L’autenticació en dos factors (2FA) per SMS és insegura

Q: Quins són els tipus de 2FA més forts?

Els factors secundaris més segurs són aquells resistents al phishing i que no poden ser interceptats fàcilment. Aquests inclouen claus de seguretat FIDO2/WebAuthn (ex: YubiKey, Titan Security Key), aplicacions d’autenticació basades en TOTP (Google Authenticator, Authy) i passkeys. Es recomana evitar la 2FA per SMS i per correu electrònic perquè són més dèbils.

Q: Per què la 2FA per SMS es considera insegura?

La 2FA per SMS és vulnerable a atacs de suplantació de SIM, explotacions SS7 i phishing. Els atacants poden robar el teu número de telèfon i interceptar els codis d’autenticació, fent-la una opció poc fiable. Utilitza alternatives més segures com claus físiques o aplicacions autenticadores TOTP.

Q: Què passa si perdo el meu segon factor (per exemple, el telèfon o la YubiKey)?

Si perds accés al teu segon factor, les opcions de recuperació inclouen l’ús de codis de recuperació que el servei et proporciona, un dispositiu d’autenticació de recanvi o posar-te en contacte amb el suport per recuperar el compte. Es recomana configurar diversos mètodes d’autenticació per evitar quedar-te tancat fora.

Q: Els hackers poden saltar-se la 2FA?

Tot i que la 2FA millora molt la seguretat, alguns mètodes poden ser esquivats amb phishing, atacs man-in-the-middle i suplantació de SIM. Per evitar-ho, utilitza mètodes resistents al phishing com claus físiques, passkeys o autenticació vinculada al dispositiu.

Per què Psono evita la 2FA basada en SMS i es centra en mètodes d’autenticació més forts

Quan es tracta de protegir les teves contrasenyes i dades sensibles, no tots els mètodes d’autenticació en dos factors (2FA) són iguals. Molts serveis encara ofereixen la 2FA per SMS, però plataformes conscients de la seguretat com Psono l’eviten completament i opten per alternatives més robustes com WebAuthn, YubiKey i TOTP (Contrasenyes d’un sol ús basades en temps).

Això no és només qüestió de preferència—és una necessitat per a una seguretat sòlida. La 2FA per SMS té vulnerabilitats significatives, i atacs reals han demostrat que és un objectiu fàcil per als hackers. En aquest article expliquem per què la 2FA per SMS és feble i destaquem atacs reals que n’evidencien les mancances.

🔒 La feblesa de la 2FA basada en SMS

L’autenticació per SMS és vulnerable a diversos tipus d’atac, com:

Suplantació de SIM (SIM Swapping) – Els atacants enganyen el teu operador perquè transfereixi el teu número a una nova SIM, interceptant tots els codis SMS.
Atacs SS7 – Aprofitant vulnerabilitats en el protocol global Signaling System No. 7 (SS7) per interceptar missatges SMS de forma remota.
Phishing i enginyeria social – Enganyant la víctima perquè reveli els codis d’SMS a través de pàgines d’inici de sessió falses.

Aquests riscos converteixen la 2FA per SMS en una de les formes d’autenticació més febles.

🛡️ Per què Psono utilitza 2FA més robusta

Psono prioritza la seguretat i només admet mètodes de 2FA robustos, com:

WebAuthn (FIDO2) – Fa servir criptografia de clau pública i biometria o claus físiques de seguretat (ex: YubiKey)
YubiKey i altres claus de seguretat – Tokens físics que requereixen accés directe per autenticar.
TOTP (Google Authenticator, Authy, etc.) – Contrasenyes d’un sol ús generades al dispositiu en comptes de ser transmeses per SMS.

Aquests mètodes són molt més segurs perquè són resistents al phishing, no depenen d’operadors mòbils i eliminen el risc de presa de control remota.

📢 Atacs reals a la 2FA per SMS

Per il·lustrar per què Psono es nega a implementar l’autenticació per SMS, aquí tens atacs reals que han explotat les seves febleses:

1. Atacs de la Xina a telecomunicacions dels EUA (Explotació SS7 i més)

El febrer de 2024, l’FBI i la CISA van emetre una advertència conjunta sobre hackers patrocinats per l’estat xinès que atacaven xarxes de telecomunicacions comercials. Aquests atacs van explotar vulnerabilitats de l’SS7—el protocol per al ruteig de missatges SMS. Els atacants van poder interceptar missatges d’autenticació, demostrant com la 2FA per SMS pot ser compromesa a nivell sistèmic.

2. Atac de suplantació de SIM al CEO de Twitter (X) Jack Dorsey (2019)

El 2019, el CEO de Twitter d’aleshores, Jack Dorsey, va veure com es prenia el control del seu compte mitjançant un atac SIM swap. Uns hackers van convèncer el seu operador mòbil de transferir el seu número a una SIM pròpia, cosa que els va permetre interceptar els codis 2FA per SMS i controlar el seu compte de Twitter.

3. Atacs SIM swap a Coinbase (2021) – Milers de dòlars robats

El 2021, Coinbase va confessar que més de 6.000 clients van perdre fons per un atac massiu de SIM swapping. Els hackers reiniciaven contrasenyes de les víctimes amb codis d’SMS interceptats, aconseguint ple control dels comptes i robant criptomonedes.

4. Fuga de dades a Reddit 2018 – La 2FA per SMS va fallar

El 2018, Reddit va patir una fuga de dades on els hackers van accedir a comptes d’empleats tot i tenir activada la 2FA per SMS. Els atacants van utilitzar codis SMS interceptats per saltar-se l’autenticació, exposant dades sensibles d’usuaris.

🚀 El futur de la 2FA: més enllà del SMS

Si encara utilitzes la 2FA per SMS, ha arribat el moment de passar a una alternativa més segura, com WebAuthn, YubiKey o l’autenticació TOTP. El compromís de Psono amb la seguretat és clar: no acceptarà mai la 2FA per SMS.

Vols estar segur? Utilitza claus de seguretat físiques, apps TOTP o autenticació biomètrica—mai confiïs només en el SMS.

Protegeix bé els teus comptes—abandona la 2FA per SMS!

Preguntes Freqüents sobre l’Autenticació en Dos Factors (2FA)

Què és l’autenticació en dos factors (2FA) i per què és important?

L’autenticació en dos factors (2FA) és una capa extra de seguretat que requereix dues formes d’autenticació abans de permetre l’accés a un compte. En lloc d’utilitzar només una contrasenya, també cal un segon factor, com ara:

Un codi d’un sol ús d’una app autenticadora (TOTP)
Una clau de seguretat física (ex: YubiKey, Titan Security Key)
Autenticació biomètrica (empremta dactilar, reconeixement facial)

Això redueix moltíssim el risc d’accés no autoritzat, fins i tot si un atacant obté la teva contrasenya.

Quins són els tipus de 2FA més forts?

Els factors secundaris més segurs són aquells que són resistents al phishing i no es poden interceptar fàcilment. Inclouen:

✅ Claus de seguretat FIDO2/WebAuthn (ex: YubiKey, Titan Security Key)
✅ Apps d’autenticació basades en TOTP (Google Authenticator, Authy, Aegis)
✅ Passkeys (autenticació sense contrasenya amb biometria o claus de seguretat)

Mètodes més dèbils (a evitar):

❌ 2FA per SMS – Vulnerable a atacs de suplantació de SIM i explotacions SS7
❌ 2FA per correu electrònic – Si et hackegen el correu, et poden vulnerar la 2FA

Per què la 2FA per SMS es considera insegura?

La 2FA per SMS és vulnerable a diversos atacs, com:

Atacs de suplantació de SIM – Els hackers enganyen el teu operador i reben els teus codis 2FA.
Explotacions SS7 – Els atacants poden interceptar SMS aprofitant vulnerabilitats de la infraestructura de telecomunicacions.
Phishing – Pàgines falses que et fan introduir el codi SMS i permeten als atacants accedir al teu compte.

🔹 Millors alternatives: Fes servir claus físiques o apps TOTP en comptes del SMS.

Què passa si perdo el meu segon factor (per exemple, el telèfon o la YubiKey)?

Si perds el teu segon factor, pots recuperar el teu compte així:

Amb codis de recuperació – Molts serveis ofereixen codis únics quan configures la 2FA. Desa’ls en un lloc segur.
Amb un dispositiu de recanvi – Algunes apps autenticadores et deixen tenir els TOTP en diversos dispositius.
Contactant amb suport – Alguns serveis ofereixen recuperació de compte aportant proves d’identitat. Pot ser lent.
Amb una segona clau física – Registra més d’una clau si el servei ho permet (principal + recanvi).

🔹 Consell: Configura múltiples mètodes d’autenticació per evitar quedar-te sense accés.

Els hackers poden saltar-se la 2FA?

Tot i que la 2FA millora molt la seguretat, alguns mètodes poden ser vulnerats amb atacs sofisticats:

🚨 Tècniques habituals d’atac:

Phishing – Pàgines d’inici de sessió falses per robar contrasenya i codi 2FA.
Man-in-the-Middle (MitM) – Intercepten tokens d’autenticació en xarxes insegures.
Suplantació de SIM – Reben els codis SMS del teu número a un mòbil d’un atacant.

✅ Com prevenir-ho:

Utilitza autenticació resistent al phishing (WebAuthn, passkeys, claus físiques).
Activa l’autenticació vinculada al dispositiu (per evitar el robatori de tokens).
Desconfia de pàgines d’inici de sessió sospitoses – Comprova sempre l’URL abans d’introduir credencials.

escrit per Sascha Pfeiffer el February 12, 2025

Busques més?

Consulteu els nostres últims articles aquí!