PUBLI-REPORTAJE

Dos factores y por qué los códigos SMS son el eslabón débil

25 jun 2026 · 3 min de lectura · Comentarios

Este artículo contiene enlaces de afiliados. Si compra a través de ellos, es posible que ganemos una comisión, sin costo adicional para usted.

La autenticación de dos factores es una de las actualizaciones de seguridad más efectivas que puede realizar. Pero no todos los sistemas de dos factores son iguales, y la versión más común, la que utilizan de forma predeterminada la mayoría de los servicios, tiene una vulnerabilidad específica y bien documentada que la mayoría de la gente desconoce.

La autenticación de dos factores funciona solicitando algo que usted sabe (su contraseña) y algo que tiene (normalmente un código). Incluso si alguien roba su contraseña, no podrá iniciar sesión sin el segundo factor. Es realmente bueno. La pregunta es qué significa "algo que tienes".

El problema de los códigos SMS

Los códigos SMS se envían a su número de teléfono. Su número de teléfono está controlado por su operador. Y los operadores pueden ser manipulados (a veces mediante ingeniería social, a veces mediante soborno directo a los empleados) para que transfieran su número a una tarjeta SIM que controla el atacante. Esto se llama intercambio de SIM.

Una vez que se transfiere su número, cada código SMS enviado a "su" teléfono va al dispositivo del atacante. Su contraseña más cualquier doble factor basado en SMS ahora es de ellos. Los objetivos de alto valor (personas con importantes criptomonedas, ejecutivos, periodistas) se ven comprometidos regularmente de esta manera.

Métodos de dos factores: fuerza relativa
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Aplicación de autenticación (TOTP)
Good
Phishing en tiempo real (si el atacante actúa rápido)
Clave de hardware (contraseña)
Strong
Robo físico de la llave

Que usar en su lugar

Una aplicación de autenticación genera códigos basados ​​en el tiempo en su dispositivo. No se transmiten a través de la red telefónica; ningún intercambio de SIM puede interceptarlos. Aplicaciones como Google Authenticator o Authy funcionan de esta manera. NordPass también incluye un autenticador incorporado, lo que significa que sus códigos y contraseñas 2FA se encuentran en la misma bóveda segura.

Vale la pena tener dos factores incluso en su forma más débil. SMS 2FA es mucho mejor que ningún 2FA. Pero si va a utilizarlo, se necesitan unos dos minutos por cuenta para actualizar de SMS a una aplicación de autenticación, y la brecha en la protección es significativa.

Preguntas frecuentes

What is credential stuffing?+

El relleno de credenciales se produce cuando los atacantes toman combinaciones de correo electrónico y contraseña expuestas en una infracción y las prueban automáticamente con otros servicios. Si reutiliza las contraseñas, una infracción en un sitio les da a los atacantes acceso a todas las cuentas con las mismas credenciales.

Is it safe to store all your passwords in one place?+

Sí, cuando se utiliza un administrador de contraseñas de buena reputación. La bóveda cifrada es mucho más segura que las contraseñas débiles o reutilizadas. Los administradores de contraseñas como NordPass utilizan una arquitectura de conocimiento cero, lo que significa que ni siquiera la empresa puede ver sus contraseñas almacenadas.

What is two-factor authentication and should I use it?+

La autenticación de dos factores (2FA) requiere un segundo paso de verificación más allá de su contraseña, generalmente un código de una aplicación. Utilice una aplicación de autenticación (Google Authenticator, Authy) en lugar de códigos SMS, que son vulnerables a ataques de intercambio de SIM.

Contraseñas y códigos 2FA en una bóveda segura
NordPass almacena sus contraseñas y genera sus códigos de autenticación. Una aplicación, una contraseña maestra, todo sincronizado en tus dispositivos.
⭐ 4.5/5 · millones de contraseñas protegidas
Try NordPass →

Sam Feldman
Sam Feldman
"Una buena pancarta no tiene una forma fija ni un significado inherente".
Austin, TX · https://sams.blog/weekly
RELATED READING
La catástrofe de las contraseñas en la que nadie piensa
Reutilizas una contraseña. Los hackers cuentan con ello.
Gestores de contraseñas, explicados para gente normal
Estás a punto de obtener la configuración de seguridad exacta que creé para mis propios padres: la que realmente funciona

La mayoría de la gente tiene una capa de protección. Les faltan tres.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minutos, de principio a fin y luego se ejecuta en segundo plano. Introduce tu correo electrónico y te lo enviaré.

Algo salió mal. Inténtalo de nuevo.
Ya estás dentro: revisa tu bandeja de entrada en breve.
100% confidencial. Darse de baja en cualquier momento.