SSP Editorial Team

2FA móvil: la forma correcta y la incorrecta

·8 min de lectura·Por SSP Editorial Team
Portada de SSP Academy para una guía sobre autenticación de dos factores en el móvil, con iconos de monedero, llave y escudo sobre fondo oscuro.

La autenticación de dos factores (2FA) es una de las mejoras de seguridad con mayor impacto que puedes aplicar, pero solo si usas el tipo correcto. Para los usuarios de cripto, la diferencia entre una 2FA fuerte y una débil es la diferencia entre una cuenta que resiste a un atacante decidido y otra que no. El problema es que la forma más común de 2FA —un código de un solo uso enviado por SMS— es también la más débil. Esta guía ordena las opciones de la peor a la mejor, explica por qué y te da un plan concreto para reforzar las cuentas que rodean a tu monedero.

Una aclaración antes de empezar: el propio modelo de seguridad de SSP no es "2FA" en el sentido de los códigos de un solo uso. SSP usa multisig: dos claves de firma independientes en dos dispositivos. Volveremos a por qué importa esa distinción. Primero, los códigos.

Por qué la 2FA por SMS falla a los usuarios de cripto

Un código de un solo uso por SMS parece seguro: introduces tu contraseña, llega un número de seis dígitos y lo escribes. El problema es que el segundo factor —el control de tu número de teléfono— es mucho más fácil de robar de lo que la mayoría supone.

Dos tipos de ataque hacen el daño:

  • Intercambio de SIM (SIM swapping). Un atacante convence (o soborna) a tu operador móvil para que transfiera tu número a una SIM que él controla. Una vez que tiene el número, todos los códigos SMS le llegan a él. Quienes tienen cripto son un objetivo predilecto precisamente porque el botín es grande y las transacciones son irreversibles.
  • Interceptación por SS7. SS7 es el protocolo de señalización, de hace décadas, que las redes de telecomunicaciones usan para enrutar llamadas y mensajes. Sus debilidades conocidas permiten que atacantes con muchos recursos intercepten mensajes SMS sin tocar siquiera tu SIM.

No es una preocupación marginal. El Instituto Nacional de Estándares y Tecnología de EE. UU. clasifica los SMS como un autenticador "restringido" en NIST SP 800-63B y desaconseja explícitamente su uso en sistemas nuevos. Cuando el organismo que define la identidad digital te dice que un método está en retirada, tómalo como una señal.

La 2FA por SMS sigue siendo mejor que ninguna 2FA. Pero para cualquier cuenta que toque tu dinero, debería ser tu última opción, no la predeterminada.

Apps de autenticación TOTP: la base práctica

La base práctica para los usuarios de cripto es una app de autenticación TOTP, de esas que muestran un código rotatorio de seis dígitos que cambia cada 30 segundos. TOTP está definido por RFC 6238, y es un avance real frente a los SMS por una razón estructural: no hay ningún número de teléfono que secuestrar. El código se genera en tu dispositivo a partir de un secreto compartido, así que el intercambio de SIM y la interceptación por SS7 sencillamente no aplican.

Unas pocas reglas hacen que TOTP sea mucho más fuerte:

  • Usa una app, no SMS, siempre que un servicio ofrezca ambos. La mayoría de los exchanges y proveedores de correo admiten apps de autenticación.
  • Haz copia del secreto de configuración, no solo de los códigos. Cuando te registres, guarda la exportación de recuperación igual que protegerías cualquier otra credencial sensible.
  • Mantenlo fuera del mismo dispositivo desde el que inicias sesión cuando sea práctico, para que una sola máquina comprometida no tenga ambos factores.

TOTP no es perfecto. El secreto compartido vive en el teléfono, así que un dispositivo comprometido —o una copia en la nube mal protegida— puede filtrar ese secreto. Y, sobre todo, un código TOTP todavía puede ser víctima de phishing en tiempo real: una página de inicio de sesión falsa pero convincente reenvía tu contraseña y tu código recién generado directamente a la sesión del atacante antes de que el código caduque. Ese hueco es justo lo que cierra el siguiente nivel. Si quieres reconocer esas páginas falsas, lee nuestro recorrido por los ataques de phishing dirigidos a usuarios de cripto.

Passkeys y llaves de hardware: resistentes al phishing

Las passkeys FIDO2/WebAuthn y las llaves de seguridad de hardware son el primer nivel genuinamente resistente al phishing, y la razón es elegante: la credencial está vinculada criptográficamente al origen del sitio web. Tu autenticador solo iniciará sesión en el dominio real con el que se registró. Un sitio de phishing que se le parece tiene un origen distinto, así que la passkey sencillamente se niega a responder: no hay ningún código de seis dígitos que reenviar, porque no hay código alguno.

Esta propiedad importa más que cualquier otra de la lista. Tanto los SMS como TOTP dependen de que una persona lea un número y lo escriba en algún sitio; las passkeys eliminan por completo el secreto que un humano puede copiar. Un atacante que construya un clon perfecto del inicio de sesión de tu exchange no obtiene nada, porque el desafío criptográfico lo responde un hardware que verifica el origen por ti.

Las llaves de seguridad de hardware —las físicas que tocas o conectas— y las passkeys de plataforma guardadas en el elemento seguro de tu teléfono u ordenador implementan ambas esto. Para cuentas de alto valor, una llave de hardware es el segundo factor más fuerte y de uso extendido que puedes comprar.

SSP Key es un cofirmante, no un código

Aquí está la distinción que confunde a la gente: la seguridad de SSP no es "2FA" en el sentido de los códigos de un solo uso. Es multisig.

Una configuración estándar de 2FA protege el inicio de sesión de la cuenta. SSP protege la transacción en sí. SSP usa un esquema 2 de 2: una clave vive en la extensión del navegador y la otra es la SSP Key de tu teléfono. Ambas deben firmar de forma independiente antes de que los fondos puedan moverse. SSP Key es un cofirmante criptográfico: no un número de seis dígitos que escribes, sino un dispositivo aparte que guarda una clave aparte y que realiza una firma real.

La consecuencia es estructural. Supón que un atacante compromete por completo la extensión de tu navegador: la engaña con phishing o se apodera de la máquina en la que corre. Con un código de seis dígitos a nivel de app, ese único compromiso puede bastar. Con SSP no: mover fondos sigue requiriendo una aprobación independiente en tu teléfono, donde ves los detalles de la transacción y firmas con la segunda clave. El lado del navegador por sí solo no puede enviar nada. Esa segunda superficie de firma independiente es lo que un código de seis dígitos nunca puede ser: una clave que el atacante también tiene que comprometer, en otro dispositivo, al mismo tiempo.

Para ser precisos sobre lo que esto hace y lo que no: SSP protege el acto de gastar. No sustituye una buena higiene en las cuentas que rodean tu monedero. Si eres nuevo en el modelo, configura tu primer monedero SSP y observa por ti mismo el flujo de aprobación con dos dispositivos.

Asegurar las cuentas que rodean tu monedero

Tu monedero no es una isla. Las cuentas que lo rodean —correo, accesos a exchanges, copias en la nube, gestor de contraseñas— suelen ser el camino más blando hacia tus fondos. Un atacante que se apodere de tu correo puede restablecer desde ahí la mitad de tus demás accesos.

Aplica la misma jerarquía a cada una de ellas:

  • Correo: passkey o llave de hardware si se ofrece; TOTP en su defecto. Nunca solo SMS. Tu correo es el interruptor maestro de restablecimiento de todo lo demás.
  • Exchanges: llave de hardware o passkey para el inicio de sesión; nunca dependas de SMS y desactiva la recuperación por SMS si el exchange te lo permite.
  • Nube y gestor de contraseñas: TOTP como mínimo, passkey donde esté disponible.
  • Operador móvil: añade un PIN de portabilidad o un bloqueo de cuenta para frenar los intentos de intercambio de SIM.

Como tu teléfono guarda cada vez más tanto tu autenticador como tu SSP Key, trátalo como una frontera de seguridad por derecho propio: bloqueo de pantalla fuerte, sistema operativo al día y sin apps instaladas por fuera de las tiendas. Para saber más sobre en qué es y en qué no es bueno un monedero centrado en el teléfono, mira monederos cripto móviles: en qué destacan. Y cuando estés listo para reforzarlo todo de una vez, recorre la lista de verificación de autocustodia para tus primeros 1.000 $.

Un plan para mejorar tu 2FA

No tienes que hacerlo todo de golpe. Trabaja de arriba abajo por valor:

  1. Inventario. Enumera cada cuenta que pueda tocar tu dinero o restablecer otra cuenta: primero el correo, luego los exchanges y después la nube y el gestor de contraseñas.
  2. Elimina el solo-SMS. Allí donde el SMS sea tu único segundo factor, añade un método más fuerte y quita el SMS como vía de recuperación si el servicio lo permite.
  3. Añade TOTP en todo lo que lo ofrezca. Es tu base; cierra de inmediato los agujeros del intercambio de SIM y del SS7.
  4. Mejora tus cuentas principales a passkeys o a una llave de hardware. Primero el correo y los exchanges: son las cuentas que más codicia una página de phishing.
  5. Blinda al operador. Pon un PIN de portabilidad para que un desconocido no pueda mover tu número.
  6. Revísalo cada trimestre. Las opciones de autenticación cambian; un servicio que el año pasado solo tenía SMS puede admitir passkeys ahora.

El programa "Secure Our World" de CISA publica guías en lenguaje claro que vale la pena compartir con los familiares menos técnicos; consulta CISA.

Sigue adelante

Una 2FA fuerte es una capa. Protege las puertas que rodean tu monedero; el multisig de SSP protege el propio gasto. Juntos eliminan los puntos únicos de fallo que atrapan a la mayoría.

Sigue construyendo desde aquí:

Comparte este artículo

Artículos relacionados

Ilustración paso a paso de una cartera SSP configurándose en un teléfono y un navegador

Configurando tu primera cartera SSP

Guía paso a paso para configurar SSP Wallet: instala la app y la extensión, empareja dos dispositivos, crea una cartera 2-of-2 y envía tu primera transacción.

6 min read
Portada de SSP Academy para una guía para principiantes sobre billeteras cripto móviles y SSP Key

Billetera cripto móvil: ventajas, riesgos y SSP Key

Qué hacen bien las billeteras cripto móviles — acceso siempre disponible, desbloqueo biométrico, escaneo QR —, sus límites y cómo encaja SSP Key.

7 min read
Portada de seguridad de SSP con iconos de cartera, llave, escudo y chip, que ilustra una guía sobre ataques de phishing en criptomonedas.

Ataques de phishing dirigidos a usuarios de criptomonedas (y cómo reconocerlos)

El phishing apunta a ti, no a la criptografía. Aprende los patrones: drainers, phishing de aprobaciones, envenenamiento de direcciones y cómo te protege SSP.

7 min read