"Tengo la verificación en dos pasos con SMS, así que estoy bien" — si eso es lo que piensas, sigue leyendo.
En diciembre de 2024, el FBI y CISA declararon conjuntamente que la autenticación por SMS "no es recomendada" y urgieron a los usuarios a cambiar a métodos cifrados. La APWG registró 4,8 millones de ataques de phishing en 2024 y los ataques de SIM swapping están en aumento. El SMS se ha convertido en el eslabón más débil de la cadena de seguridad.
Este artículo explica por qué el SMS 2FA es peligroso, a qué cambiar, y exactamente cómo hacer la transición en los servicios principales.
Por Qué la Autenticación por SMS Ya No Es Segura
La autenticación por SMS — ingresar un código de 6 dígitos enviado por mensaje de texto — fue durante mucho tiempo considerada "mejor que nada" para la verificación en dos pasos. Pero desde 2025, varios factores han elevado su riesgo a niveles inaceptables.
Problemas fundamentales del SMS:
- No está cifrado — los mensajes SMS se envían en texto plano. Pueden ser interceptados en tránsito
- SIM swapping — los atacantes convencen a tu operador de transferir tu número a su SIM. Una vez logrado, todos los códigos SMS van a ellos
- Vulnerabilidades del protocolo SS7 — el protocolo de red entre operadores tiene vulnerabilidades conocidas que hacen la interceptación de SMS técnicamente posible
Lo que dicen las autoridades:
| Autoridad | Acción |
|---|---|
| FBI / CISA (EE.UU.) | Etiquetaron explícitamente el SMS 2FA como "no recomendado." Aconsejan alternativas cifradas |
| NIST SP 800-63B (EE.UU.) | Clasificó el SMS como "autenticador restringido" que requiere evaluación de riesgo |
| Agencia Digital (Japón) | Anunció planes para eliminar la autenticación SMS en IDs gubernamentales |
Tener 2FA habilitado ya no es suficiente. Lo que importa es qué método usas.
Cómo Funcionan los Ataques de SIM Swapping
El SIM swapping es la mayor razón por la que el SMS 2FA es peligroso. El ataque es simple pero devastador.
Cómo funciona:
- El atacante recopila tu información personal (nombre, fecha de nacimiento, dirección) — comprándola en la dark web, recogiéndola de redes sociales o filtraciones de datos
- Contactan a tu operador móvil haciéndose pasar por ti, alegando una "SIM perdida" o "teléfono nuevo"
- Si la verificación de identidad del operador es burlada, tu número se transfiere a la SIM del atacante
- Todos los códigos de verificación por SMS ahora llegan al atacante
- Acceden a tus cuentas bancarias, correo y redes sociales
Daños reales:
- T-Mobile (EE.UU., marzo 2025) — Laudo arbitral de $33 millones por daños de SIM swap. El más alto de la historia
- Reino Unido (2024) — Los reportes de fraude por SIM swap aumentaron 1.055% interanual (289 → ~3.000 casos)
- Marks & Spencer (Reino Unido, abril 2025) — Un ataque de SIM swapping obligó a suspender las compras en línea
Si te preocupa que tu información personal ya esté en la dark web, verifica ahora con "Cómo Verificar Si Tus Datos Están en la Dark Web." Un número de teléfono filtrado es el primer paso hacia un SIM swap.
A Qué Cambiar: Tus Opciones de Autenticación
Tres alternativas son más seguras que la autenticación por SMS.
| Método | Seguridad | Conveniencia | Costo | Mejor para |
|---|---|---|---|---|
| App autenticadora (TOTP) | Alta | Alta | Gratis | Mejor balance para la mayoría |
| Llave de hardware (FIDO2) | Máxima | Media | $25–50 | Necesidades de máxima seguridad |
| Passkeys | Máxima | Máxima | Gratis | Servicios compatibles |
Las apps autenticadoras (TOTP) son la mejor opción para la mayoría porque:
- Son gratuitas
- Funcionan offline (sin necesidad de red)
- Son inmunes al SIM swapping
- Prácticamente todos los servicios las soportan
Las llaves de hardware (como YubiKey) ofrecen resistencia total al phishing pero cuestan $25–50 por unidad. Son ideales para administradores de TI o personas con necesidades de seguridad especialmente altas.
Los passkeys se cubren en detalle más adelante.
Mejores Apps de Autenticación en 2026
Estas son las apps de autenticación confiables en 2026, organizadas por caso de uso.
| App | Plataforma | Característica clave | Mejor para |
|---|---|---|---|
| Ente Auth | iOS / Android / Web / Desktop | Código abierto, sincronización E2E cifrada, auditoría Cure53 | Privacidad + sincronización multidispositivo |
| Aegis | Solo Android | Código abierto, completamente offline, respaldos cifrados locales | Maximalistas de privacidad en Android |
| 2FAS | iOS / Android | Código abierto, interfaz limpia, soporte Apple Watch | Usuarios de iPhone que buscan simplicidad |
| Google Authenticator | iOS / Android | Sincronización en la nube añadida en 2023. El más reconocido | Ecosistema Google / principiantes |
| Microsoft Authenticator | iOS / Android | Integración con Microsoft 365 | Entornos corporativos Microsoft |
Cómo elegir:
- ¿Necesitas sincronización en la nube? — Si pierdes tu teléfono, querrás recuperación. Ente Auth ofrece sincronización cifrada E2E
- ¿Te importa el código abierto? — Ente Auth, Aegis y 2FAS son todos de código abierto y auditables
- ¿Qué pasa con Authy? — En julio de 2024, Twilio (empresa matriz de Authy) reveló una filtración que expuso 33 millones de números de teléfono. La app sigue funcionando, pero la comunidad de seguridad recomienda cada vez más cambiar a alternativas
Cómo Cambiar del SMS 2FA en los Servicios Principales
El proceso básico es el mismo en todos los servicios. Aquí están los pasos universales seguidos de la ubicación de configuración por servicio.
Pasos universales:
- Instala una app de autenticación en tu teléfono
- Abre la configuración de seguridad del servicio
- Cambia el método 2FA de "SMS" a "App de autenticación"
- Escanea el código QR con tu app de autenticación
- Ingresa el código de 6 dígitos para confirmar
- Guarda los códigos de respaldo (esenciales para recuperación si pierdes tu dispositivo)
Dónde encontrar la configuración:
| Servicio | Ruta de configuración |
|---|---|
| Cuenta de Google → Seguridad → Verificación en 2 pasos → App de autenticación | |
| Apple ID | Ajustes → [Tu nombre] → Inicio de sesión y seguridad → Autenticación de dos factores |
| Amazon | Cuenta → Inicio de sesión y seguridad → Verificación en dos pasos |
| X (Twitter) | Configuración → Seguridad y acceso a la cuenta → Seguridad → Autenticación en dos fases |
| Configuración → Centro de cuentas → Contraseña y seguridad → Autenticación en dos pasos | |
| Discord | Ajustes de usuario → Mi cuenta → Habilitar autenticación en dos pasos |
Si necesitas replantear tu gestión de contraseñas en general, consulta "¿No Puedes Recordar Tus Contraseñas? Ya No Necesitas Hacerlo."
¿Los Passkeys Reemplazarán al 2FA?
Los passkeys son un nuevo método de autenticación que elimina tanto las contraseñas como la verificación en dos pasos. Se basan en el estándar FIDO2/WebAuthn.
Cómo funcionan los passkeys:
- Usan criptografía de clave pública. La clave privada permanece en tu dispositivo; solo la clave pública va al servidor
- Te autenticas con biometría (huella digital, reconocimiento facial) o un PIN
- No funcionan en sitios de phishing (están vinculados al dominio legítimo)
Adopción en 2026:
- Google ha implementado passkeys en más de 800 millones de cuentas
- Apple, Microsoft, Amazon y otros servicios principales los soportan
- El 63% de las organizaciones clasifican los passkeys como su principal inversión en autenticación para 2026
Sin embargo, los passkeys aún no reemplazarán completamente al 2FA. Las razones:
- Muchos servicios aún no los soportan (bancos y servicios gubernamentales van rezagados)
- Los dispositivos antiguos no pueden usarlos
- La implementación del lado del servidor aún está poniéndose al día
Conclusión: usa passkeys donde estén disponibles, apps de autenticación en todo lo demás. Esa es la mejor práctica de 2026.
Si te preocupa que tus cuentas ya estén comprometidas, verifica con "Cómo Verificar Si Tu Contraseña Ha Sido Filtrada."
NordVPN Plus y planes superiores incluyen Monitoreo de Dark Web, que te alerta cuando tus direcciones de correo o números de teléfono aparecen en la dark web. Esto te permite detectar las señales tempranas de un ataque de SIM swap.
La VPN líder mundial — rápida, segura y fácil de usar
- Más de 6.400 servidores en 111 países
- Protocolo NordLynx (basado en WireGuard)
- Threat Protection Pro (bloqueo de anuncios y malware)
Conclusión
El SMS 2FA ha pasado de "mejor que nada" a "evitar activamente."
- El SMS no está cifrado y es derrotado por SIM swapping — FBI/CISA oficialmente lo desaconsejan
- Cambia a una app de autenticación ahora — Ente Auth es la mejor opción (sincronización + código abierto + auditoría)
- Siempre guarda los códigos de respaldo — tu salvavidas cuando los dispositivos fallan
- Usa passkeys donde estén soportados — la meta final que hace innecesario incluso el 2FA
Lo más impactante que puedes hacer ahora es abrir tu configuración de seguridad y cambiar de SMS a una app de autenticación. Toma menos de 10 minutos por servicio.
Los correos de phishing son un punto de entrada común para comprometer cuentas. Para orientación paso a paso, consulta "¿Abriste un Correo Phishing? Qué Hacer Ahora." Para entender cómo la reutilización de contraseñas permite los ataques de credential stuffing, consulta "Por Qué Reutilizar Contraseñas Es Peligroso: Cómo Funciona el Credential Stuffing." Si sospechas que tu teléfono puede estar comprometido, revisa "¿Tu Móvil Ha Sido Hackeado?."