FraudeDigital // defensa: verificacion-dos-pasos clase: guía dual · público + técnico
Defensa Avanzada · Autenticación Reforzada

Verificación en Dos Pasos: por qué el SMS ya no basta

Para todos: qué tipo de doble factor usar y cuál evitar si puedes elegir. Para profesionales: TOTP, FIDO2/WebAuthn y por qué el SMS es el eslabón débil de la cadena.

Miguel Ángel Carriazo 3 julio 2026 4 min de lectura
← Volver a Defensas
01 // Para todos Público general

¿Qué es el doble factor y por qué no todos los tipos son iguales?

El doble factor de autenticación (2FA) añade una segunda comprobación además de tu contraseña: algo que tienes (tu móvil, una llave física) además de algo que sabes (la contraseña). En teoría, aunque roben tu contraseña, no pueden entrar sin ese segundo elemento.

El problema es que no todos los métodos de 2FA ofrecen la misma protección. De más débil a más fuerte:

⚠️ El más débil: código por SMS

Es mejor que nada, pero es vulnerable al SIM swapping (duplicado fraudulento de tu SIM) — si el atacante controla tu número, recibe también tus códigos SMS. Lo explicamos en detalle en nuestro expediente sobre SIM Swapping.

Más seguro: apps de autenticación (TOTP) — Google Authenticator, Microsoft Authenticator, Authy. Generan un código que cambia cada 30 segundos, vinculado al dispositivo, no a tu número de teléfono. Inmune al SIM swapping.

El más seguro: llaves de seguridad físicas (FIDO2/WebAuthn) — dispositivos USB/NFC tipo YubiKey. Prácticamente inmunes a phishing porque verifican criptográficamente que estás en el dominio legítimo, no solo que introdujiste el código correcto.

✅ Regla de oro: activa 2FA en todo lo que lo permita — email, banca, redes sociales. Si tienes elección entre SMS y app de autenticación, elige siempre la app. Para cuentas muy críticas (email principal, gestor de contraseñas), considera una llave física.
02 // Para todos Cómo migrar del SMS a una app

Cómo pasar de SMS a una app de autenticación

El proceso es similar en la mayoría de servicios:

  1. Instala una app de autenticación en tu móvil: Google Authenticator, Microsoft Authenticator o Authy (esta última permite backup en la nube si cambias de móvil).
  2. Entra en la configuración de seguridad del servicio (email, banco, red social) y busca "Autenticación en dos pasos" o "2FA".
  3. Elige "app de autenticación" en vez de SMS. El servicio te mostrará un código QR.
  4. Escanea el QR con tu app — automáticamente empezará a generar códigos de 6 dígitos que cambian cada 30 segundos.
  5. Guarda los códigos de recuperación que te ofrezca el servicio (normalmente 8-10 códigos de un solo uso) en un lugar seguro — los necesitarás si pierdes el móvil.
  6. Desactiva el 2FA por SMS una vez confirmado que la app funciona, si el servicio te da esa opción.

Empieza por tu correo electrónico principal — es la cuenta más crítica porque suele ser la vía de recuperación de todas las demás.

🛡️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS 🛡️
03 // Para técnicos TOTP · FIDO2 · SS7

Fundamentos técnicos de cada método de 2FA

Entender por qué unos métodos son más robustos que otros requiere mirar su mecanismo interno:

🔹 SMS: vulnerable en la capa de red

Además del SIM swapping por ingeniería social, el protocolo de señalización SS7 usado por las operadoras tiene vulnerabilidades conocidas que permiten interceptar SMS sin acceso físico a la SIM, en ataques más sofisticados dirigidos a objetivos de alto valor.

🔹 TOTP: seguro pero no anti-phishing

El algoritmo Time-based One-Time Password (RFC 6238) genera códigos deterministas a partir de un secreto compartido y la hora actual. Es inmune a SIM swapping, pero no es inmune a phishing AitM: si el usuario introduce el código en un proxy inverso controlado por el atacante, este puede reenviarlo en tiempo real (ver nuestro expediente de Phishing AitM).

🔹 FIDO2/WebAuthn: resistente a phishing por diseño

Usa criptografía de clave pública vinculada al origen (dominio) exacto durante el registro. Si el usuario está en un dominio de phishing, la llave simplemente no responde — no hay código que interceptar o reenviar, porque la verificación ocurre a nivel de protocolo, no de dato compartido.

Jerarquía real de seguridad: SMS < TOTP < FIDO2/Passkeys. Cada salto reduce significativamente la superficie de ataque disponible.

04 // Para técnicos Implementación organizativa

Implementación de MFA a nivel organizativo

Para equipos y empresas, algunas consideraciones de despliegue:

🔹 Conditional Access / políticas adaptativas

En entornos Entra ID / Google Workspace, las políticas de acceso condicional permiten exigir MFA reforzado (FIDO2) solo en escenarios de riesgo (ubicación anómala, dispositivo no gestionado), reduciendo fricción en el uso diario sin sacrificar seguridad.

🔹 Passkeys como evolución de FIDO2

Las passkeys (sincronizadas vía iCloud Keychain, Google Password Manager) llevan la resistencia a phishing de FIDO2 a un modelo sin fricción, eliminando contraseñas por completo en los servicios que las soportan.

🔹 Plan de contingencia sin SMS

Cualquier política de MFA corporativa debe incluir un método de recuperación que no dependa del SMS como único fallback, dado su vulnerabilidad a SIM swapping dirigido contra empleados con acceso privilegiado.

Resumen: migrar de SMS a TOTP es la mejora de coste-beneficio más alta disponible hoy. Migrar de TOTP a FIDO2/Passkeys es el siguiente salto, especialmente crítico para cuentas de alto valor o con acceso privilegiado.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo