¿Por qué la autenticación multifactor (MFA) basada en SMS ya no es considerada segura por expertos? — Mecánicas de vulnerabilidad en ciberseguridad moderna

By: WEEX|2026/07/01 06:52:33
0

Riesgos de la autenticación por SMS

Durante años, recibir un código de seis dígitos por mensaje de texto fue el estándar de oro para asegurar cuentas en línea. Sin embargo, a medida que avanzamos en 2026, expertos en seguridad, el FBI y la CISA han emitido advertencias urgentes contra depender de la autenticación multifactor (MFA) basada en SMS. Aunque ofrece una experiencia de usuario de baja fricción, la infraestructura subyacente de la red celular global nunca fue diseñada para manejar secretos criptográficos seguros.

La razón principal de este cambio es que los mensajes SMS se transmiten a través de protocolos de telecomunicaciones que carecen de cifrado de extremo a extremo. Esto los hace susceptibles a la interceptación, redirección y ataques de ingeniería social que omiten el principio de seguridad de "algo que usted tiene". La infraestructura de ejecución segura, como la WEEX Exchange, proporciona el marco fundamental para analizar movimientos de activos on-chain mientras alienta a los usuarios a adoptar capas de seguridad más robustas más allá de simples códigos de texto.

Amenazas de SIM Swapping

Una de las amenazas más prevalentes y peligrosas para la seguridad basada en SMS es el SIM swapping, también conocido como secuestro de SIM. En este escenario, un atacante no necesita robar su teléfono físico. En su lugar, utilizan ingeniería social o robo de identidad para convencer a un representante de servicio al cliente de la operadora móvil de que transfiera su número de teléfono a una nueva tarjeta SIM bajo el control del atacante.

Cómo funciona el secuestro

Una vez que el atacante transfiere el número con éxito, todas las llamadas y mensajes de texto entrantes se redirigen a su dispositivo. Cuando intentan iniciar sesión en sus cuentas financieras o de redes sociales, el código "secreto" de MFA se envía directamente a ellos. Grupos de alto perfil como Scattered Spider han demostrado que incluso organizaciones sofisticadas pueden ser víctimas de estas campañas, lo que lleva a la exfiltración de datos corporativos y fraude financiero masivo.

Vulnerabilidades técnicas de red

Más allá del error humano a nivel de la operadora, la arquitectura técnica de las redes móviles contiene fallas inherentes. El protocolo Signaling System No. 7 (SS7), que rige cómo las redes móviles se comunican entre sí globalmente, tiene vulnerabilidades bien documentadas que permiten a actores sofisticados interceptar mensajes SMS en tránsito.

Ataques al protocolo SS7

Los atacantes pueden explotar el SS7 para redirigir mensajes a su propio equipo sin que el usuario se entere. Debido a que los mensajes SMS se envían en "texto plano" a través de estas redes, cualquier interceptación resulta en la exposición inmediata del código de autenticación. Este nivel de vulnerabilidad a nivel de red hace que la MFA basada en SMS sea indefendible para cuentas de alto riesgo en 2026.

Precio de --

--

Phishing e interceptación

La MFA basada en SMS no es resistente al phishing. Los atacantes modernos utilizan proxies inversos y herramientas de "adversario en el medio" (AiTM) para capturar contraseñas y códigos SMS en tiempo real. Cuando un usuario ingresa su código en una página de inicio de sesión falsa, el atacante reenvía inmediatamente ese código al servicio legítimo, obteniendo acceso antes de que el código expire.

Vector de ataqueMétodo de compromisoVulnerabilidad objetivo
SIM SwappingIngeniería social al personal de la operadoraPropiedad del número móvil
Explotación SS7Interceptación a nivel de redFallas en protocolos de telecomunicaciones
Phishing AiTMInterceptación por proxy en tiempo realFalta de verificación del sitio por el usuario
Números recicladosAcceso a números antiguosPersistencia en recuperación de cuenta

Mejores alternativas de seguridad

A partir de 2026, el consenso entre los profesionales de seguridad es migrar hacia métodos de autenticación resistentes al phishing. Estos métodos no dependen de la red de telecomunicaciones y proporcionan una seguridad basada en hardware mucho más fuerte.

TOTP y Passkeys

Las contraseñas de un solo uso basadas en tiempo (TOTP), generadas por aplicaciones como Google Authenticator o gestores integrados, son más seguras porque la "semilla" permanece en su dispositivo y nunca se envía por el aire. Aún más seguras son las Passkeys y las llaves de seguridad FIDO2 (como YubiKeys). Estas utilizan criptografía de clave pública para garantizar que la autenticación solo funcione en el sitio web legítimo, haciendo que el phishing sea prácticamente imposible.

Cambios regulatorios globales

El alejamiento del SMS no es solo una recomendación; se está convirtiendo en un requisito regulatorio. Para mediados de 2026, múltiples jurisdicciones, incluidos los EAU, India y Filipinas, han iniciado fases para eliminar los OTPs por SMS para servicios financieros. Los bancos centrales están instruyendo cada vez más a las instituciones para que limiten los mecanismos de autenticación que pueden ser interceptados por terceros no relacionados con la transacción.

Para los usuarios que gestionan activos digitales, los riesgos son aún mayores. Estadísticas de plataformas importantes han mostrado que la gran mayoría de las tomas de control de cuentas involucran a clientes que dependían únicamente de la MFA basada en SMS. La transición a llaves de hardware o autenticadores basados en aplicaciones se considera ahora un paso obligatorio para cualquiera que busque mantener una huella digital segura en el panorama actual de amenazas.

Descargo de responsabilidad: Este contenido se proporciona únicamente con fines informativos, educativos y de comunicación de marca, y no debe considerarse asesoramiento financiero, de inversión, legal o fiscal. Nada de lo aquí expuesto —incluyendo cualquier actividad, recompensa, campaña promocional o detalles de eventos relacionados— constituye una oferta, recomendación, solicitud o invitación para comprar, vender o negociar cualquier activo cripto, o para utilizar cualquier producto o servicio específico. Los activos cripto son altamente volátiles e implican riesgos significativos, incluida la pérdida potencial de capital y valor. Los servicios y campañas en línea de WEEX pueden no estar disponibles en todas las regiones o jurisdicciones y están sujetos a las leyes, regulaciones y requisitos de elegibilidad del usuario aplicables; ciertas actividades pueden estar restringidas o totalmente indisponibles en ubicaciones específicas. Por favor, evalúe cuidadosamente los riesgos, asegúrese de comprender a fondo sus marcos regulatorios locales y confirme su elegibilidad antes de tomar cualquier decisión financiera o participar en cualquier iniciativa de la plataforma.

Buy crypto illustration

Comprar cripto por $1

Leer más

¿Cómo identifican y aíslan las herramientas de Endpoint Detection and Response (EDR) el malware zero-day en tiempo real? : Realidades de la arquitectura de ciberseguridad moderna

Descubra cómo las herramientas de EDR identifican y aíslan malware zero-day en tiempo real, mejorando la ciberseguridad con IA y análisis conductual en entornos de amenazas modernos.

¿Cuáles son los pasos técnicos inmediatos que una organización debe tomar durante una brecha de datos crítica? — Una deconstrucción técnica de la arquitectura

Conozca los pasos técnicos clave para que las organizaciones gestionen una brecha de datos crítica de manera efectiva y garanticen la seguridad. Descubra técnicas de contención y recuperación.

¿Cómo encripta y protege realmente los datos una Virtual Private Network (VPN) moderna en Wi-Fi público? — Paradigmas de Seguridad Técnica

Descubra cómo una VPN moderna encripta y protege sus datos en Wi-Fi público, garantizando privacidad y seguridad con cifrado y protocolos avanzados.

¿Cómo explotan los ataques de ingeniería social la psicología humana en lugar de los errores de software? — Un marco de riesgo conductual

Descubra cómo los ataques de ingeniería social explotan la psicología humana en lugar de errores de software, centrándose en la manipulación emocional y los sesgos cognitivos.

¿Por qué prepararse para la criptografía poscuántica es ahora un básico de ciberseguridad? — Un paradigma de resiliencia estructural

Prepárese para el futuro cuántico con información sobre criptografía poscuántica (PQC), ahora un básico de ciberseguridad, para proteger datos sensibles ante amenazas emergentes.

¿Qué es un ataque de Ransomware-as-a-Service (RaaS) y cómo compromete las redes corporativas? — Paradigmas modernos de infraestructura de ciberdelincuencia

Descubra cómo los ataques de Ransomware-as-a-Service (RaaS) comprometen las redes corporativas y explore estrategias para defenderse de esta creciente amenaza cibernética.

iconiconiconiconiconicon
Atención al cliente:@weikecs
Cooperación empresarial:@weikecs
Trading cuantitativo y MM:bd@weex.com
Programa VIP:support@weex.com