Dos factores y por qué los códigos SMS son el eslabón débil
25 jun 2026 · 3 min de lectura · Comentarios
Este artículo contiene enlaces de afiliados. Si compra a través de ellos, es posible que ganemos una comisión, sin costo adicional para usted.
La autenticación de dos factores es una de las actualizaciones de seguridad más efectivas que puede realizar. Pero no todos los sistemas de dos factores son iguales, y la versión más común, la que utilizan de forma predeterminada la mayoría de los servicios, tiene una vulnerabilidad específica y bien documentada que la mayoría de la gente desconoce.
La autenticación de dos factores funciona solicitando algo que usted sabe (su contraseña) y algo que tiene (normalmente un código). Incluso si alguien roba su contraseña, no podrá iniciar sesión sin el segundo factor. Es realmente bueno. La pregunta es qué significa "algo que tienes".
El problema de los códigos SMS
Los códigos SMS se envían a su número de teléfono. Su número de teléfono está controlado por su operador. Y los operadores pueden ser manipulados (a veces mediante ingeniería social, a veces mediante soborno directo a los empleados) para que transfieran su número a una tarjeta SIM que controla el atacante. Esto se llama intercambio de SIM.
Una vez que se transfiere su número, cada código SMS enviado a "su" teléfono va al dispositivo del atacante. Su contraseña más cualquier doble factor basado en SMS ahora es de ellos. Los objetivos de alto valor (personas con importantes criptomonedas, ejecutivos, periodistas) se ven comprometidos regularmente de esta manera.
Que usar en su lugar
Una aplicación de autenticación genera códigos basados en el tiempo en su dispositivo. No se transmiten a través de la red telefónica; ningún intercambio de SIM puede interceptarlos. Aplicaciones como Google Authenticator o Authy funcionan de esta manera. NordPass también incluye un autenticador incorporado, lo que significa que sus códigos y contraseñas 2FA se encuentran en la misma bóveda segura.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Vale la pena tener dos factores incluso en su forma más débil. SMS 2FA es mucho mejor que ningún 2FA. Pero si va a utilizarlo, se necesitan unos dos minutos por cuenta para actualizar de SMS a una aplicación de autenticación, y la brecha en la protección es significativa.
Preguntas frecuentes
What is credential stuffing?+
El relleno de credenciales se produce cuando los atacantes toman combinaciones de correo electrónico y contraseña expuestas en una infracción y las prueban automáticamente con otros servicios. Si reutiliza las contraseñas, una infracción en un sitio les da a los atacantes acceso a todas las cuentas con las mismas credenciales.
Is it safe to store all your passwords in one place?+
Sí, cuando se utiliza un administrador de contraseñas de buena reputación. La bóveda cifrada es mucho más segura que las contraseñas débiles o reutilizadas. Los administradores de contraseñas como NordPass utilizan una arquitectura de conocimiento cero, lo que significa que ni siquiera la empresa puede ver sus contraseñas almacenadas.
What is two-factor authentication and should I use it?+
La autenticación de dos factores (2FA) requiere un segundo paso de verificación más allá de su contraseña, generalmente un código de una aplicación. Utilice una aplicación de autenticación (Google Authenticator, Authy) en lugar de códigos SMS, que son vulnerables a ataques de intercambio de SIM.
