Activar el segundo factor por SMS es de las mejores decisiones que puedes tomar hoy. También es la primera que tendrás que revisar.
Las dos cosas son verdad a la vez, y ahí está toda la dificultad del asunto. El debate suele degenerar en dos bandos igual de equivocados: los que tratan el SMS como seguridad de verdad y los que lo tratan como teatro. El SMS es muchísimo mejor que nada y, al mismo tiempo, el más débil de los segundos factores de uso común. No hay contradicción. Hay una escalera, y el SMS es el primer escalón —muy por encima del suelo.
Lo que el SMS hace bien
Sin segundo factor, tu cuenta depende de un secreto que puede llevar años circulando en un volcado ajeno sin que tú lo sepas. Alguien coge ese listado, lo prueba en un servicio detrás de otro y, si reutilizaste la contraseña, entra. No te ha elegido a ti: le ha tocado tu línea en una hoja de cálculo.
El SMS rompe eso de raíz. En cuanto hay un segundo factor, atacarte deja de ser un trámite automático y pasa a ser un trabajo dirigido contra ti. Hay que saber quién eres, qué número usas y quién te lo da. A muchos no les compensa: hay cuentas más fáciles. Por eso, si un servicio solo ofrece SMS, la respuesta es sí, sin matices. Los matices vienen después.
El fallo no está en tu teléfono
Uno imagina que romper el SMS es interceptar ondas, clonar un chip o infectar el móvil. Nada de eso hace falta. El ataque que de verdad se lleva cuentas por delante, y el que aparece una y otra vez en los casos públicos, es el SIM swapping, y consiste en algo mucho más aburrido: alguien llama a tu operadora, dice que ha perdido la SIM, contesta unas cuantas preguntas de comprobación y pide un duplicado. A partir de ese momento, tus SMS le llegan a él.
Fíjate en lo que no ha ocurrido ahí. No se ha roto ningún cifrado. No se ha tocado tu teléfono. Tú no has hecho nada mal —ni te has enterado, salvo porque tu línea se queda muda de golpe, y eso, si estás durmiendo, puede tardar en llamarte la atención. El SIM swapping no es un ataque técnico contra ti: es ingeniería social contra tu operadora. El eslabón que falla es un empleado de atención al cliente al que le pagan por resolver incidencias rápido y al que le acaban de contar una historia perfectamente creíble, porque perder la SIM es algo que le pasa a la gente todos los días. Los casos están ampliamente documentados y el patrón se repite con una monotonía que ya no sorprende.
Lo incómodo es que tú ahí no pintas nada: tu seguridad depende del proceso de verificación de una empresa que no elegiste por eso. Y hay un segundo defecto, más silencioso: tu número de teléfono no es un secreto. Se lo has dado al dentista, a la compañía de la luz y a media agenda del país. Un identificador que repartes a voluntad está haciendo aquí de credencial.
El segundo escalón: una aplicación
El siguiente peldaño es el TOTP —los códigos de seis dígitos que rotan cada treinta segundos en una app como las de Google, Aegis, 1Password o Bitwarden.
El mecanismo es elegante: el servicio y tu aplicación comparten un secreto una sola vez, al configurarlo, y desde entonces ambos calculan el mismo código con ese secreto y la hora. No se envía nada. Y ahí está toda la diferencia: si nada viaja, no hay nada que desviar. No hay operadora, no hay número, no hay nadie a quien llamar para pedir un duplicado. El SIM swapping no tiene por dónde entrar.
Es un salto grande y cuesta cinco minutos. Pero tampoco es el final, porque el TOTP conserva un punto ciego muy humano: el código se lo escribes tú a quien te lo pida. Si estás tecleando en una página que se parece a tu banco pero no lo es, el atacante lo recoge y lo reenvía al sitio real en los segundos que le quedan de vida. Tu aplicación genera un número; no sabe dónde lo pegas.
El escalón que no se deja engañar
La llave física —el estándar FIDO/U2F, una llave USB o NFC, o el propio móvil haciendo de autenticador— resuelve exactamente eso. Al registrarte crea un par de claves atado al origen: al dominio concreto de ese servicio. Al entrar, el navegador le dice para qué dominio se pide la firma, y la llave firma un reto que lleva ese dominio dentro. Si la página es una copia alojada en otro sitio, el dominio no coincide y no sale una firma que el servicio real acepte.
Dicho de otra forma: la llave no es más lista que tú; es que no confía en tu criterio. No mira el candado, no lee la URL, no evalúa si el correo parecía legítimo. Compara una cadena de texto con otra. Es el único eslabón al que no se convence con una buena historia —y a estas alturas ya habrás notado que las buenas historias son justo el problema.
«Restringido» no es «prohibido»
El NIST, en su SP 800-63B, clasifica la verificación fuera de banda a través de la red telefónica —o sea, el SMS— como restringida. Merece la pena detenerse en la palabra, porque el matiz es el post entero. Restringido no es prohibido: es una categoría intermedia y deliberada. Se puede seguir usando, pero quien lo use asume obligaciones: evaluar el riesgo, avisar a los usuarios de que ese canal tiene una debilidad conocida y tener un plan para migrar a algo mejor.
Es una posición más inteligente que un veto, y explica por qué el SMS sigue en pie. Un mecanismo mediocre que la gente usa protege más que uno excelente que nadie activa. Si mañana se prohibiera en todas partes, buena parte de esas cuentas no subirían un escalón: se quedarían con la contraseña sola, que es el suelo.
Qué hacer, en orden
- Si un servicio solo ofrece SMS, actívalo. Hoy. El primer escalón es el que más altura gana.
- Si ofrece TOTP, cambia a TOTP y quita el SMS como respaldo si te deja. Tu seguridad es la del método más débil que aceptes, porque el atacante elige por dónde entra.
- En lo que de verdad importa —correo, banco, gestor de contraseñas—, pon una llave física. Del correo cuelgan los «he olvidado mi contraseña» de tu vida entera.
- Si tu operadora permite un PIN o un bloqueo de portabilidad, ponlo. No arregla el fondo, pero le complica el duplicado al que llama.
- Y no olvides el primer factor. El 2FA es un segundo cerrojo, no una amnistía para el primero: una contraseña larga, única y salida del generador, y si dudas de alguna de las que ya usas, pásala por el comprobador.
La conclusión es aburrida y por eso casi nadie la dice: el SMS está mal, y deberías usarlo si no tienes otra cosa. La seguridad real casi nunca consiste en elegir la opción perfecta, sino en saber cuál es la peor de las buenas, usarla mientras haga falta y no confundirla nunca con haber terminado.
Fuentes: NIST SP 800-63B, que clasifica la verificación fuera de banda a través de la red telefónica pública (SMS o voz) como método restringido, con las obligaciones de evaluación de riesgo, aviso a los usuarios y plan de migración que esa categoría implica · especificaciones FIDO/U2F y WebAuthn, y su verificación del origen (dominio) en el momento de la firma · RFC 6238 (TOTP) · casos públicos de SIM swapping ampliamente documentados en prensa y en procedimientos judiciales.