/ Seguridad en línea / ¿Por qué la autenticación de dos factores por SMS es vulnerable y qué alternativas usar?
Publicado el mayo 21, 2024

Depender de la autenticación por SMS es dejar la puerta de su vida digital en manos de su operador telefónico, un punto único de fallo peligrosamente vulnerable.

  • El fraude de SIM swapping permite a un atacante robar su número de teléfono y recibir sus códigos de seguridad sin tocar su dispositivo.
  • Las alternativas como las apps de autenticación (TOTP) y las llaves de seguridad físicas (FIDO2) eliminan esta dependencia, devolviéndole el control.

Recomendación: Asuma la soberanía de su identidad digital migrando progresivamente todos sus servicios críticos a métodos de autenticación que no dependan de la red telefónica.

Recibir un código por SMS para confirmar un inicio de sesión se ha convertido en un gesto tan cotidiano que lo asociamos con una seguridad robusta. Sentimos que esa capa extra protege nuestras cuentas bancarias, correos electrónicos y redes sociales de accesos no deseados. Sin embargo, esta confianza se basa en un pilar sorprendentemente frágil: la seguridad de su número de teléfono, un activo que no está realmente bajo su control, sino en manos de su operador de telefonía móvil.

El problema fundamental es que los métodos de autenticación de dos factores (2FA) basados en SMS son susceptibles a ataques sofisticados como el «SIM swapping». Los ciberdelincuentes no necesitan hackear su teléfono; les basta con engañar al personal de su compañía telefónica para que transfieran su número a una SIM que ellos controlan. En ese momento, todos sus códigos de un solo uso, esas llaves de su castillo digital, empiezan a llegar directamente al bolsillo del atacante. Este escenario no es una fantasía de película, sino una amenaza real y creciente que ya ha afectado a miles de usuarios, desde ciudadanos anónimos hasta directivos de alto perfil tecnológico.

Pero si el SMS no es la fortaleza que pensábamos, ¿cuál es la alternativa? La respuesta no está en añadir más cerrojos a la misma puerta, sino en cambiar de paradigma. Se trata de pasar de un sistema dependiente de terceros a uno donde la clave de seguridad se genera y se mantiene bajo su control exclusivo. La verdadera seguridad no consiste en recibir una clave, sino en poseerla. Este cambio conceptual es la base de la soberanía de la identidad digital.

Este artículo explorará en profundidad las mecánicas de estos ataques, desmitificará por qué las aplicaciones de autenticación y las llaves de seguridad físicas son intrínsecamente superiores, y le proporcionará una hoja de ruta clara para construir un sistema de defensa en capas, resiliente y preparado para el futuro de la seguridad digital.

Sumario: Guía completa para una autenticación segura más allá de los mensajes de texto

¿Cómo pueden robarle su número de teléfono para vaciar sus cuentas bancarias en minutos?

El ataque de SIM swapping o duplicado de SIM es una forma de suplantación de identidad que explota las debilidades humanas en los procesos de atención al cliente de las operadoras telefónicas. El atacante, armado con información personal sobre usted (a menudo obtenida de brechas de datos anteriores o de sus redes sociales), contacta a su proveedor de telefonía. Se hace pasar por usted y, con pretextos como la pérdida o el robo de su móvil, solicita que activen una nueva tarjeta SIM con su número. Si el agente de la operadora es convencido, su línea telefónica real se desactiva y pasa a estar bajo el control del atacante.

A partir de ese instante, el delincuente recibe todos sus SMS, incluyendo los códigos de verificación 2FA. Con su contraseña (probablemente obtenida de otra filtración) y estos códigos, puede acceder a su banca online, autorizar transferencias, cambiar contraseñas de otros servicios y tomar el control de su vida digital. Este riesgo es real y su impacto económico es masivo; de hecho, se estima que el costo global del cibercrimen crecerá de 9.22 trillones de dólares en 2024 a 13.82 trillones para 2028.

Caso práctico: el hackeo al CEO de Twitter

En 2019, la cuenta de Twitter de su propio fundador, Jack Dorsey, fue comprometida mediante un ataque de SIM swapping. Los atacantes lograron convencer a su operador telefónico para transferir su número y, una vez con el control, pudieron publicar mensajes ofensivos desde su cuenta utilizando la función de publicar por SMS. Este incidente demostró de manera contundente que nadie, ni siquiera los líderes más informados del sector tecnológico, es inmune a este vector de ataque si su seguridad depende de un número de teléfono.

La primera señal de alerta de un ataque de SIM swapping es la pérdida inexplicable de señal en su teléfono móvil. Si de repente no puede hacer llamadas ni recibirlas en un lugar con cobertura, debe actuar de inmediato. Contacte a su operadora desde otro teléfono para verificar el estado de su línea. Si se confirma el duplicado, el tiempo es crucial para revisar sus cuentas bancarias, cambiar contraseñas y notificar a sus entidades financieras.

Google Authenticator o mensajes de texto: ¿por qué el código generado en local es superior?

La principal debilidad del 2FA por SMS es que el código viaja a través de una red externa (la red GSM) que es interceptable. En cambio, las aplicaciones de autenticación como Google Authenticator, Microsoft Authenticator o Authy funcionan de una manera fundamentalmente diferente y más segura. Estas apps utilizan un algoritmo llamado TOTP (Time-based One-Time Password) para generar los códigos directamente en su dispositivo, sin necesidad de conexión a internet ni de comunicación con redes externas. El proceso es totalmente local y offline.

Cuando usted activa el 2FA con una de estas aplicaciones en un servicio, se comparte una «semilla» secreta inicial a través de un código QR. A partir de ese momento, tanto el servidor del servicio como su app utilizan esa semilla y la hora actual para generar, de forma sincronizada e independiente, el mismo código de 6 dígitos que cambia cada 30 segundos. Como el código nunca se transmite por ninguna red, es inmune al SIM swapping y a la interceptación de mensajes. Se elimina así el punto único de fallo que representa la operadora telefónica.

Este esquema visualiza la diferencia fundamental: la generación local de códigos es como tener la caja fuerte y la combinación en la misma habitación segura, mientras que el SMS es como pedirle a un mensajero que le traiga la combinación a gritos por un pasillo lleno de gente.

Ilustración mostrando la diferencia entre generación local de códigos TOTP versus recepción por SMS

Elegir una aplicación de autenticación depende de sus necesidades. Mientras que Google Authenticator es simple y ampliamente soportado, otras como Authy ofrecen ventajas como la sincronización multi-dispositivo cifrada, permitiéndole acceder a sus códigos desde su teléfono, tablet o PC de escritorio, una funcionalidad muy útil si pierde su dispositivo principal.

El siguiente cuadro compara las características principales de las aplicaciones de autenticación más populares para ayudarle a decidir cuál se adapta mejor a su ecosistema digital.

Comparativa de aplicaciones de autenticación
Aplicación Sincronización en la nube Backup/Exportación Protección biométrica Ventajas Riesgos
Google Authenticator Sí (opcional) Códigos QR exportables Según dispositivo Gratuita, ampliamente soportada Dependencia de cuenta Google
Microsoft Authenticator Sí (cuenta Microsoft) Backup automático Integración empresarial Requiere cuenta Microsoft
Authy Sí (encriptado) Multi-dispositivo PIN/Biometría Sincronización segura Requiere número telefónico

YubiKey o Titan: ¿merece la pena pagar por una llave física para proteger su correo?

Si las aplicaciones de autenticación son un gran paso adelante, las llaves de seguridad físicas representan el estándar de oro en la seguridad de acceso personal. Dispositivos como YubiKey o Titan de Google son pequeñas llaves USB, NFC o Lightning que implementan protocolos de criptografía asimétrica como FIDO2/WebAuthn. A diferencia de un código que se puede ver y copiar, una llave física realiza una firma criptográfica que es imposible de duplicar o suplantar.

Cuando se registra una llave en un servicio como su cuenta de Google o su gestor de contraseñas, esta genera un par de claves: una pública, que se envía al servidor, y una privada, que nunca abandona el dispositivo. Para iniciar sesión, el servidor envía un «desafío» que solo puede ser firmado correctamente por la clave privada. Usted simplemente inserta la llave y la toca para confirmar su presencia física. Este método es resistente no solo al SIM swapping, sino también al phishing, ya que la firma criptográfica está vinculada al dominio legítimo del sitio web. Incluso si es engañado para introducir su contraseña en un sitio falso, el atacante no podrá autenticarse sin su llave física.

La inversión en una llave de seguridad, que suele rondar entre 20 y 70 euros, debe verse como la compra de una póliza de seguro para su identidad digital. Para usuarios con información sensible, acceso a fondos o simplemente para proteger la cuenta de correo que actúa como centro de recuperación de todas las demás, el retorno de la inversión es incalculable. Al elegir una llave, es crucial considerar los protocolos de conexión. Como señala el propio fabricante de YubiKey al justificar por qué no fabrican llaves Bluetooth, «BLE no proporciona los niveles de garantía de seguridad de NFC y USB». Esto subraya la importancia de elegir tecnologías probadas y robustas.

Plan de acción: su red de seguridad para llaves físicas

  1. Puntos de contacto: Registre siempre un mínimo de dos llaves de seguridad en cada uno de sus servicios críticos (correo principal, gestor de contraseñas).
  2. Collecte: Guarde la llave de respaldo en una ubicación física segura y separada de la que usa a diario (por ejemplo, una en casa y otra en la oficina).
  3. Cohérence: Mantenga un registro actualizado en su gestor de contraseñas de qué llave está registrada en qué servicio para facilitar la gestión.
  4. Mémorabilité/émotion: Genere y almacene los códigos de recuperación de un solo uso que ofrecen los servicios en un lugar seguro y offline, como una caja fuerte.
  5. Plan d’intégration: Para una máxima resiliencia, considere adquirir una tercera llave y depositarla en una caja de seguridad bancaria como plan de recuperación ante desastres.

El error de no imprimir los códigos de backup que le deja bloqueado fuera de su propia cuenta

Activar una forma de autenticación robusta es solo la mitad de la batalla. La otra mitad, a menudo olvidada, es planificar la recuperación. ¿Qué sucede si pierde su teléfono con la app de autenticación o su llave de seguridad física? Sin un plan de respaldo, puede encontrarse en la irónica situación de estar bloqueado fuera de sus propias cuentas, a veces de forma permanente. Por eso, los códigos de respaldo son un componente no negociable de cualquier estrategia de seguridad.

Cuando activa el 2FA en la mayoría de los servicios, se le ofrece un conjunto de códigos de un solo uso (generalmente entre 8 y 16). Cada uno de estos códigos puede utilizarse para acceder a su cuenta en caso de que su método principal de 2FA no esté disponible. El error más común es ignorar estos códigos, hacer una captura de pantalla que se pierde en la galería del teléfono o, peor aún, guardarlos en un archivo de texto sin cifrar en el mismo ordenador que se intenta proteger.

El tratamiento de estos códigos debe ser equivalente al de las llaves de su casa o los documentos de su testamento. La estrategia más segura es almacenarlos fuera de línea (offline). Imprimirlos y guardarlos en un lugar seguro es un excelente primer paso. Para una mayor seguridad, puede considerar un sistema por niveles:

  • Nivel 1 (Básico): Imprimir los códigos en papel y guardarlos en una carpeta en un lugar seguro de su hogar, idealmente protegido del agua y el fuego.
  • Nivel 2 (Intermedio): Almacenar una copia digital de los códigos dentro de una nota segura en un gestor de contraseñas de confianza, protegido a su vez con una contraseña maestra fuerte y autenticación biométrica.
  • Nivel 3 (Avanzado): Guardar copias físicas en múltiples ubicaciones, como una caja fuerte personal y la casa de un familiar de confianza.

Este enfoque crea una redundancia que garantiza el acceso incluso en el peor de los escenarios. La siguiente imagen conceptualiza la idea de un kit de recuperación de identidad digital, donde se combinan capas físicas y digitales para una máxima resiliencia.

Kit de recuperación de identidad digital mostrando organización sistemática de códigos de respaldo

No subestime la importancia de estos códigos. Son su última línea de defensa contra la pérdida de acceso. Tomarse diez minutos para imprimirlos y guardarlos correctamente puede ahorrarle semanas de frustración y la posible pérdida irreparable de datos valiosos.

¿Cuándo obligar a todos los empleados a usar el segundo factor sin excepciones?

El eslabón más débil en la cadena de seguridad corporativa sigue siendo el factor humano. Las contraseñas débiles, reutilizadas o comprometidas son la puerta de entrada para la mayoría de los ciberataques a empresas. De hecho, un informe reciente de Verizon destacó que el 68% de las brechas de datos reportadas tuvieron una causa relacionada con el «elemento humano». En este contexto, la implementación de la autenticación multifactor (MFA) no es una opción, sino una necesidad crítica para cualquier organización.

La pregunta no es «si» se debe implementar, sino «cuándo» y «cómo». La respuesta más segura es: siempre y para todos. No debe haber excepciones. A menudo, las empresas cometen el error de aplicar políticas de MFA solo para ciertos perfiles (como directivos o personal de TI) o para acceder a ciertos sistemas (como el ERP), dejando otras cuentas, como el correo electrónico o plataformas colaborativas, con una protección más laxa. Esto crea puntos ciegos que los atacantes son expertos en explotar.

Caso práctico: la filtración de UnitedHealth

A principios de 2024, una masiva filtración de datos en UnitedHealth Group afectó la información de aproximadamente un tercio de la población de Estados Unidos. La investigación posterior reveló que el punto de entrada del ataque fue una cuenta de un portal externo que carecía de autenticación multifactor. Este único fallo de seguridad permitió a los atacantes acceder a los sistemas críticos y provocar una de las mayores brechas de datos sanitarios de la historia. Este caso es un recordatorio devastador de que una sola cuenta sin MFA puede comprometer a toda una organización.

La política correcta es aplicar el MFA obligatorio para todos los empleados, sin excepción, y en todos los servicios corporativos, desde el inicio de sesión en el portátil hasta el acceso a la última aplicación en la nube. Para entornos empresariales, las soluciones más robustas son las que se integran con directorios de identidad como Azure AD o Okta, permitiendo una gestión centralizada y la aplicación de políticas condicionales (por ejemplo, exigir MFA con más frecuencia si el acceso se produce desde una red desconocida). El objetivo es construir una cultura de defensa en profundidad donde una contraseña robada ya no sea sinónimo de una brecha de seguridad.

El efecto dominó que permite a los hackers entrar en su banco tras hackear su foro de hobbies

Uno de los mayores malentendidos sobre seguridad es creer que las cuentas «poco importantes» no requieren una protección seria. Un usuario puede tener una contraseña única y un 2FA robusto en su banco, pero usar una contraseña simple y reutilizada en un foro de aficionados a la jardinería. Este es el punto de partida del ataque de «credential stuffing», una técnica automatizada donde los atacantes prueban combinaciones de email y contraseña, robadas de una brecha en un sitio poco seguro (el foro), en miles de otros servicios más valiosos (su banco, su correo, Amazon).

El problema es de una escala masiva. Se estima que miles de millones de credenciales robadas están disponibles en la dark web, alimentando estos ataques automatizados. Si usted reutiliza contraseñas, es solo cuestión de tiempo que una de estas listas contenga la llave de acceso a alguna de sus cuentas. El ataque al foro de hobbies se convierte así en la primera ficha de un dominó que puede terminar con el acceso no autorizado a sus finanzas.

Aquí es donde el 2FA actúa como la barrera final crucial. Incluso si un atacante consigue su contraseña correcta, no podrá acceder sin ese segundo factor. Sin embargo, como hemos visto, si ese segundo factor es un SMS, el atacante simplemente necesita realizar un SIM swapping para completar el ataque. Esto subraya la necesidad de una estrategia de defensa en profundidad que combine múltiples tácticas de protección:

  1. Contraseñas únicas: Utilizar un gestor de contraseñas para generar y almacenar una contraseña larga, aleatoria y única para cada servicio. Esto asegura que la brecha de un sitio no afecte a ningún otro.
  2. Monitorización de brechas: Usar servicios como «Have I Been Pwned» para recibir alertas si su correo electrónico aparece en una nueva filtración de datos, permitiéndole cambiar la contraseña afectada proactivamente.
  3. 2FA robusto: Implementar 2FA basado en aplicaciones (TOTP) o, idealmente, llaves físicas (FIDO2) en todas las cuentas posibles, especialmente en las críticas.
  4. Auditoría regular: Revisar periódicamente la actividad de inicio de sesión en sus cuentas importantes para detectar cualquier acceso sospechoso.

Esta estrategia multicapa transforma su seguridad de una simple cerradura a un sistema de alarma integral, donde el fallo de un componente no compromete toda la estructura.

¿Por qué esa red Wi-Fi llamada «Aeropuerto_Gratis» podría ser una trampa para robar sus claves?

Las redes Wi-Fi públicas y gratuitas en lugares como aeropuertos, cafeterías u hoteles son un terreno de caza ideal para los ciberdelincuentes. Una de las técnicas más comunes es el ataque «Man-in-the-Middle» (MitM). Un atacante puede configurar un punto de acceso Wi-Fi con un nombre creíble (por ejemplo, «WIFI_Gratis_Starbucks») para engañar a los usuarios y que se conecten a él. Una vez conectado, todo su tráfico de internet pasa a través del equipo del atacante, que puede interceptar información no cifrada.

Si usted inicia sesión en un sitio web que no utiliza HTTPS (aunque cada vez son menos) o si el atacante utiliza técnicas más avanzadas para romper el cifrado, podría capturar sus contraseñas. Pero, ¿qué pasa con el 2FA? Aquí es donde la diferencia entre los tipos de 2FA se vuelve crítica. Si utiliza 2FA por SMS o una app de autenticación (TOTP), un atacante sofisticado podría crear una página de phishing idéntica a la real y, en tiempo real, pedirle su usuario, su contraseña y su código 2FA. Luego, usaría esos datos para entrar en la web legítima antes de que el código expire.

Esta es la razón por la que las llaves de seguridad físicas son tan superiores en estos escenarios. Como explica la FIDO Alliance, la organización detrás del estándar:

El 2FA basado en llaves físicas (FIDO2) es inmune a ataques Man-in-the-Middle porque la firma criptográfica está vinculada al dominio legítimo del sitio web.

– FIDO Alliance, Especificaciones técnicas del protocolo FIDO2/WebAuthn

En términos sencillos, su llave YubiKey o Titan sabe que está hablando con `google.com` y no con `google.com.sitiofalso.net`. Si el dominio no coincide, la llave simplemente se negará a generar la firma criptográfica. Esta validación del origen hace que el phishing sea prácticamente imposible, protegiéndole incluso si cae en la trampa de una red Wi-Fi maliciosa. Es una protección automática que no depende de que usted sea capaz de detectar el engaño.

Puntos clave a retener

  • El 2FA por SMS es vulnerable porque depende de la seguridad de su operador telefónico, un tercero que puede ser engañado (SIM swapping).
  • Las apps de autenticación (TOTP) son una mejora significativa, ya que los códigos se generan localmente en su dispositivo y no se transmiten.
  • Las llaves de seguridad físicas (FIDO2) son el estándar de oro, ofreciendo protección contra phishing y ataques Man-in-the-Middle gracias a la criptografía asimétrica.
  • Tener un plan de recuperación con códigos de respaldo impresos y guardados de forma segura es tan crucial como activar el 2FA.

¿Cómo garantiza el cifrado de extremo a extremo la confidencialidad de las negociaciones empresariales?

En el contexto de la seguridad, el objetivo final es la soberanía de la identidad: un estado en el que solo usted, a través de los dispositivos que controla, puede autorizar el acceso a sus datos. Las tecnologías que hemos explorado son pasos en esa dirección. La evolución natural de este concepto son las «Passkeys» o llaves de acceso, un nuevo estándar promovido por la FIDO Alliance y gigantes como Google, Apple y Microsoft, que busca reemplazar las contraseñas por completo.

Una Passkey es esencialmente una credencial digital, como la que crea una llave de seguridad FIDO2, pero que está almacenada de forma segura en su dispositivo (teléfono, ordenador) y sincronizada en la nube de su ecosistema (iCloud Keychain, Google Password Manager). Para iniciar sesión en un sitio, solo necesita usar la biometría de su dispositivo (huella dactilar, reconocimiento facial). No hay contraseña que recordar, escribir o que pueda ser robada en una brecha de datos. Como lo resume Google:

A diferencia de las contraseñas, las llaves de acceso solo existen en tus dispositivos. No se pueden escribir ni enviar accidentalmente a un agente malicioso.

– Google, Documentación oficial sobre Passkeys y verificación en 2 pasos

Este modelo, basado en el mismo principio de criptografía de clave pública/privada, es la máxima expresión del cifrado de extremo a extremo aplicado a la autenticación. Garantiza que la «llave» de acceso nunca sale de su control. Para las negociaciones empresariales o el acceso a datos corporativos sensibles, esto significa que incluso si un servidor es comprometido, no hay contraseñas que robar. La confidencialidad está garantizada por la arquitectura misma del sistema.

La recomendación es clara: active la verificación en dos pasos en todas las cuentas que lo permitan, priorizando métodos basados en aplicaciones o llaves físicas. A medida que más servicios adopten las Passkeys, migre hacia ellas. Este es el camino para construir una fortaleza digital donde usted no solo es el guardián, sino el dueño absoluto de las llaves.

Comience hoy mismo a auditar la seguridad de sus cuentas principales. Revise qué método de 2FA está utilizando y planifique su migración a una aplicación de autenticación o a una llave de seguridad física. Cada cuenta que aleje de la dependencia del SMS es un paso firme hacia la verdadera soberanía de su identidad digital.

Escrito por Sofía Arango, Consultora de Ciberseguridad y Hacker Ética Certificada (CEH) con 10 años de experiencia en protección de activos digitales corporativos. Especializada en prevención de ransomware, ingeniería social y cumplimiento normativo ISO 27001.
¿Cómo actuar si intentan extorsionar al usuario con el secuestro de sus datos empresariales?
¿Qué hacer inmediatamente después de detectar malware en un equipo corporativo?
Recién publicado
¿Cómo ajustar la configuración de privacidad en Instagram y TikTok para protegerse del acoso?
Evaluación crítica de noticias: el método infalible para no ser manipulado
¿Cómo gestionar la huella digital para ejercer su derecho al olvido y borrar datos antiguos?
¿Cómo impulsar tu carrera de programador colaborando en comunidades de código abierto?
¿Cómo elegir cursos MOOC que realmente tengan valor curricular para los reclutadores?
Publicaciones similares
¿Cómo utilizar una bóveda cifrada para asegurar el testamento digital y las contraseñas familiares?
Blindaje digital en movilidad: Su guía para evitar el robo de datos en Wi-Fi públicos
El pasaporte digital: Por qué ocultar tu IP te da acceso a mercados y precios locales
¿Cómo evitar que sus dispositivos inteligentes se unan a una red de bots?