/ Seguridad y protección de datos / Por qué los SMS de doble factor ya no son seguros y qué método debes usar en su lugar
Publicado el mayo 10, 2024

La verificación en dos pasos (2FA) por SMS no es la fortaleza que crees, sino una puerta abierta a ataques sofisticados como el SIM swapping.

  • Métodos como el duplicado de SIM (SIM swapping) o la interceptación de red (IMSI Catchers) permiten a los atacantes recibir tus códigos de seguridad sin tocar tu móvil.
  • Las aplicaciones de autenticación (TOTP) y las llaves de seguridad físicas (FIDO2/U2F) ofrecen una protección inmensamente superior al no depender de la vulnerable red telefónica.

Recomendación: Migra urgentemente todos tus servicios críticos de 2FA por SMS a una aplicación como Authy y considera una llave de seguridad física como tu blindaje definitivo.

Has recibido un código por SMS para iniciar sesión. Sientes esa pequeña satisfacción de seguridad. Error. Esa sensación es una ilusión, un placebo digital que te hace creer que estás protegido cuando, en realidad, la puerta principal de tu vida digital está entreabierta. Durante años, la industria nos ha vendido la verificación en dos pasos (2FA) por SMS como el estándar de oro. Es simple, es universal. Pero esta simplicidad esconde una debilidad fundamental. Mientras nos preocupamos por la fortaleza de nuestras contraseñas, ignoramos que el eslabón más débil es ese mensaje de texto que viaja por una infraestructura de telecomunicaciones diseñada en el siglo pasado.

La verdadera seguridad digital no es un interruptor binario «seguro/inseguro». Es una escalera de resiliencia. Y los SMS están en el escalón más bajo y podrido. ¿Y si te dijera que un atacante puede robar tu número de teléfono sin tocar tu móvil, recibir tus códigos de acceso al banco y vaciar tus cuentas en minutos? Esto no es ciencia ficción; es una amenaza real llamada SIM swapping. Este artículo no se limitará a asustarte. Te guiaremos paso a paso por esa escalera de resiliencia. Desmontaremos por qué los SMS son un riesgo inaceptable, evaluaremos las alternativas robustas como las aplicaciones de autenticación y las llaves de seguridad físicas, y te daremos un plan de acción claro para construir una verdadera fortaleza digital para tus activos más preciados.

Para navegar por las complejidades de la seguridad moderna, es crucial entender cada vector de ataque y cada capa de defensa. A continuación, desglosamos los conceptos clave que te permitirán tomar el control total de tu identidad digital.

Sommaire : La guía completa para abandonar el 2FA por SMS y adoptar una seguridad real

Cómo el duplicado de tarjeta SIM permite a los hackers saltarse tu seguridad por SMS

El talón de Aquiles de la seguridad basada en SMS es el ataque conocido como SIM swapping o duplicado de tarjeta SIM. Este método no requiere un hackeo informático complejo, sino pura ingeniería social. El atacante recopila información personal sobre ti (a menudo de filtraciones de datos o redes sociales) y la utiliza para suplantar tu identidad ante tu compañía telefónica. Con suficientes datos, convence al servicio de atención al cliente para que transfiera tu número de teléfono a una nueva tarjeta SIM que él controla. En ese instante, tu teléfono pierde la señal y el atacante empieza a recibir todas tus llamadas y, lo que es más importante, todos tus mensajes de texto, incluidos los códigos de verificación en dos pasos.

Una vez que el control de tu número está en sus manos, el atacante puede iniciar el proceso de «recuperación de contraseña» en tus cuentas de correo, redes sociales y, especialmente, servicios financieros. Al recibir los códigos 2FA, puede cambiar tus contraseñas, bloquear tu acceso y tomar el control total de tu vida digital. Este vector de ataque demuestra que la seguridad de tus activos más críticos no debería depender de la capacidad de un empleado de telemarketing para verificar una identidad por teléfono. Es un punto único de fallo inaceptable en cualquier modelo de seguridad serio.

La prevención es la única defensa eficaz contra este tipo de fraude. Implementar medidas proactivas con tu operadora y mantener una estricta higiene digital son pasos fundamentales para no convertirte en la próxima víctima.

Plan de acción para proteger tu línea móvil del SIM swapping

  1. Activa un PIN de seguridad adicional con tu operadora telefónica que se requiera para cualquier cambio en la línea.
  2. Nunca proporciones datos personales a través de llamadas o mensajes de texto no solicitados que afirmen ser de tu banco u operadora.
  3. Vigila la pérdida repentina de señal móvil como el primer y más claro indicio de un posible ataque.
  4. Contacta inmediatamente con tu operadora a través de otro medio si pierdes la cobertura sin una explicación lógica (ej. estar en una zona sin señal).
  5. Guarda todas las evidencias (mensajes, horas de pérdida de señal) y denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) si confirmas que has sido víctima.

Por tanto, confiar en el SMS es delegar tu seguridad a terceros. El siguiente paso en la escalera de resiliencia es recuperar ese control y llevarlo a tu propio dispositivo.

Google Authenticator vs Authy: qué pasa si pierdes el móvil y cómo recuperar tus códigos?

El primer y más importante ascenso en la escalera de resiliencia es abandonar los SMS y adoptar una aplicación de autenticación que genere códigos de un solo uso basados en el tiempo (TOTP). Estas apps funcionan sin conexión y no dependen de tu número de teléfono. Las dos opciones más populares son Google Authenticator y Authy. Aunque ambas cumplen la misma función básica, la diferencia crítica reside en la gestión de la recuperación, el principal miedo del usuario: ¿qué ocurre si pierdo o me roban el teléfono donde tengo todos mis códigos?

Google Authenticator, en su concepción original, era un callejón sin salida. Si perdías el teléfono, perdías el acceso a todos tus códigos a menos que hubieras guardado manualmente los códigos de recuperación de cada servicio. Aunque recientemente ha añadido una función de sincronización en la nube, esta no cuenta con un cifrado de extremo a extremo controlado por el usuario, lo que genera dudas sobre su privacidad. Authy, por otro lado, fue diseñado desde el principio con la recuperación en mente. Permite realizar copias de seguridad de tus códigos en la nube, pero estas están cifradas con una contraseña maestra que solo tú conoces. Esto te permite restaurar fácilmente tus cuentas en un nuevo dispositivo.

Además, Authy soporta la sincronización multi-dispositivo de forma nativa, permitiéndote tener tus códigos en tu móvil, tableta y (hasta hace poco) en tu ordenador, mientras que Google Authenticator está más limitado al ecosistema móvil. Esta capacidad de recuperación y la protección adicional mediante PIN hacen de Authy una opción superior para la mayoría de los usuarios que buscan un equilibrio entre máxima seguridad y un plan B robusto en caso de desastre.

La siguiente tabla desglosa las diferencias fundamentales entre ambas aplicaciones, dejando claro por qué la planificación de la recuperación es un factor decisivo en la elección de tu gestor de 2FA.

Comparación detallada Google Authenticator vs Authy
Característica Google Authenticator Authy
Backup en la nube Sí (sin cifrado end-to-end) Sí (cifrado con contraseña maestra)
Multi-dispositivo Limitado Completo
PIN de protección No
Recuperación sin dispositivo Compleja Fácil con contraseña
Plataformas iOS, Android iOS, Android, Desktop (hasta 2024)

Aunque una aplicación como Authy eleva enormemente tu nivel de seguridad, sigue existiendo un riesgo: si un atacante obtiene acceso a tu móvil desbloqueado, podría acceder a tus códigos. Para eliminar este riesgo, debemos subir un peldaño más.

YubiKey en el móvil: vale la pena gastar 50 € en una llave USB/NFC para proteger tu Gmail?

Bienvenidos al estándar de oro de la autenticación de dos factores: las llaves de seguridad físicas. Dispositivos como la YubiKey, basados en los protocolos FIDO2/U2F, representan el siguiente gran salto en nuestra escalera de resiliencia. A diferencia de un código que se puede ver y copiar (phishing), una llave de seguridad realiza una verificación criptográfica. Cuando te conectas a un servicio, este le envía un «desafío» a la llave, y la llave responde con una firma digital que es única para ese servicio y ese momento. Es, en la práctica, imposible de suplantar.

La pregunta clave para el usuario es si la inversión, que ronda los 50-60 €, merece la pena. La respuesta es un rotundo sí si manejas activos digitales críticos. Tu cuenta principal de Gmail, por ejemplo, es a menudo la llave maestra para recuperar todas tus otras cuentas. Protegerla con una YubiKey la convierte en una fortaleza casi inexpugnable. El análisis coste-beneficio es claro: tal como se detalla en un análisis del modelo YubiKey 5C NFC, el coste de 55€ es insignificante comparado con el desastre financiero o personal que supondría perder el acceso a tu correo, tus cuentas de criptomonedas o tus repositorios de código. Una sola llave puede proteger un número ilimitado de servicios.

La comodidad es otro factor. Conectar la YubiKey a tu móvil por NFC o a tu ordenador por USB y simplemente tocarla es a menudo más rápido que abrir una app, buscar el código y escribirlo. El valor no solo reside en la seguridad, sino en la reducción de la fricción diaria. La propia empresa fabricante destaca el impacto incluso a nivel corporativo.

Análisis coste-beneficio de YubiKey para usuarios individuales

El modelo YubiKey 5C NFC, con un precio de 55€, ofrece compatibilidad universal con sistemas operativos y servicios. Para usuarios que manejan cuentas críticas como email principal, criptomonedas o repositorios de código, la inversión se justifica al comparar los 55€ con el coste potencial de perder acceso a estos activos. Un usuario medio puede proteger todas sus cuentas importantes con una sola llave, sin límite de servicios configurados.

Una llave física es la protección activa definitiva. Pero toda buena estrategia de seguridad necesita un plan de contingencia para el peor de los casos: la pérdida o fallo de todos tus dispositivos.

El papel que imprimes y guardas en el cajón: tu última salvación si falla el 2FA

Hemos ascendido por la escalera de resiliencia: abandonamos el frágil SMS, adoptamos una app robusta y nos blindamos con una llave física. Pero, ¿qué pasa si pierdes tu llave de seguridad y tu teléfono se rompe en el mismo viaje? Este escenario de «desastre total» es donde entra en juego el último y más análogo escalón de nuestra fortaleza: el código de recuperación en papel. Al configurar la verificación en dos pasos en servicios críticos como Google, tu banco o tus redes sociales, casi siempre se te ofrece la opción de generar un conjunto de códigos de recuperación de un solo uso. La mayoría de la gente ignora este paso o hace una captura de pantalla que se pierde en la galería del teléfono.

Esto es un error crítico. Estos códigos son tu seguro de vida digital. La estrategia correcta es imprimirlos, guardarlos en un lugar físico y seguro (una caja fuerte, un cajón bajo llave, un sobre sellado en casa de un familiar de confianza) y olvidarte de ellos. No deben estar en tu ordenador ni en tu teléfono; su valor reside precisamente en que están desconectados del mundo digital y, por lo tanto, a salvo de cualquier hacker.

Este método, que puede parecer arcaico, es la máxima expresión de la defensa en profundidad. Es tu «botón de eyección» nuclear, el plan que te permitirá recuperar el control de tu identidad digital cuando todas las demás capas de seguridad han fallado o se han vuelto inaccesibles. Pensar en la seguridad no es solo protegerse contra los ataques, sino también planificar la recuperación ante los accidentes.

Composición minimalista de seguridad física con documentos de respaldo

Esta pieza de papel se convierte en el artefacto más valioso de tu ecosistema de seguridad. Es la prueba de que has pensado en el ciclo de vida completo de la seguridad, incluyendo el fallo catastrófico. No subestimes el poder de una solución de baja tecnología como tu red de seguridad final.

Con una estrategia completa que abarca desde la protección activa hasta la recuperación de desastres, podemos aplicar estos principios a las herramientas que usamos cada día.

Cómo activar la verificación en dos pasos en WhatsApp para evitar el robo de cuenta?

WhatsApp, al estar ligado a tu número de teléfono, es un objetivo principal en los ataques de SIM swapping. Si un atacante toma control de tu número, puede registrar WhatsApp en su dispositivo y secuestrar tu cuenta, accediendo a tus grupos y suplantando tu identidad ante tus contactos. Para mitigar este riesgo específico, WhatsApp implementó una forma de verificación en dos pasos que funciona de manera ligeramente distinta a los métodos TOTP.

La activación es sencilla. Dentro de WhatsApp, ve a Ajustes > Cuenta > Verificación en dos pasos. El sistema te pedirá que crees un PIN de seis dígitos que se te solicitará periódicamente y, crucialmente, cada vez que registres tu número de teléfono en un nuevo dispositivo. Este PIN es la barrera que impide que un atacante con control de tu SIM pueda activar tu cuenta. Adicionalmente, te pedirá un correo electrónico de recuperación, fundamental para poder restablecer el PIN si lo olvidas.

Activar esta función es una medida de seguridad no negociable para cualquier usuario de WhatsApp. Es una capa simple pero enormemente efectiva contra el vector de ataque más común para esta plataforma. Si sospechas que tu cuenta ya ha sido comprometida, el tiempo es un factor crítico y debes seguir un protocolo de emergencia:

  • Notifica inmediatamente a tus contactos cercanos por otro medio (llamada, SMS, otra app) para advertirles del posible hackeo y evitar que caigan en engaños.
  • Intenta registrar tu número de WhatsApp de nuevo en tu propio teléfono. Esto podría forzar el cierre de la sesión del atacante.
  • Contacta al soporte de WhatsApp a través de su formulario web, reportando el robo de la cuenta.
  • Activa el PIN de dos pasos inmediatamente si logras recuperar el acceso.

Esta aplicación específica nos recuerda que cada servicio tiene sus propias vulnerabilidades y protecciones, lo que nos lleva a una pregunta más amplia sobre el ciclo de vida de nuestros datos.

Qué pasa con tus archivos en la nube si falleces y nadie tiene tu contraseña?

La construcción de una fortaleza digital personal nos protege en vida, pero plantea una pregunta incómoda: ¿qué sucede con todo nuestro legado digital (fotos, documentos, correos) si fallecemos inesperadamente? Sin un plan, esos datos quedan atrapados en un limbo digital, inaccesibles para nuestros seres queridos. Afortunadamente, las grandes empresas tecnológicas han comenzado a ofrecer soluciones para la herencia digital.

Cada proveedor tiene su propio sistema, y conocerlos es parte de una gestión responsable de nuestros activos. Por ejemplo, Google ofrece el ‘Gestor de Cuentas Inactivas’, una herramienta proactiva que te permite decidir qué sucede con tus datos tras un período de inactividad que tú mismo configuras (de 3 a 18 meses). Puedes elegir que tus datos se eliminen o, más útilmente, designar hasta 10 personas de confianza para que reciban una notificación y acceso a partes específicas de tu cuenta, como Google Fotos o Drive.

Apple, por su parte, introdujo en iOS 15.2 la función de ‘Contacto de Legado’. Permite nombrar hasta cinco personas como herederos digitales. Tras tu fallecimiento, y previa presentación de un certificado de defunción y una clave de acceso especial, estas personas pueden acceder a la mayoría de tus datos almacenados en iCloud. Microsoft, en cambio, tiene un proceso más burocrático que requiere documentación legal y puede tardar meses en resolverse, lo que subraya la importancia de la planificación proactiva que ofrecen sus competidores.

Planificar tu herencia digital es el último acto de responsabilidad en la gestión de tu seguridad. Asegura que tus recuerdos no se pierdan y evita a tus familiares un laberinto legal y burocrático en un momento ya de por sí difícil.

La gestión post-mortem de los datos es la última capa. Volvamos ahora a las amenazas activas, explorando un vector de ataque aún más sofisticado que el SIM swapping.

El riesgo de los ataques de ‘falsa estación base’ en redes GSM que interceptan SMS

Si el SIM swapping es un ataque de ingeniería social contra la operadora, los ataques de «falsa estación base» o IMSI Catcher son un ataque técnico directo contra la infraestructura de telecomunicaciones. Estos dispositivos, también conocidos como «Stingrays», se hacen pasar por una torre de telefonía móvil legítima. Tu teléfono, programado para conectarse siempre a la señal más fuerte, se conecta a la estación falsa sin que te des cuenta.

Una vez que tu teléfono está conectado, el atacante puede interceptar tus comunicaciones. Aunque las redes 4G y 5G tienen protecciones de autenticación mutua, el protocolo GSM (2G) es fundamentalmente inseguro y vulnerable. El verdadero peligro de un IMSI Catcher es su capacidad para forzar a los teléfonos cercanos a hacer un «downgrade» a la red 2G, eludiendo las protecciones modernas. En modo 2G, es trivial para el atacante interceptar llamadas y, lo que es crucial para nuestro tema, mensajes de texto en claro, incluidos los códigos 2FA.

Este tipo de ataque requiere proximidad física y un equipo especializado, por lo que es menos común que el SIM swapping, pero es utilizado por actores sofisticados, desde criminales hasta agencias gubernamentales. Demuestra que el protocolo SMS es inseguro «por diseño» y no puede ser parcheado. La amenaza no es solo teórica; existen herramientas para combatirla. En 2024, la Electronic Frontier Foundation lanzó Rayhunter, una herramienta de código abierto para detectar estas estaciones base falsas, tal como se detalla en el anuncio de la EFF. La existencia de estas contramedidas confirma la realidad del riesgo.

Este vector de ataque es la prueba definitiva de que cualquier sistema de seguridad que dependa de la red de telefonía móvil para la transmisión de secretos es intrínsecamente defectuoso. La única solución es mover la generación y verificación de códigos fuera de esa red.

Toda nuestra estrategia se basa en proteger el acceso a nuestras cuentas. Pero, ¿qué hay de la seguridad del dispositivo que usamos para acceder a ellas?

Puntos clave a recordar

  • El 2FA por SMS es obsoleto y peligroso debido a vulnerabilidades como el SIM swapping y la interceptación de red.
  • La migración a aplicaciones de autenticación (TOTP) como Authy es el primer paso esencial para una seguridad robusta.
  • Las llaves de seguridad físicas (YubiKey) ofrecen el nivel más alto de protección contra el phishing y son la mejor inversión para cuentas críticas.

Qué método de desbloqueo biométrico es realmente más seguro para proteger tus datos bancarios

Nuestra fortaleza digital depende de la seguridad del dispositivo que contiene nuestras llaves: el smartphone. El método que usamos para desbloquearlo —la biometría— es la primera línea de defensa. Si un ladrón te roba el teléfono, la calidad de tu bloqueo biométrico determinará si puede acceder a tus apps bancarias o a tu aplicación de autenticación. Pero no todos los métodos biométricos son iguales.

Existe una jerarquía de seguridad clara. En la cima se encuentra el escaneo facial 3D, como el Face ID de Apple. Este sistema proyecta miles de puntos infrarrojos para crear un mapa tridimensional de tu rostro, lo que lo hace extremadamente difícil de engañar con una simple foto. Su tasa de falsos positivos es de aproximadamente 1 en 1,000,000. El escáner de iris, aunque técnicamente superior, es muy poco común en los dispositivos de consumo.

Un escalón por debajo están los lectores de huellas dactilares. Aquí también hay diferencias: los lectores de huellas ultrasónicos (presentes en algunos móviles de gama alta) crean un mapa 3D de tu huella y funcionan incluso con los dedos húmedos, ofreciendo una seguridad muy alta. Los lectores ópticos, más comunes, básicamente toman una foto 2D de tu huella. Son más rápidos, pero también más vulnerables a ser engañados con copias de alta calidad de tu huella. Ambos tienen una tasa de falsos positivos teórica de 1 en 50,000, pero la resistencia a la suplantación es el verdadero diferenciador.

La elección de un teléfono con un sistema biométrico robusto como Face ID o un lector ultrasónico no es un capricho, es una decisión de seguridad fundamental que protege la «llave de tus llaves».

La siguiente tabla, basada en datos de seguridad y especificaciones de la industria, compara la seguridad real de los métodos más comunes.

Comparación de seguridad entre métodos biométricos
Método Tasa Falsos Positivos Resistencia a Suplantación Seguridad Real
Face ID (3D) 1:1,000,000 Alta (mapeo 3D) Excelente con Secure Enclave
Huella Ultrasónica 1:50,000 Media-Alta Muy buena
Huella Óptica 1:50,000 Media (vulnerable a copias) Buena
Escáner Iris 1:1,200,000 Muy Alta Excelente pero poco común

Para proteger el acceso a tus aplicaciones más sensibles, es vital entender qué tecnología biométrica ofrece una protección verdaderamente fiable.

Al final del día, la seguridad no es un único producto, sino un proceso y una mentalidad. Implica comprender las amenazas, elegir las herramientas adecuadas para cada capa de defensa y mantener una vigilancia constante. Migrar tus cuentas fuera del ecosistema de SMS es la acción más urgente y de mayor impacto que puedes tomar hoy para empezar a construir tu verdadera fortaleza digital.

Escrito por Marina Ortega, Analista de Ciberseguridad Certificada (CISSP) y Perito Informático Forense. 14 años protegiendo datos personales y corporativos contra malware, phishing y vulnerabilidades en dispositivos móviles.
Publicaciones recientes
Cómo usar la localización en tiempo real para proteger a hijos y mayores sin invadir su intimidad
Qué significa realmente que «nadie puede leer tus mensajes» y dónde están los agujeros de privacidad
Por qué un móvil sin parches de seguridad es una bomba de relojería para tus datos bancarios
Cómo identificar los SMS fraudulentos de bancos y correos que parecen 100% reales
Cómo limpiar un móvil infectado con publicidad invasiva sin tener que borrar todos tus datos
Publicaciones similares
Cómo elegir una nube segura para tu empresa que cumpla la ley de protección de datos
Cómo desactivar el rastreo GPS oculto de tus fotos y apps para proteger tu privacidad (sin perder el mapa)
Qué método de desbloqueo biométrico es realmente más seguro para proteger tus datos bancarios
Cómo identificar aplicaciones fraudulentas en las tiendas oficiales antes de instalarlas