Cuando se trata de asegurar tus contraseñas y datos confidenciales, no todos los métodos de autenticación de dos factores (2FA) se crean iguales. Muchos servicios aún ofrecen 2FA basada en SMS, pero plataformas conscientes de la seguridad como Psono la evitan por completo, prefiriendo opciones más fuertes como WebAuthn, YubiKey y TOTP (contraseñas de un solo uso basadas en tiempo).
Esto no es solo una preferencia, es una necesidad para una seguridad robusta. La 2FA basada en SMS tiene vulnerabilidades significativas, y los ataques del mundo real han demostrado que es un objetivo fácil para los hackers. En esta publicación del blog, desglosaremos por qué la 2FA basada en SMS es débil y destacaremos ataques del mundo real que muestran sus fallas.
🔒 La debilidad de la 2FA basada en SMS
La autenticación basada en SMS es vulnerable a múltiples métodos de ataque, incluidos:
- Intercambio de SIM (SIM Swapping) – Los atacantes engañan a los operadores móviles para transferir el número de teléfono de la víctima a una nueva SIM, interceptando todos los códigos SMS.
- Ataques SS7 – Explotan fallas en el protocolo global del Sistema de Señalización No. 7 (SS7) para interceptar mensajes SMS de forma remota.
- Phishing y ingeniería social – Engañan a los usuarios para que revelen códigos basados en SMS a través de páginas de inicio de sesión falsas.
Estos riesgos hacen que la 2FA basada en SMS sea una de las formas más débiles de autenticación.
🛡️ Por qué Psono utiliza 2FA más fuertes
Psono prioriza la seguridad y solo admite métodos de 2FA robustos, que incluyen:
- WebAuthn (FIDO2) – Utiliza criptografía de clave pública y biometría o claves de seguridad hardware (por ejemplo, YubiKey).
- YubiKey y otras claves de seguridad – Tokens físicos que requieren acceso directo para autenticarse.
- TOTP (Google Authenticator, Authy, etc.) – Contraseñas de un solo uso generadas en un dispositivo en lugar de ser transmitidas por SMS.
Estos métodos son significativamente más seguros porque son resistentes al phishing, no dependen de operadores móviles y eliminan los riesgos de toma de control remoto.
📢 Ataques del mundo real a la 2FA basada en SMS
Para ilustrar por qué Psono se niega a implementar la autenticación basada en SMS, aquí hay ataques del mundo real que explotaron sus debilidades:
1. El objetivo de China en las telecomunicaciones de EE. UU. (Explotaciones SS7 y más)
En febrero de 2024, el FBI y CISA emitieron una advertencia conjunta sobre hackers patrocinados por el estado chino que atacan redes de telecomunicaciones comerciales. Estos ataques explotaron vulnerabilidades en SS7 —el protocolo utilizado para enrutar mensajes SMS. Los atacantes fueron capaces de interceptar mensajes de autenticación, demostrando cómo la 2FA por SMS puede ser comprometida a nivel sistémico.
2. Ataque de intercambio de SIM al CEO de Twitter (X) Jack Dorsey (2019)
En 2019, el entonces CEO de Twitter, Jack Dorsey, tuvo su cuenta secuestrada a través de un ataque de intercambio de SIM. Los hackers convencieron a su operador móvil de transferir su número de teléfono a su tarjeta SIM, lo que les permitió interceptar los códigos SMS de 2FA y tomar el control de su cuenta de Twitter.
3. Ataques de intercambio de SIM a Coinbase (2021) – Miles de dólares robados
En 2021, Coinbase reveló que más de 6,000 clientes perdieron fondos debido a un ataque masivo de intercambio de SIM. Los hackers reiniciaron las contraseñas de las víctimas utilizando códigos SMS interceptados, ganando control completo sobre las cuentas y robando criptomonedas.
4. Brecha de datos de Reddit en 2018 – Falló la 2FA con SMS
En 2018, Reddit sufrió una brecha de datos donde los hackers accedieron a cuentas de empleados a pesar de que se había habilitado la 2FA basada en SMS. Los atacantes usaron códigos SMS interceptados para eludir la autenticación, exponiendo datos de usuario sensibles.
🚀 El futuro de la 2FA: Más allá del SMS
Si todavía estás usando 2FA basada en SMS, es hora de cambiar a una alternativa más fuerte como la autenticación basada en WebAuthn, YubiKey o TOTP. El compromiso de Psono con la seguridad significa que no comprometerá al ofrecer autenticación basada en SMS.
¿Quieres mantenerte seguro? Usa claves de seguridad hardware, aplicaciones TOTP o autenticación biométrica—nunca confíes únicamente en la autenticación basada en SMS.
Asegura tus cuentas de la manera correcta—abandona la 2FA basada en SMS!
Preguntas frecuentes sobre la autenticación de segundo factor (2FA)
¿Qué es la autenticación de dos factores (2FA) y por qué es importante?
La autenticación de dos factores (2FA) es una capa adicional de seguridad que requiere dos formas de autenticación antes de otorgar acceso a una cuenta. En lugar de solo usar una contraseña, también necesitas un segundo factor, como:
- Un código de un solo uso de una aplicación de autenticación (TOTP)
- Una clave de seguridad hardware (por ejemplo, YubiKey, Titan Security Key)
- Autenticación biométrica (huella dactilar, reconocimiento facial)
Reduce significativamente el riesgo de acceso no autorizado, incluso si un atacante obtiene tu contraseña.
¿Cuáles son los tipos más fuertes de 2FA?
Los factores de segundo nivel más seguros son aquellos que son resistentes al phishing y no pueden ser fácilmente interceptados. Estos incluyen:
- ✅ Claves de seguridad FIDO2/WebAuthn (por ejemplo, YubiKey, Titan Security Key)
- ✅ Aplicaciones de autenticación basadas en TOTP (Google Authenticator, Authy, Aegis)
- ✅ Passkeys (autenticación sin contraseña usando biometría o claves de seguridad hardware)
Métodos más débiles (a evitar):
- ❌ 2FA basada en SMS – Susceptible a ataques de intercambio de SIM y explotaciones SS7
- ❌ 2FA basada en correo electrónico – Puede ser comprometida si tu correo electrónico es hackeado
¿Por qué se considera insegura la 2FA basada en SMS?
La 2FA basada en SMS es vulnerable a múltiples métodos de ataque, tales como:
- Ataques de intercambio de SIM – Los hackers engañan a tu operador móvil para transferir tu número a su SIM, permitiéndoles recibir tus códigos de 2FA.
- Explotaciones SS7 – Los atacantes interceptan mensajes SMS explotando vulnerabilidades en la infraestructura de telecomunicaciones.
- Ataques de phishing – Sitios web falsos engañan a los usuarios para que ingresen sus códigos SMS, permitiendo que los atacantes inicien sesión.
🔹 Mejores alternativas: Usa claves de seguridad hardware o aplicaciones TOTP en lugar de 2FA por SMS.
¿Qué pasa si pierdo mi segundo factor (por ejemplo, teléfono, YubiKey)?
Si pierdes acceso a tu segundo factor, puedes recuperar tu cuenta mediante:
- Uso de códigos de respaldo – Muchos servicios proporcionan códigos de respaldo de un solo uso al configurar 2FA. Almacénalos de manera segura.
- Uso de un dispositivo de respaldo – Algunas aplicaciones de autenticación permiten que múltiples dispositivos almacenen códigos TOTP.
- Contacto con soporte – Algunos servicios ofrecen recuperación de cuenta, pero esto puede ser lento y requiere prueba de identidad.
- Uso de una segunda clave de hardware – Si tu servicio lo admite, registra múltiples claves de seguridad (principal + respaldo).
🔹 Consejo profesional: Siempre configura múltiples métodos de autenticación en caso de que uno falle.
¿Pueden los hackers eludir la 2FA?
Si bien la 2FA mejora significativamente la seguridad, algunos métodos pueden ser eludidos con ataques avanzados:
🚨 Métodos de ataque comunes:
- Ataques de phishing – Páginas de inicio de sesión falsas engañan a los usuarios para que ingresen tanto su contraseña como su código de 2FA.
- Ataques de intermediario (MitM) – Interceptación de tokens de autenticación en redes inseguras.
- Intercambio de SIM – Redirección de códigos SMS al teléfono de un atacante.
✅ Cómo prevenirlo:
- Usa autenticación resistente al phishing (WebAuthn, passkeys, claves de seguridad).
- Habilita autenticación ligada al dispositivo (para que los tokens no puedan ser reutilizados de manera remota).
- Ten cuidado con páginas de inicio de sesión sospechosas – Siempre verifica las URLs antes de ingresar credenciales.
