#7 Por qué el SMS como segundo factor ya no vale
El segundo factor está bien. Que sea un SMS, no tanto.
Cada vez que hablo con alguien sobre seguridad en sus cuentas, tarde o temprano sale la misma frase: “sí, tengo el doble factor activado”. Y casi siempre, cuando pregunto cómo, la respuesta es “me manda un SMS”.
Me alegra que lo tengan activado. De verdad. El segundo factor1 cambia completamente el perfil de riesgo de una cuenta. Pero el SMS es la opción más frágil de todas las que existen, y hay alternativas igual de cómodas que funcionan mucho mejor.
Hoy te explico por qué.
Por qué el SMS como segundo factor ya no vale
El concepto de segundo factor es sólido: para entrar en una cuenta no basta con saber la contraseña, también necesitas demostrar que tienes acceso a algo físico. Una contraseña puede robarse a distancia; un dispositivo físico, en teoría, no.
El problema del SMS es que no es tan físico como parece.
SIM Swapping2 — cuando tu número deja de ser tuyo
El SIM swapping es un ataque donde alguien convence a tu operadora de telefonía de que eres tú y solicita que tu número de teléfono se transfiera a una SIM que controla el atacante. A partir de ese momento, todos los SMS que van a tu número los recibe él.
Para conseguirlo, el atacante necesita algunos datos personales básicos — nombre, DNI, a veces la dirección — información que en muchos casos se puede obtener de filtraciones de datos, redes sociales o llamadas de ingeniería social directamente a la víctima.
Una vez con el número, accede al correo, al banco, a los servicios que usan SMS como segundo factor. Y tú no te enteras hasta que tu teléfono pierde la cobertura.
SS73 — el protocolo roto que nadie ha arreglado
SS7 es el protocolo que usan las operadoras de telefonía para enrutar llamadas y mensajes entre redes. Fue diseñado en los años 80 con la premisa de que solo los operadores de telecomunicaciones tendrían acceso a él. Esa premisa lleva años siendo incorrecta.
Con acceso a la red SS7 — algo que está al alcance de actores con recursos — se pueden interceptar SMS sin necesidad de tocar el teléfono de la víctima ni contactar con la operadora. El mensaje simplemente se desvía antes de llegar.
Lo que sí funciona mejor
Las aplicaciones de autenticación — Google Authenticator, Authy, Microsoft Authenticator — generan códigos de seis dígitos que cambian cada 30 segundos y se calculan en el propio dispositivo. No pasan por la red de telefonía. No se pueden interceptar por SS7. No dependen de la operadora.
Las llaves de seguridad física4 — dispositivos como YubiKey — son aún más robustas. Se conectan al puerto USB o se acercan al teléfono por NFC5 y confirman el acceso de forma física. Sin código, sin SMS, sin aplicación.
Para la mayoría de cuentas del día a día — correo, gestor de contraseñas, banca, plataformas con información sensible — una aplicación de autenticación es un salto de seguridad enorme respecto al SMS y requiere el mismo tiempo de configuración.
¿Debería entonces quitar el SMS si es lo único que tengo?
No. Un SMS es mejor que nada. Si actualmente tienes SMS y pasarte a una app te da pereza, esa cuenta sigue siendo más segura que sin segundo factor. Pero si puedes elegir entre SMS y una app al configurar el segundo factor, elige siempre la app.
Para llevar
Tres pasos concretos para mejorar la situación esta semana:
1. Instala una aplicación de autenticación en tu móvil.
Google Authenticator, Authy o Microsoft Authenticator son gratuitas, fáciles de usar y están disponibles para iOS y Android. Con esto ya tienes la infraestructura lista.
2. Empieza por las cuentas más críticas: correo y gestor de contraseñas.
El correo electrónico es la llave maestra de casi todo lo demás — con acceso a tu correo, un atacante puede resetear la contraseña de cualquier servicio. Protegerlo bien es la prioridad número uno.
3. Al configurar el segundo factor, guarda los códigos de recuperación en un lugar seguro.
Cuando activas una app de autenticación6, el servicio te da códigos de emergencia para usarlos si pierdes el móvil. Imprímelos y guárdalos físicamente, o mételos en un gestor de contraseñas. Si los pierdes y pierdes el móvil, quedas bloqueado fuera de tu propia cuenta.
En el radar — próxima edición
#8 · Señales de que tu WordPress ha sido hackeado y no te has enterado
Los compromisos en WordPress no siempre se ven. A veces tu web funciona con normalidad mientras sirve spam, redirige visitantes a otras páginas o mina criptomonedas en segundo plano. La semana que viene, las señales que deberías conocer y cómo revisarlas sin necesidad de ser técnico.
— En el blog esta semana —
Esta semana he publicado algo que llevaba tiempo queriendo escribir.
La historia de Tron. Boris Floricic. Un hacker alemán del Chaos Computer Club que con 26 años ya había clonado tarjetas SIM, roto la televisión de pago y creado uno de los primeros teléfonos con cifrado de voz de la historia. Lo llamó Cryptophon. Era 1998.
El 17 de octubre de ese mismo año desapareció de casa de su madre en Berlín. Cinco días después encontraron su cuerpo colgado en un parque. La policía dictaminó suicidio. Su familia y el CCC nunca se lo creyeron.
28 años después, la duda sigue ahí.
No es un artículo técnico. Es sobre por qué importa recordar a gente como él. Porque la privacidad de las comunicaciones no es un debate nuevo. Alguien ya la estaba defendiendo con código hace casi tres décadas.
https://chabiangulo.com/tron-el-hacker-que-murio-con-26-anos-y-sigue-dando-que-hablar/
Hasta la próxima
Si esta semana activas una app de autenticación en tu cuenta de correo, ya has hecho más por la seguridad de tus cuentas que el 80% de la gente.
No exagero. Es uno de esos cambios pequeños con impacto real.
Si tienes dudas sobre cómo configurarlo en un servicio concreto o quieres que revisemos la seguridad de las cuentas de tu empresa, escríbeme. Te oriento sin rodeos.
Cada viernes a las 9 de la mañana tienes una nueva edición de El Hurón del Hack en tu bandeja de entrada. Si conoces a alguien que usa SMS como segundo factor en cuentas críticas, pásale esta edición — igual esta semana da el paso.
Nos vemos el viernes que viene.
Chabi Angulo
Consultor de Ciberseguridad
chabiangulo.com · LinkedIn
Segundo factor de autenticación (2FA/MFA): Capa adicional de seguridad que exige verificar la identidad con algo más que la contraseña. Puede ser un SMS, un código de una app, una llave física o una huella dactilar.
SIM Swapping: Ataque en el que alguien convence a la operadora de telefonía de que es la víctima y solicita que su número se transfiera a una SIM que controla el atacante. A partir de ese momento, todos los SMS — incluidos los códigos de verificación — van al atacante.
SS7: Protocolo de telecomunicaciones diseñado en los años 80 para enrutar llamadas y mensajes entre operadoras. Sus vulnerabilidades permiten interceptar SMS sin tocar el teléfono de la víctima ni contactar con la operadora.
Llave de seguridad física: Dispositivo físico (como YubiKey) que confirma la identidad del usuario conectándose por USB o NFC. No genera códigos — la autenticación es física y no interceptable a distancia.
NFC: Near Field Communication. Tecnología de comunicación inalámbrica de muy corto alcance (pocos centímetros). Usada en pagos con móvil y en llaves de seguridad física para autenticación sin contacto.
App de autenticación (TOTP): Aplicación móvil (Google Authenticator, Authy, Microsoft Authenticator) que genera códigos de verificación de seis dígitos que cambian cada 30 segundos. Los códigos se calculan en el propio dispositivo y no pasan por la red de telefonía.
El Hurón del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en huronhack.substack.com
