nombre, fecha de nacimiento, dirección de redes sociales o filtraciones de datos
  2. Llaman a tu operador — Haciéndose pasar por ti, diciendo que perdieron el teléfono
  3. Tu teléfono muere — Tu número se mueve a su dispositivo
  4. Restablecen tus contraseñas — Usando códigos SMS que ahora les llegan a ellos

Algunos atacantes ni siquiera necesitan llamar a nadie: Explotan viejos protocolos de telecomunicaciones llamados SS7 para redirigir tus mensajes directamente.

¿Ayuda algún 2FA?

¡Sí! Microsoft descubrió que las cuentas con cualquier forma de MFA tienen un 99.9% menos de probabilidades de ser hackeadas. El problema es que SMS es la forma más débil de MFA. Es mejor que nada, pero hay opciones mucho más fuertes.

Mejores opciones

Apps de autenticación (Bueno)

En lugar de recibir códigos por texto, una app genera códigos directamente en tu teléfono. Los códigos nunca viajan por ninguna red — se generan directamente en tu dispositivo.

¿Por qué una app separada? La mayoría de los gestores de contraseñas también ofrecen códigos 2FA. Conveniente. Pero si alguien entra en tu gestor de contraseñas, obtiene tanto las contraseñas como los códigos 2FA. Game over. Mantenerlos separados significa que un atacante necesita comprometer dos apps para entrar. No pongas todos los huevos en una canasta.

Aplicaciones recomendadas:

  • Aegis — Gratis, código abierto, solo Android. Alto nivel de personalización, copias de seguridad cifradas.
  • Ente Auth — Gratis, código abierto, funciona en todas partes incluyendo escritorio y web.

Llaves de seguridad de hardware (Mejor)

Un pequeño dispositivo USB que conectas cuando inicias sesión. Sin códigos que escribir — solo toca la llave.

Las opciones populares incluyen YubiKey y Google Titan Key. Funcionan con la mayoría de los servicios principales: Google, Microsoft, GitHub y muchos más.

La llave usa criptografía que verifica si estás en el sitio web real. Si hiciste clic en un enlace de phishing, no funcionará en sitios falsos.

Passkeys (Lo mejor)

La opción más nueva. Tu teléfono o computadora genera una clave criptográfica única para cada sitio. Nada que recordar, nada que escribir.

Los passkeys están implementados en iOS, Android, Windows y macOS. Más sitios web los soportan — Google, Apple, Microsoft, PayPal y otros.

Como las llaves de hardware, verifica automáticamente si un sitio web es real. Hace que el phishing sea casi imposible.

Cómo asegurar tus cuentas

  • Llama a tu operador y solicita un bloqueo de puerto o SIM
  • Configura una app de autenticación (Aegis o Ente Auth)
  • Mueve todas tus cuentas que dependen de SMS a la app, empezando por email y banca
  • Guarda tus códigos de respaldo en un lugar seguro, pero no en tu teléfono
  • Consigue una llave de seguridad de hardware para tus cuentas más importantes
  • Activa passkeys donde sea que se ofrezcan

¿Respaldo?

Hay un miedo asociado con las apps de autenticación: ¿qué pasa si pierdes tu teléfono?

  • Aegis permite exportar copias de seguridad cifradas
  • Ente Auth sincroniza entre dispositivos
  • La mayoría de los servicios proporcionan códigos de respaldo al configurar 2FA — guárdalos en un lugar seguro

¿Llaves de hardware? Compra dos, guarda una como respaldo.

Conclusión

Hace una década, los códigos SMS estaban bien. Hoy en día, son un punto débil que los atacantes saben aprovechar.

Cambiar a una app de autenticación toma quizás 30 minutos y te hace dramáticamente más seguro. Las llaves de hardware y passkeys van aún más lejos.

Etiquetas: security privacy passwords 2fa
Signal vs Session: ¿Qué …
×