Durante años, la autenticación multifactor (MFA) ha sido uno de los pilares básicos de la seguridad de cuentas y dispositivos. Y sigue siendo imprescindible. Sin embargo, el panorama de amenazas ha evolucionado y algunos métodos tradicionales ya no ofrecen la protección que las empresas necesitan hoy.
El sistema de MFA más habitual —los códigos de cuatro o seis dígitos enviados por SMS— es cómodo y familiar. Sin duda, es mejor que depender únicamente de una contraseña. El problema es que el SMS es una tecnología antigua y los ciberdelincuentes han aprendido a sortearla con bastante facilidad. Para organizaciones que manejan información sensible, el MFA basado en SMS ya no es suficiente. Es el momento de dar el salto a mecanismos de autenticación más modernos y resistentes al phishing.
El SMS nunca se diseñó como un canal seguro de autenticación. Su dependencia de las redes de telefonía móvil lo expone a vulnerabilidades conocidas, especialmente en protocolos de telecomunicaciones como SS7 (Signaling System No. 7), utilizados para la comunicación entre operadores.
¿Necesitas actualizar tu sistema de autenticación?
Los atacantes saben que muchas empresas siguen utilizando SMS como segundo factor, lo que las convierte en objetivos atractivos. Existen técnicas que permiten interceptar mensajes sin necesidad de tocar físicamente el teléfono: escucha de comunicaciones, redirección de mensajes o incluso inyección de SMS dentro de la propia red del operador o durante la transmisión.
Además, los códigos SMS también son vulnerables al phishing. Si un usuario introduce su usuario, contraseña y el código recibido por SMS en una página falsa, el atacante puede capturar todo en tiempo real y acceder de inmediato a la cuenta legítima.
Entender los ataques de SIM swapping
Uno de los riesgos más graves asociados al MFA por SMS es el llamado SIM swapping o duplicado de SIM. En este tipo de ataque, el delincuente contacta con el operador de telefonía haciéndose pasar por la víctima y afirma haber perdido el móvil. A continuación, solicita que el número se transfiera a una nueva tarjeta SIM que él controla.
Si lo consigue, el teléfono del usuario deja de funcionar y el atacante empieza a recibir todas las llamadas y mensajes, incluidos los códigos de verificación de correo electrónico, banca online o sistemas corporativos. A partir de ahí, puede restablecer contraseñas y tomar el control de múltiples cuentas.
Este ataque no requiere grandes conocimientos técnicos; se basa principalmente en ingeniería social contra el personal de atención al cliente de las operadoras. Precisamente por eso es tan peligroso: es sencillo de ejecutar y tiene un impacto enorme.
Por qué el MFA resistente al phishing es el nuevo estándar
Para mitigar estos riesgos, es fundamental reducir al máximo el factor humano en la autenticación y adoptar MFA resistente al phishing. Este enfoque se apoya en protocolos criptográficos que vinculan el acceso a un dominio concreto y a un dispositivo específico.
Uno de los estándares más relevantes en este ámbito es FIDO2 (Fast Identity Online 2). Este estándar utiliza passkeys creadas mediante criptografía de clave pública, asociando un dispositivo concreto a un servicio o dominio. Incluso si el usuario hace clic en un enlace fraudulento, la aplicación de autenticación no liberará las credenciales porque el dominio no coincide.
Además, se trata de un sistema sin contraseñas, lo que elimina de raíz muchos ataques de phishing que buscan capturar credenciales y códigos de un solo uso (OTP). El atacante se ve obligado a comprometer el dispositivo físico, algo mucho más complejo que engañar a una persona.
Uso de llaves de seguridad físicas
Una de las soluciones más robustas frente al phishing son las llaves de seguridad hardware. Se trata de dispositivos físicos, similares a una memoria USB, que se conectan al ordenador o se acercan a un móvil compatible.
Para iniciar sesión, basta con insertar la llave o pulsar un botón, momento en el que se produce un intercambio criptográfico seguro con el servicio. No hay códigos que introducir ni información que pueda robarse a distancia. A menos que el atacante robe físicamente la llave, no podrá acceder a la cuenta.
Aplicaciones de autenticación móvil y notificaciones push
Si el uso de llaves físicas no es viable para tu empresa, las aplicaciones de autenticación como Microsoft Authenticator o Google Authenticator son una alternativa claramente superior al SMS. Estas apps generan los códigos directamente en el dispositivo, sin enviarlos por la red móvil, lo que elimina el riesgo de interceptación o SIM swapping.
Las notificaciones push simples también tienen sus riesgos. Un atacante puede bombardear al usuario con solicitudes de acceso hasta provocar la llamada «fatiga de MFA», haciendo que apruebe una por error. Para evitarlo, las aplicaciones modernas incorporan sistemas de verificación por coincidencia de números, obligando al usuario a introducir en la app un número que aparece en la pantalla del ordenador. Esto confirma que la persona que aprueba el acceso está realmente delante del equipo.
Passkeys: el futuro de la autenticación
Con las contraseñas filtrándose de forma habitual, cada vez más sistemas apuestan por las passkeys. Estas credenciales digitales se almacenan en el dispositivo y se protegen mediante biometría, como huella dactilar o reconocimiento facial.
Las passkeys son resistentes al phishing y pueden sincronizarse de forma segura dentro de un ecosistema, como iCloud o el gestor de contraseñas de Google. Ofrecen un nivel de seguridad similar al de una llave física, pero con la comodidad de un dispositivo que el usuario ya utiliza a diario.
Desde el punto de vista del mantenimiento informático, también reducen la carga del soporte IT: no hay contraseñas que gestionar, restablecer o almacenar, lo que simplifica la experiencia del usuario y refuerza la seguridad.
Equilibrar seguridad y experiencia de usuario
Abandonar el MFA basado en SMS requiere un cambio cultural. Los usuarios están acostumbrados a la comodidad del mensaje de texto, y la introducción de llaves físicas o aplicaciones puede generar cierta resistencia inicial.
Por eso es clave explicar el motivo del cambio, poniendo ejemplos reales de ataques de SIM swapping y destacando el valor de la información que se protege. Cuando las personas entienden el riesgo, suelen aceptar mejor las nuevas medidas.
Un despliegue progresivo puede facilitar la transición para la mayoría de usuarios, pero el MFA resistente al phishing debería ser obligatorio para cuentas con privilegios elevados. Administradores, directivos y perfiles críticos no deberían depender nunca de códigos SMS.
El coste de no actuar
Mantener métodos de MFA obsoletos es una bomba de relojería que genera una falsa sensación de seguridad. Aunque pueda cumplir ciertos requisitos de cumplimiento normativo, deja a la empresa expuesta a incidentes graves, costosos y dañinos para la reputación.
Actualizar los sistemas de autenticación ofrece uno de los mayores retornos de inversión en ciberseguridad. El coste de implantar llaves de seguridad o soluciones modernas de identidad es mínimo comparado con el impacto de una brecha de seguridad y la recuperación posterior.
¿Está tu empresa preparada para ir más allá de las contraseñas y los códigos por SMS? En Libertia IT ayudamos a organizaciones de Madrid a implantar soluciones modernas de identidad y autenticación, alineadas con un servicio profesional de mantenimiento informático. Contacta con nosotros y te ayudaremos a diseñar una estrategia de acceso segura y cómoda para tu equipo.
