Tras el escándalo de Digi, he decidido abandonar la autentificación en dos pasos mediante SMS

La importancia de la autentificación en dos pasos ha crecido a medida que los hackeos y filtraciones de contraseñas ponían en peligro la seguridad de las cuentas de los usuarios. El sistema más cómodo para usarla son los mensajes SMS, pero cada vez se vuelven menos aconsejables, como los recientes problemas de Digi han demostrado.

El escándalo saltó hace un par de meses, cuando se supo de las multas a Digi por los duplicados de SIM fraudulentos. Otros operadores han sufrido problemas similares en el pasado, pero unas semanas después conocimos otra sanción de Digi por un duplicado de SIM no autorizado, que supuso que a la dueña de ese número le robasen dinero mediante Bizum.

Recordemos que la autentificación o verificación en dos pasos consiste en recibir un código cada vez que iniciamos sesión en un servicio, de manera que nadie podrá entrar si consigue solo nuestra contraseña. El problema es que si nos roban el número de móvil podrán leer el SMS con el código de un solo uso, y acceder a toda la información.

Aunque no soy cliente de Digi, que ofrece precios bajos, pero un servicio no muy bueno, estos incidentes me han hecho replantearme la autentificación en dos pasos. En otros operadores no hay tanto descontrol, pero no es la primera vez que una tienda da un duplicado de SIM a una persona que no es la titular, sin comprobar su identidad.

De este modo, puede acceder a cuentas de email, archivos en la nube, al WhatsApp de la víctima o a su app del banco, entre muchos otros datos delicados. No solo perdemos el número y la posibilidad de recibir llamadas, sino que toda nuestra vida digital queda interrumpida, y en serio peligro.

Alternativas a la verificación en dos pasos por SMS

Muchos servicios aún confían en los SMS para la seguridad, pero la mayoría están empezando a potenciar diferentes alternativas. En aquellos servicios que lo admitan, lo más sencillo es recibir los códigos de verificación en el email, que es mucho más seguro.

Este sistema no sirve cuando se va a proteger la propia cuenta de email, así que las aplicaciones de autentificación son una solución más avanzada para mantener una seguridad muy alta. Algunas de ellas incluyen Google Authenticator, Microsoft Authenticator, 2FAS, Duo Mobile o Auhy, que generan el código dentro de la propia app.

No todos los servicios admiten estas apps, y suponen un esfuerzo adicional, pero nos ahorrarán problemas. Un paso más allá están las llaves de seguridad físicas (llaves FIDO), que se conectan por USB, NFC o Bluetooth como medida de seguridad avanzada. Modelos como YubiKeys, Titan Security Key o ChipNet son opciones a considerar.

Otras compañías tienen sus propios sistemas de verificación, por ejemplo, Google o Apple nos piden confirmar en nuestros dispositivos actuales el acceso desde uno nuevo. De todas maneras, esto no sustituye a la app de autentificación o el SMS, es solo un extra que aporta comodidad.

Otra opción es no emplear la verificación en dos pasos, y sustituirla por un gestor de contraseñas, tipo LastPass o 1Password que nos evite memorizarlas. Así podremos poner una contraseña única y muy larga en cada servicio, que nos proteja de filtraciones o hackeos.

A medio plazo, todo el sector tecnológico migrará a Passkeys, un sistema de autentificación que sustituirá a las contraseñas. Gigantes como Google, Apple y Microsoft lo apoyan, así que es cuestión de tiempo que sea la opción habitual.

A modo de curiosidad, cabe destacar la extraña verificación en dos pasos de WhatsApp, que funciona de manera diferente al esto. En este caso, es un PIN fijo, no un código de un solo uso, porque WhatsApp no emplea contraseña para proteger la cuenta, depende del SMS de activación que nos manda cuando lo activamos en un nuevo móvil.

Por desgracia, los protocolos en los que se basan los SMS son vulnerables desde hace tiempo, y esto no deja de provocar problemas. Interceptar el contenido de los mensajes es muy complejo, pero sí que se puede simular que el remitente es alguien diferente al real, lo que sirve para todo tipo de estafas.

Este grave incidente de Digi ha demostrado los peligros de los operadores que no cuidan la seguridad, pero realmente los duplicados fraudulentos de SIM (SIM swapping en inglés) son una amenaza real en todas las compañías, y abandonar la verificación en dos pasos por SMS es un modo de protegerse.

10 mejores antivirus gratis para Windows 10 y 11