Compunauta

El riesgo del número de celular como factor de autenticación

Escrito por

madmin

en

El riesgo del número de celular como factor de autenticación

La autenticación de dos factores basada en SMS parece una capa adicional de seguridad, pero tiene una vulnerabilidad crítica conocida como SIM Swapping que puede dejarte sin acceso a todas tus cuentas en cuestión de horas.

Qué es la autenticación multifactor (MFA)

La autenticación multifactor es el sistema por el cual, además de ingresar tu contraseña, debes verificar tu identidad por un segundo medio. El más común es un código enviado por SMS a tu teléfono celular.

Este sistema nació como respuesta a la vulnerabilidad de las contraseñas: si alguien obtiene tu contraseña (por filtración, phishing o fuerza bruta), aún necesitaría acceso físico a tu teléfono para entrar a tu cuenta. En teoría, es un sistema robusto. En la práctica, tiene un punto débil fundamental.

El ataque SIM Swapping

El SIM Swapping consiste en que un atacante convence (o coacciona) al operador de telefonía para transferir tu número de teléfono a una SIM que el atacante controla. Esto puede lograrse:

  • Mediante ingeniería social: haciéndose pasar por ti ante el servicio al cliente del operador
  • Con documentación falsa o robada
  • Mediante complicidad interna en el operador (menos común pero documentado)

Una vez que el atacante tiene control de tu número, tu teléfono pierde señal. Desde ese momento, todos los SMS de verificación que tus cuentas envíen a “tu” número llegan al dispositivo del atacante, quien puede entonces resetear contraseñas y tomar control de tus cuentas.

Por qué es especialmente peligroso

El daño potencial es proporcional a cuántas cuentas importantes hayas vinculado a ese número. En el peor caso, el atacante puede acceder a:

  • Cuentas bancarias y billeteras digitales
  • Correo electrónico (y desde ahí, resetear cualquier otra contraseña)
  • Cuentas en exchanges de criptomonedas
  • Redes sociales y cuentas profesionales

Cómo protegerse

La protección ideal tiene varias capas:

  • Usa una línea telefónica separada exclusivamente para autenticación, distinta de la que compartes con contactos. Si esa línea no está asociada a ningún perfil público, es mucho más difícil de atacar.
  • Prefiere apps de autenticación (como Aegis en Android o FreeOTP) en lugar de SMS. Estos generan códigos localmente y no dependen de tu operador de telefonía.
  • Usa un teléfono con doble SIM y mantén la línea de seguridad en el segundo slot, separada de tu SIM principal.
  • Si usas Telegram, configura para que tu número no sea visible por defecto.
  • Activa el PIN de SIM en tu teléfono para dificultar el acceso si te roban el dispositivo.

Una nota sobre las llaves de seguridad físicas

Para cuentas críticas, la opción más robusta son las llaves de seguridad físicas (FIDO2/WebAuthn), dispositivos USB o NFC que generan un token criptográfico que no puede interceptarse ni clonarse remotamente. Son resistentes al phishing y al SIM Swapping. Vale la pena considerarlas para correo electrónico principal y cuentas financieras.

Más entradas