En los últimos años, el término “segundo factor” se ha convertido en un concepto de marketing. Formalmente existe, pero en la práctica a menudo no proporciona una protección real.
Si su cuenta todavía está protegida mediante códigos enviados por mensajes de texto o mediante códigos recibidos a través de aplicaciones de mensajería, se debe considerar que, en realidad, no posee un segundo factor.
Vamos a analizar las razones.
Por qué los mensajes de texto ya no se consideran protección
Los mensajes de texto no son un mecanismo de seguridad. Son un legado de la era de las telecomunicaciones. Nunca fueron diseñados como un canal seguro.
Problemas principales:
1. El intercambio de tarjetas SIM no es raro
La reemisión de una tarjeta SIM a través de ingeniería social es una operación rutinaria. A menudo, un documento de identidad, un “error del operador” o acceso interno son suficientes.
Resultado: el número de teléfono cae en manos del atacante, y los códigos también.
2. SS7 y la infraestructura de telecomunicaciones
Las redes de señalización fueron diseñadas hace varias décadas. Es posible interceptar mensajes de texto sin tener acceso físico al teléfono.
3. El operador es un único punto de falla
Problemas de roaming, bloqueos o fallas técnicas pueden impedir el acceso a sus cuentas.
4. No hay cifrado
Los mensajes de texto se almacenan y transmiten en texto claro. Dónde, por cuánto tiempo y quién los procesa no está bajo su control.
Conclusión: los mensajes de texto son un factor de conveniencia, no un factor de seguridad.
Aplicaciones de mensajería en lugar de mensajes de texto — peor todavía
El intento de “mejorar” los mensajes de texto mediante aplicaciones de mensajería es un ejemplo clásico de actualización ilusoria.
Para obtener un código de seis dígitos, se le solicita:
- instalar una aplicación pesada,
- vincular un número de teléfono,
- proporcionar metadatos,
- depender de la conexión a Internet,
- confiar en código cerrado.
Esto aumenta la superficie de ataque en lugar de reducirla.
Desde el punto de vista de la seguridad, no tiene sentido.
Desde el punto de vista de la privacidad, incluso es dañino.
Qué cambia fundamentalmente TOTP
TOTP no es un producto ni una marca. Es un estándar abierto.
La idea clave:
👉 el código no se recibe desde el exterior — se calcula localmente.
Qué significa esto en la práctica:
- No hay canal de transmisión → no hay nada que interceptar
- Funciona sin conexión → independencia de operadores y servicios
- No hay número de teléfono → menos vínculo con su identidad
- Modelo de amenaza predecible → criptografía, no “nube”
El servidor y su dispositivo simplemente realizan los mismos cálculos, conociendo:
- el secreto compartido;
- la hora actual.
No se comunican entre sí. Ahí reside la fortaleza del mecanismo.
Puntos importantes de los que casi nadie habla
1. Lo que protege no es el código, sino el secreto
Los seis dígitos son solo una representación.
Si el secreto se filtra, TOTP deja de existir en la práctica.
Por lo tanto:
- Código QR = secreto
- captura de pantalla = posible compromiso
- almacenamiento en la nube = riesgo
Si el secreto se filtra, restablezca la autenticación de dos factores de inmediato sin dudar.
2. TOTP no protege contra phishing a través de proxies
Esta es una limitación fundamental de esta clase de mecanismos.
Si:
- ingresó el código en un sitio falso,
- el atacante lo utilizó inmediatamente en el sitio verdadero,
TOTP no puede hacer nada.
Por lo tanto:
- inicie sesión solo mediante marcadores o administrador de contraseñas;
- verifique estrictamente el dominio;
- ningún “mensaje urgente” justifica ingresar un código.
3. Las copias de seguridad no son opcionales, sino obligatorias
Perder el teléfono sin códigos de respaldo significa perder la cuenta.
La regla es simple:
- escriba los códigos de respaldo manualmente;
- guárdelos offline o en un administrador de contraseñas;
- no dependa de “lo haré después”.
Qué utilizar en el año dos mil veinticinco
Elección mínima razonable
- Aegis para Android: software de código abierto, copias de seguridad cifradas locales
- TOTP integrado en iOS o en administradores de contraseñas — solución aceptable
Usar con precaución
- Google Authenticator con sincronización en la nube
(la violación de la cuenta = pérdida de todos los factores)
Mejor que TOTP
- WebAuthn, Passkeys y FIDO2
La resistencia al phishing está integrada en el diseño.
TOTP es la base. Passkeys son el siguiente paso.
Resumen
- Los mensajes de texto han dejado de ser un factor de seguridad
- Las aplicaciones de mensajería son marketing bajo la apariencia de protección
- TOTP representa el nivel mínimo aceptable, no una “opción avanzada”
- Los riesgos principales no están en el algoritmo, sino en la disciplina del usuario
- El futuro pertenece a la autenticación resistente al phishing
Si un servicio en el año dos mil veinticinco no ofrece TOTP ni WebAuthn, esto es una señal de advertencia, no una “característica del producto”.
P.D.
Si está explicando esto a familiares o personas no técnicas, asegúrese de que:
- escriban el secreto o los códigos de respaldo,
- retiren el teléfono como único punto de falla.
De lo contrario, el proceso terminará con soporte técnico, procedimientos administrativos y pérdida de acceso.
