Activar o segundo factor por SMS é das mellores decisións que podes tomar hoxe. Tamén é a primeira que terás que revisar.
As dúas cousas son certas á vez, e aí está toda a dificultade do asunto. O debate adoita degenerar en dous bandos igual de equivocados: os que tratan o SMS como seguridade de verdade e os que o tratan como teatro. O SMS é moitísimo mellor ca nada e, ao mesmo tempo, o máis feble dos segundos factores de uso común. Non hai contradición. Hai unha escaleira, e o SMS é o primeiro chanzo —moi por riba do chan.
O que o SMS fai ben
Sen segundo factor, a túa conta depende dun segredo que pode levar anos circulando nun envorcado alleo sen que ti o saibas. Alguén colle esa listaxe, próbaa nun servizo detrás doutro e, se reutilizaches o contrasinal, entra. Non te escolleu a ti: tocoulle a túa liña nunha folla de cálculo.
O SMS rompe iso de raíz. En canto hai un segundo factor, atacarte deixa de ser un trámite automático e pasa a ser un traballo dirixido contra ti. Hai que saber quen es, que número usas e quen cho dá. A moitos non lles compensa: hai contas máis doadas. Por iso, se un servizo só ofrece SMS, a resposta é si, sen matices. Os matices veñen despois.
O fallo non está no teu teléfono
Un imaxina que romper o SMS é interceptar ondas, clonar un chip ou infectar o móbil. Nada diso fai falta. O ataque que de verdade leva contas por diante, e o que aparece unha e outra vez nos casos públicos, é o SIM swapping, e consiste en algo moito máis aburrido: alguén chama á túa operadora, di que perdeu a SIM, contesta unhas cantas preguntas de comprobación e pide un duplicado. A partir dese momento, os teus SMS chéganlle a el.
Repara no que non ocorreu aí. Non se rompeu ningún cifrado. Non se tocou o teu teléfono. Ti non fixeches nada mal —nin te decataches, agás porque a túa liña queda muda de golpe, e iso, se estás durmindo, pode tardar en chamarche a atención. O SIM swapping non é un ataque técnico contra ti: é enxeñaría social contra a túa operadora. O elo que falla é un empregado de atención ao cliente ao que lle pagan por resolver incidencias rápido e ao que lle acaban de contar unha historia perfectamente crible, porque perder a SIM é algo que lle pasa á xente todos os días. Os casos están amplamente documentados e o patrón repítese cunha monotonía que xa non sorprende.
O incómodo é que ti aí non pintas nada: a túa seguridade depende do proceso de verificación dunha empresa que non escolliches por iso. E hai un segundo defecto, máis silencioso: o teu número de teléfono non é un segredo. Décheslo ao dentista, á compañía da luz e a media axenda do país. Un identificador que repartes á vontade está a facer aquí de credencial.
O segundo chanzo: unha aplicación
O seguinte chanzo é o TOTP —os códigos de seis díxitos que rotan cada trinta segundos nunha app como as de Google, Aegis, 1Password ou Bitwarden.
O mecanismo é elegante: o servizo e a túa aplicación comparten un segredo unha soa vez, ao configuralo, e desde entón ambos os dous calculan o mesmo código con ese segredo e a hora. Non se envía nada. E aí está toda a diferenza: se nada viaxa, non hai nada que desviar. Non hai operadora, non hai número, non hai a quen chamar para pedir un duplicado. O SIM swapping non ten por onde entrar.
É un salto grande e custa cinco minutos. Pero tampouco é o final, porque o TOTP conserva un punto cego moi humano: o código escríbelo ti a quen cho pida. Se estás a teclear nunha páxina que se parece ao teu banco pero non o é, o atacante recólleo e reenvíao ao sitio real nos segundos que lle quedan de vida. A túa aplicación xera un número; non sabe onde o pegas.
O chanzo que non se deixa enganar
A chave física —o estándar FIDO/U2F, unha chave USB ou NFC, ou o propio móbil facendo de autenticador— resolve exactamente iso. Ao rexistrarte crea un par de chaves atado ao orixe: ao dominio concreto dese servizo. Ao entrar, o navegador dille para que dominio se pide a sinatura, e a chave asina un reto que leva ese dominio dentro. Se a páxina é unha copia aloxada noutro sitio, o dominio non coincide e non sae unha sinatura que o servizo real acepte.
Dito doutro xeito: a chave non é máis lista ca ti; é que non confía no teu criterio. Non mira o cadeado, non le o URL, non avalía se o correo parecía lexítimo. Compara unha cadea de texto con outra. É o único elo ao que non se convence cunha boa historia —e a estas alturas xa terás notado que as boas historias son xustamente o problema.
«Restrinxido» non é «prohibido»
O NIST, na súa SP 800-63B, clasifica a verificación fóra de banda a través da rede telefónica —ou sexa, o SMS— como restrinxida. Paga a pena determos na palabra, porque o matiz é o post enteiro. Restrinxido non é prohibido: é unha categoría intermedia e deliberada. Pódese seguir usando, pero quen o use asume obrigas: avaliar o risco, avisar os usuarios de que esa canle ten unha debilidade coñecida e ter un plan para migrar a algo mellor.
É unha posición máis intelixente ca un veto, e explica por que o SMS segue en pé. Un mecanismo mediocre que a xente usa protexe máis ca un excelente que ninguén activa. Se mañá se prohibise en todas partes, boa parte desas contas non subirían un chanzo: quedarían co contrasinal só, que é o chan.
Que facer, por orde
- Se un servizo só ofrece SMS, actívao. Hoxe. O primeiro chanzo é o que máis altura gaña.
- Se ofrece TOTP, cambia a TOTP e quita o SMS como respaldo se cho permite. A túa seguridade é a do método máis feble que aceptes, porque o atacante escolle por onde entra.
- No que de verdade importa —correo, banco, xestor de contrasinais—, pon unha chave física. Do correo colgan os «esquecín o contrasinal» da túa vida enteira.
- Se a túa operadora permite un PIN ou un bloqueo de portabilidade, ponllo. Non arranxa o fondo, pero complícalle o duplicado ao que chama.
- E non esquezas o primeiro factor. O 2FA é un segundo pecho, non unha amnistía para o primeiro: un contrasinal longo, único e saído do xerador, e se dubidas dalgún dos que xa usas, pásao polo comprobador.
A conclusión é aburrida e por iso case ninguén a di: o SMS está mal, e deberías usalo se non tes outra cousa. A seguridade real case nunca consiste en escoller a opción perfecta, senón en saber cal é a peor das boas, usala mentres faga falta e non confundila nunca con ter rematado.
Fontes: NIST SP 800-63B, que clasifica a verificación fóra de banda a través da rede telefónica pública (SMS ou voz) como método restrinxido, coas obrigas de avaliación de risco, aviso aos usuarios e plan de migración que esa categoría implica · especificacións FIDO/U2F e WebAuthn, e a súa verificación do orixe (dominio) no momento da sinatura · RFC 6238 (TOTP) · casos públicos de SIM swapping amplamente documentados na prensa e en procedementos xudiciais.