CNET también está disponible en español.

Ir a español

Don't show this again

Móvil

Los peligros de usar SMS para la verificación de dos pasos

Cómo hacer la verificación en dos factores correctamente para burlar a los piratas informáticos.

google-prompt-2fa

Google Prompt en acción.

Captura de pantalla: Matt Elliott/CNET

Google comenzó este mes a evitar que los usuarios reciban códigos de verificación de dos pasos mediante SMS. Desde la semana pasada, puedes haber recibido una invitación de Google para recibir avisos a través del app de Google en vez de códigos de seis dígitos a través de tu app de textos.

La razón de esta medida es que las nuevas notificaciones son más seguras que SMS, y también facilitan el proceso de acceder a tu cuenta. Estas son algunas dudas y sus respuestas.

¿Qué es la verificación de dos pasos?

La verificación de dos pasos (conocida como 2SV, aunque también se llama autenticación de dos factores, 2FA) agrega otra capa de seguridad a tus cuentas en línea, como Amazon, Apple, Google, Facebook, Instagram y Twitter. En vez de limitarte a escribir la clave de acceso a la cuenta, tienes que hacer eso primero —el primer factor de verificación—y entonces un código enviado por SMS o un aviso a través de un app de autenticación, que es el segundo factor. Esto significa que un ladrón informático necesitaría robarse tanto tu clave como tu teléfono para entrar a tu cuenta.

¿Por qué no debe usarse SMS?

Por el simple hecho de que recibir los códigos por esta vía es menos seguro que usar un app de autenticación. Los hackers han logrado engañar a las compañías telefónicas para que transfieran números telefónicos a un nuevo dispositivo. La transferencia puede ser tan fácil como conocer el número telefónico y los últimos cuatro dígitos del número del Seguro Social, información que con cierta frecuencia se filtra a través de bancos y grandes empresas. Una vez que el hacker transfiere el número telefónico, ya no necesita tu teléfono para tener acceso a los códigos de verificación.

Además, si sincronizas los mensajes de texto con tu portátil o tableta, entonces el hacker también puede conseguir acceso a los códigos enviados por SMS si te roba estos dispositivos.

También hay que tomar en cuenta las debilidades en el sistema de telecomunicaciones móviles. En lo que se llama un ataque SS7, un hacker puede espiar a través del teléfono móvil, escuchar llamadas, interceptar mensajes y ver la ubicación del teléfono.

Todo lo anterior es una mala noticia para los que reciben los códigos de verificación por SMS.

Entonces, ¿qué debo usar?

Un app de autenticación, como Google Authenticator, Microsoft Authenticator o Authy. Esto tiene la ventaja de que no tienes que depender de tu telefónica: los códigos quedan dentro del app incluso si un hacker se las arregla para transferir tu número a otro teléfono. Y los códigos expiran rápido, en unos 30 segundos. 

Además de ser más seguro que SMS, un app de autenticación es más rápido. Sólo tienes que tocar un botón para verificar tu identidad, en vez de tener que escribir un código de seis números.

¿Qué es Google Prompt?

Google Prompt te permite recibir códigos sin usar SMS o un app separado de autenticación. Está incorporado en Google Now en Android y el app Google Search de iOS.

google-prompt

Matt Elliott/CNET

¿Necesito la verificación de dos pasos si SMS es tan vulnerable?

Por supuesto. Además de crear claves robustas y usar diferentes claves para cada una de tus cuentas, establecer la verificación de dos pasos es lo mejor que puedes hacer para mejorar la seguridad de tus cuentas en Internet, aunque insistas en recibir códigos por SMS. La verificación de dos pasos por SMS es mejor que la verificación de un solo paso, en el que los hackers solamente tienen que conseguir o adivinar tu clave para tener acceso a tu información. No te arriesgues a ser presa fácil de los piratas informáticos.

Pero la verificación de dos pasos es un fastidio

Mi respuesta a esta afirmación sería que es menos fastidioso cuando se hace debidamente y recibes los códigos por Google Prompt o un app de autenticación, donde no tienes que escribir códigos de seis números. Esto es válido, aunque te obliga a dar el paso extra de tener que echar mano a tu teléfono después de escribir la clave para acceder a tus cuentas. Sin embargo, yo alego que el fastidio de ese segundo paso de la verificación doble es infinitamente menor que el fastidio de que roben la información. En el mejor de los casos, el robo es un fastidio, pero la mayoría de las veces es mucho más, una combinación de furia, dolor y confusión.