Activar el segon factor per SMS és de les millors decisions que pots prendre avui. També és la primera que hauràs de revisar.
Totes dues coses són certes alhora, i aquí rau tota la dificultat de l’assumpte. El debat sol degenerar en dos bàndols igual d’equivocats: els qui tracten l’SMS com a seguretat de debò i els qui el tracten com a teatre. L’SMS és moltíssim millor que res i, al mateix temps, el més fluix dels segons factors d’ús habitual. No hi ha contradicció. Hi ha una escala, i l’SMS n’és el primer graó —molt per damunt de terra.
El que l’SMS fa bé
Sense segon factor, el teu compte depèn d’un secret que pot portar anys circulant en un abocament aliè sense que tu ho sàpigues. Algú agafa aquell llistat, el prova en un servei rere l’altre i, si vas reutilitzar la contrasenya, entra. No t’ha triat a tu: li ha tocat la teva línia en un full de càlcul.
L’SMS trenca això d’arrel. Tan bon punt hi ha un segon factor, atacar-te deixa de ser un tràmit automàtic i passa a ser una feina dirigida contra tu. Cal saber qui ets, quin número fas servir i qui te’l dona. A molts no els compensa: hi ha comptes més fàcils. Per això, si un servei només ofereix SMS, la resposta és sí, sense matisos. Els matisos vénen després.
La fallada no és al teu telèfon
Un s’imagina que trencar l’SMS és interceptar ones, clonar un xip o infectar el mòbil. No cal res de tot això. L’atac que de debò s’emporta comptes per davant, i el que apareix una vegada i una altra en els casos públics, és el SIM swapping, i consisteix en una cosa molt més avorrida: algú truca a la teva operadora, diu que ha perdut la SIM, contesta unes quantes preguntes de comprovació i demana un duplicat. A partir d’aquell moment, els teus SMS li arriben a ell.
Fixa’t en el que no ha passat aquí. No s’ha trencat cap xifratge. No s’ha tocat el teu telèfon. Tu no has fet res malament —ni te n’has assabentat, tret que la teva línia es queda muda de cop, i això, si dorms, pot trigar a cridar-te l’atenció. El SIM swapping no és un atac tècnic contra tu: és enginyeria social contra la teva operadora. La baula que falla és un empleat d’atenció al client a qui paguen per resoldre incidències de pressa i a qui acaben d’explicar-li una història perfectament creïble, perquè perdre la SIM és una cosa que li passa a la gent cada dia. Els casos estan àmpliament documentats i el patró es repeteix amb una monotonia que ja no sorprèn.
L’incòmode és que tu aquí no hi pintes res: la teva seguretat depèn del procés de verificació d’una empresa que no vas triar per això. I hi ha un segon defecte, més silenciós: el teu número de telèfon no és cap secret. L’has donat al dentista, a la companyia de la llum i a mitja agenda del país. Un identificador que reparteixes a pler està fent aquí de credencial.
El segon graó: una aplicació
El graó següent és el TOTP —els codis de sis xifres que roten cada trenta segons en una app com les de Google, Aegis, 1Password o Bitwarden.
El mecanisme és elegant: el servei i la teva aplicació comparteixen un secret una sola vegada, en configurar-lo, i des d’aleshores tots dos calculen el mateix codi amb aquest secret i l’hora. No s’envia res. I aquí hi ha tota la diferència: si no viatja res, no hi ha res per desviar. No hi ha operadora, no hi ha número, no hi ha ningú a qui trucar per demanar un duplicat. El SIM swapping no té per on entrar.
És un salt gran i costa cinc minuts. Però tampoc no és el final, perquè el TOTP conserva un punt cec molt humà: el codi l’escrius tu a qui te’l demani. Si estàs teclejant en una pàgina que s’assembla al teu banc però no ho és, l’atacant el recull i el reenvia al lloc real en els segons que li queden de vida. La teva aplicació genera un número; no sap on l’enganxes.
El graó que no es deixa enganyar
La clau física —l’estàndard FIDO/U2F, una clau USB o NFC, o el mateix mòbil fent d’autenticador— resol exactament això. En registrar-t’hi crea un parell de claus lligat a l’origen: al domini concret d’aquell servei. En entrar, el navegador li diu per a quin domini es demana la signatura, i la clau signa un repte que porta aquell domini a dins. Si la pàgina és una còpia allotjada en un altre lloc, el domini no coincideix i no en surt cap signatura que el servei real accepti.
Dit d’una altra manera: la clau no és més llesta que tu; és que no es refia del teu criteri. No mira el cadenat, no llegeix l’URL, no valora si el correu semblava legítim. Compara una cadena de text amb una altra. És l’única baula que no es convenç amb una bona història —i a hores d’ara ja hauràs notat que les bones històries són justament el problema.
«Restringit» no vol dir «prohibit»
El NIST, en la seva SP 800-63B, classifica la verificació fora de banda a través de la xarxa telefònica —és a dir, l’SMS— com a restringida. Val la pena aturar-se en la paraula, perquè el matís és tot el post. Restringit no vol dir prohibit: és una categoria intermèdia i deliberada. Es pot continuar fent servir, però qui ho faci assumeix obligacions: avaluar el risc, avisar els usuaris que aquell canal té una debilitat coneguda i tenir un pla per migrar cap a alguna cosa millor.
És una posició més intel·ligent que un veto, i explica per què l’SMS continua dret. Un mecanisme mediocre que la gent fa servir protegeix més que un d’excel·lent que no activa ningú. Si demà es prohibís a tot arreu, bona part d’aquells comptes no pujarien cap graó: es quedarien amb la contrasenya sola, que és el terra.
Què fer, per ordre
- Si un servei només ofereix SMS, activa’l. Avui. El primer graó és el que més alçada guanya.
- Si ofereix TOTP, passa’t al TOTP i treu l’SMS com a reserva si t’ho permet. La teva seguretat és la del mètode més fluix que acceptis, perquè l’atacant tria per on entra.
- En el que de debò importa —correu, banc, gestor de contrasenyes—, posa-hi una clau física. Del correu hi pengen els «he oblidat la contrasenya» de tota la teva vida.
- Si la teva operadora permet un PIN o un bloqueig de portabilitat, posa-l’hi. No arregla el fons, però li complica el duplicat a qui truca.
- I no oblidis el primer factor. El 2FA és un segon forrellat, no una amnistia per al primer: una contrasenya llarga, única i sortida del generador, i si dubtes d’alguna de les que ja fas servir, passa-la pel comprovador.
La conclusió és avorrida i per això gairebé ningú no la diu: l’SMS està malament, i l’hauries de fer servir si no tens cap altra cosa. La seguretat real gairebé mai no consisteix a triar l’opció perfecta, sinó a saber quina és la pitjor de les bones, fer-la servir mentre calgui i no confondre-la mai amb haver acabat.
Fonts: NIST SP 800-63B, que classifica la verificació fora de banda a través de la xarxa telefònica pública (SMS o veu) com a mètode restringit, amb les obligacions d’avaluació de risc, avís als usuaris i pla de migració que aquesta categoria implica · especificacions FIDO/U2F i WebAuthn, i la seva verificació de l’origen (domini) en el moment de la signatura · RFC 6238 (TOTP) · casos públics de SIM swapping àmpliament documentats a la premsa i en procediments judicials.