Dos contraseñas no son dos factores
"Activa el 2FA" — es un consejo que escuchas en todas partes. Pero la mayoría activa la versión SMS — un código de 6 dígitos enviado por mensaje — y se considera segura. Más segura que sin 2FA, sí. Pero el 2FA por SMS tiene debilidades reales y bien documentadas que deberías conocer.
El objetivo no es alejarte del SMS 2FA. Es ayudarte a entender qué obtienes realmente, y cuándo usar algo más robusto.
¿Qué es la autenticación de dos factores?
Los factores de autenticación son de tres tipos:
- Algo que sabes — contraseña, PIN
- Algo que tienes — teléfono, llave física, app de autenticación
- Algo que eres — huella digital, Face ID
La autenticación de dos factores (2FA) significa usar dos tipos diferentes. Contraseña + código SMS es "algo que sabes" + "algo que tienes." Eso es 2FA real — y es dramáticamente mejor que solo una contraseña.
El problema no es el 2FA en sí. El problema es que "algo que tienes (un teléfono)" puede ser secuestrado sin robar físicamente tu teléfono.
Por qué el SMS 2FA puede ser interceptado
SIM Swapping
El ataque SMS más común. Así funciona:
- Un atacante llama a tu operador haciéndose pasar por ti
- Alega haber perdido su teléfono y necesitar el número en una nueva SIM
- El operador transfiere tu número a su SIM
- Todos los SMS enviados a "tu" número van ahora al atacante
- Solicita reinicios de contraseña + códigos SMS para tus cuentas
Esto le ha ocurrido a figuras prominentes. Cuentas de exchanges de criptomonedas, cuentas de email, redes sociales — el SIM swapping es un vector conocido porque la verificación de identidad de los operadores se aplica de forma inconsistente.
Vulnerabilidades del protocolo SS7
El protocolo SS7 es la infraestructura técnica de 40 años que enruta llamadas y SMS en todo el mundo. Tiene vulnerabilidades conocidas que permiten a atacantes estatales y grupos criminales sofisticados interceptar SMS en tránsito sin tocar tu teléfono ni tu operador.
Para la mayoría de las personas, los ataques SS7 son teóricos. Para objetivos de alto valor (ejecutivos, periodistas, activistas), son una amenaza real.
Phishing de códigos SMS en tiempo real
El ataque más común contra usuarios normales: una página de login falsa captura tu contraseña Y tu código SMS simultáneamente, y los reproduce en el sitio real antes de que caduque el código.
Introduces tus credenciales en un sitio falso convincente → se conectan al sitio real → el sitio real te envía un SMS → introduces el SMS en el sitio falso → el atacante tiene tu sesión.
Esto se llama "ataque de phishing en tiempo real" o "adversary-in-the-middle" (AiTM). Funciona contra el SMS 2FA aunque nunca hayas entregado tu teléfono.
Qué es más robusto que el SMS
Apps de autenticación (TOTP)
Apps como Google Authenticator, Authy o cualquier app compatible con TOTP generan códigos basados en tiempo localmente en tu dispositivo. Sin SMS, sin operador involucrado.
Por qué es mejor: los códigos se generan en tu dispositivo, no se envían por red. Un SIM swap no ayuda — el código está en tu teléfono original. El phishing en tiempo real aún funciona (si introduces el código en un sitio falso), pero los ataques SS7 no aplican.
Usar para: cualquier servicio que lo ofrezca. Prefiere esto al SMS.
Llaves de seguridad físicas (FIDO2/WebAuthn)
Dispositivos físicos (YubiKey, Google Titan, etc.) que se conectan por USB o tocan vía NFC. Al iniciar sesión, tocas físicamente la llave.
Por qué es más robusto: prueba criptográfica, sin códigos que interceptar, resistente al phishing (la llave verifica que habla con el sitio real comprobando el dominio). El phishing en tiempo real no funciona — la llave no autenticará un dominio falso.
Usar para: tus cuentas más críticas — email, banco, cuentas de empresa.
Passkeys
Los passkeys reemplazan completamente las contraseñas usando criptografía de clave pública almacenada en tu dispositivo. Soportados por Apple, Google, Microsoft y una lista creciente de servicios.
Por qué es más robusto: sin contraseña que robar, sin código que interceptar, resistente al phishing por diseño (vinculación criptográfica al dominio). La clave privada nunca abandona tu dispositivo.
Usar para: cualquier servicio que los admita (Apple ID, Cuenta de Google, GitHub, PayPal, 1Password y más).
El ranking honesto
De menos a más seguro:
- Sin 2FA — solo contraseña (evitar)
- SMS 2FA — mejor que nada, vulnerable a SIM swap + phishing AiTM
- App de autenticación (TOTP) — inmune al SIM swap, aún vulnerable al phishing AiTM
- Llave física (FIDO2) — resistente al phishing, requiere presencia física
- Passkeys — resistente al phishing, sin contraseña, mejor UX de las opciones robustas
Qué hacer en la práctica
Para la mayoría de las personas:
- Usar app de autenticación (no SMS) donde sea posible
- Usar SMS si es la única opción — sigue siendo mucho mejor que nada
- Activar 2FA en el email primero — es la llave maestra de todas tus otras cuentas
Para cuentas de alto valor (banco, cripto, acceso empresarial):
- Llave de seguridad física o passkeys
- Contraseña única y fuerte (usa un Generador de contraseñas)
- Comprobar si tu email ha estado en una brecha (Comprobador de brechas de email)
Para todos:
- Nunca reutilizar contraseñas entre sitios
- Si ocurre una brecha: cambiar la contraseña, verificar si la misma contraseña se usó en otro sitio, activar 2FA si no lo has hecho
La conclusión
El SMS 2FA es mejor que ningún 2FA. Si es la única opción, úsalo. Pero si un servicio ofrece app de autenticación o llave física, tómala — la mejora de seguridad es significativa.
Lo más importante: tener 2FA en tu cuenta de email. El email es el mecanismo de recuperación de todo lo demás — si un atacante controla tu email, puede restablecer todas tus otras contraseñas.
Comprueba si tu email ha estado en una brecha — luego activa el 2FA hoy mismo.