Here is the blog post, written specifically for My Core Pick.
Por qué es hora de abandonar los códigos SMS: Cambiando a aplicaciones de autenticación para detener el SIM Swapping
Imagina despertar mañana por la mañana y buscar tu teléfono.
Esperas ver notificaciones, correos electrónicos, quizás un mensaje de texto de un amigo.
En su lugar, ves "Sin Servicio" en la esquina superior.
Asumes que es un fallo técnico. Reinicias tu teléfono. Sigue sin haber nada.
Intentas iniciar sesión en tu correo electrónico en tu computadora portátil para reportar el problema.
Pero tu contraseña no funciona.
Haces clic en "Olvidé mi contraseña". El sitio te dice que se ha enviado un código de recuperación a tu número de teléfono.
Pero no recibes el mensaje de texto. Alguien más lo hizo.
Esto no es una trama de una película de ciencia ficción. Es la realidad del SIM Swapping (intercambio de SIM), y está aumentando a un ritmo alarmante.
Durante años, nos han dicho que la Autenticación de Dos Factores (2FA) es el estándar de oro de la seguridad.
Y lo es.
Pero no toda la 2FA es igual.
Si todavía dependes de los mensajes de texto SMS para recibir tus códigos de inicio de sesión, estás dejando la puerta trasera de tu vida digital abierta de par en par.
Aquí en My Core Pick, estamos obsesionados con optimizar tu kit de herramientas digitales.
Hoy, vamos a explicar por qué los SMS están rotos, qué es realmente el SIM swapping y cómo puedes blindar tus cuentas usando una Aplicación de Autenticación.
La amenaza silenciosa: ¿Qué es el SIM Swapping?
Para entender por qué necesitamos cambiar de herramientas, primero debemos entender la amenaza.
El SIM swapping es una forma de robo de identidad.
Es sorprendentemente de baja tecnología.
Los hackers no necesitan irrumpir físicamente en tu teléfono.
No necesitan instalar malware en tu dispositivo.
Solo necesitan engañar a tu operador móvil.
Cómo funciona el ataque
El atacante recopila un poco de información sobre ti.
Esto podría provenir de una filtración de datos, redes sociales o un correo electrónico de phishing.
Llaman a la línea de atención al cliente de tu operador móvil.
Fingen ser tú.
Afirman que perdieron su teléfono o compraron uno nuevo y necesitan activar una nueva tarjeta SIM.
Si el agente de atención al cliente cree la historia, "portan" tu número de teléfono a la tarjeta SIM del hacker.
La consecuencia inmediata
En el momento en que ocurre ese cambio, tu teléfono se queda muerto.
El teléfono del hacker ahora recibe todas tus llamadas y mensajes de texto.
Inmediatamente van a tu banco, tu correo electrónico y tu plataforma de criptomonedas.
Hacen clic en "Olvidé mi contraseña".
Cuando el servicio envía el código de verificación por SMS, este va directamente al hacker.
Cambian tus contraseñas y te bloquean el acceso.
Sucede en cuestión de minutos.
Por qué la 2FA por SMS es el eslabón más débil
Quizás te preguntes por qué el SMS es siquiera una opción si es tan vulnerable.
La respuesta es conveniencia.
Todo el mundo tiene un número de teléfono. Todo el mundo sabe leer un mensaje de texto.
Pero el SMS (Short Message Service) fue construido en la década de 1980.
Nunca fue diseñado para ser un canal seguro para información bancaria sensible.
El problema del protocolo
Los mensajes SMS generalmente no están cifrados de extremo a extremo.
Viajan a través de protocolos de señalización arcaicos que pueden ser interceptados.
Pero el mayor defecto no es la tecnología en sí.
Es el elemento humano.
Tu seguridad depende completamente de un agente de atención al cliente con salario mínimo en una tienda de telefonía móvil.
Si pueden ser engañados (o sobornados), tu seguridad se disuelve.
Creemos que tu seguridad debería estar en tus manos, no en las manos de un proveedor de telecomunicaciones.
Es por eso que necesitamos alejarnos de los números de teléfono como identificadores.
Entra en escena la App de Autenticación: Tu guardaespaldas digital
Entonces, ¿cuál es la alternativa?
La respuesta es una Aplicación de Autenticación (Authenticator App).
Probablemente hayas oído hablar de Google Authenticator o Microsoft Authenticator.
Estas aplicaciones generan Contraseñas de Un Solo Uso Basadas en el Tiempo (TOTP).
Esto suena complicado, pero la experiencia del usuario es en realidad más rápida que el SMS.
Cómo funciona
Cuando configuras una aplicación de autenticación, escaneas un código QR proporcionado por el sitio web (como Gmail o Amazon).
Esto establece un vínculo secreto entre ese dispositivo específico y el sitio web.
La aplicación luego genera un código de 6 dígitos.
Aquí está la diferencia clave: El código cambia cada 30 segundos.
El código se genera localmente en tu dispositivo.
No requiere señal celular.
No requiere Wi-Fi.
No le importa cuál sea tu número de teléfono.
Incluso si un hacker roba tu número de teléfono mediante un SIM swap, no pueden generar el código.
Necesitarían tu teléfono físico desbloqueado para entrar.
Esa es una mejora masiva en seguridad.
My Core Pick: Las mejores aplicaciones de autenticación para usar
Si buscas en la App Store, encontrarás docenas de opciones.
Algunas son geniales. Algunas están llenas de anuncios.
Hemos probado las opciones más populares para ayudarte a elegir la adecuada para tu flujo de trabajo.
1. Google Authenticator
Este es el abuelo de las apps de autenticación.
Es increíblemente simple.
Históricamente, su mayor defecto era que si perdías tu teléfono, perdías tus códigos.
Sin embargo, Google agregó recientemente la sincronización en la nube.
Si estás muy inmerso en el ecosistema de Google, esta es una opción sólida y sin adornos.
2. Microsoft Authenticator
Si usas Outlook u Office 365 para trabajar, obtén esta.
Para las cuentas de Microsoft, ofrece una notificación "push".
Ni siquiera tienes que escribir un código; simplemente tocas "Aprobar" en tu teléfono.
También incluye un gestor de contraseñas integrado, aunque no tienes que usar esa función.
Es robusta, confiable y de nivel empresarial.
3. Twilio Authy
Durante mucho tiempo, Authy fue la favorita de los entusiastas de la tecnología.
Su principal punto de venta es un excelente soporte multidispositivo.
Puedes instalarla en tu teléfono y en tu tableta.
Si pierdes tu teléfono, simplemente puedes revocar el acceso a ese dispositivo y usar tu tableta.
La interfaz es limpia y fácil de usar.
Es distinta de los gigantes tecnológicos, lo cual prefieren algunos defensores de la privacidad.
4. 1Password o Bitwarden
Si quieres la máxima conveniencia, mira tu gestor de contraseñas.
Los gestores de contraseñas premium como 1Password y Bitwarden tienen generadores TOTP integrados.
Cuando vas a iniciar sesión, el gestor de contraseñas completa tu nombre de usuario, contraseña y el código 2FA automáticamente.
Crea una experiencia de inicio de sesión perfecta.
Sin embargo, aquí hay un compromiso de seguridad.
Si guardas tu contraseña y tu código 2FA en la misma cesta (el gestor de contraseñas), técnicamente lo estás reduciendo a una autenticación de un solo factor.
Para objetivos de alto valor (como la banca), recomendamos mantener el código 2FA en una aplicación separada.
Para cuentas generales (como Netflix o Reddit), usar tu gestor de contraseñas está perfectamente bien y es muy conveniente.
Cómo hacer el cambio (sin quedarte fuera)
Cambiar de SMS a una aplicación parece desalentador.
Podrías estar preocupado por bloquearte fuera de tus cuentas.
Tenemos un flujo de trabajo simple para hacer esto sin dolor.
No intentes hacer todas tus cuentas en un día.
Comienza con tus "Tres Principales": Tu correo electrónico, tu banco y tu gestor de contraseñas.
Paso 1: Iniciar sesión y localizar
Inicia sesión en el servicio (por ejemplo, tu cuenta de Google).
Ve a la configuración de Seguridad.
Busca "Verificación en 2 pasos" o "Autenticación de dos factores".
Paso 2: Añadir la App ANTES de eliminar los SMS
No elimines tu número de teléfono todavía.
Selecciona la opción para "Configurar aplicación de autenticación".
Aparecerá un código QR en tu pantalla.
Abre tu aplicación elegida en tu teléfono y toca el botón "+".
Escanea la pantalla.
Paso 3: Verificar y probar
El sitio web te pedirá que ingreses el código de 6 dígitos que se muestra en tu teléfono para confirmar que funciona.
Una vez verificado, cierra sesión y vuelve a entrar.
Usa el código de la aplicación para asegurarte de que todo funciona sin problemas.
Paso 4: La limpieza
Una vez que confirmaste que la aplicación funciona, vuelve a la configuración.
Elimina tu número de teléfono como método 2FA si el sitio lo permite.
Algunos bancos te obligan a mantener un número registrado, pero si puedes eliminarlo, hazlo.
Esto asegura que si tu SIM es intercambiada, el hacker no tenga forma de solicitar un código por mensaje de texto.
El paso vital que todos olvidan: Códigos de respaldo
Existe un riesgo importante con las aplicaciones de autenticación.
¿Qué pasa si se te cae el teléfono al océano?
Dado que los códigos se generan en el dispositivo, podrías quedarte fuera.
Es por esto que los Códigos de Respaldo (o Códigos de Recuperación) son esenciales.
Imprimiendo tus llaves
Cuando configuras 2FA en un sitio web, casi siempre te mostrarán una lista de 8-10 "Códigos de Respaldo".
Te dirán que los imprimas o los guardes.
No ignores esta pantalla.
Estas son llaves maestras de un solo uso.
Si pierdes tu teléfono, puedes usar uno de estos códigos para entrar en tu cuenta y configurar un nuevo teléfono.
Estrategia de almacenamiento
Imprime estos códigos.
Ponlos en una carpeta física en tu casa o en una caja fuerte ignífuga.
Alternativamente, guárdalos como una nota segura dentro de tu gestor de contraseñas cifrado.
No te limites a hacer una captura de pantalla y dejarla en tu escritorio.
Trata estos códigos como las llaves de tu casa.
Conclusión: Toma el control hoy
Vivimos en una era donde nuestras identidades digitales son tan importantes como las físicas.
Confiar en los mensajes de texto SMS para la seguridad es como cerrar la puerta principal pero dejar la llave debajo del tapete.
Podría detener a una persona honesta, pero no detendrá a un criminal que la esté buscando.
La transición a una Aplicación de Autenticación toma unos minutos por cuenta.
Pero la tranquilidad es permanente.
Dejas de depender del operador móvil para protegerte.
Empiezas a tomar el control de tu propia seguridad.
Elige una aplicación de nuestra lista anterior.
Empieza con tu cuenta de correo electrónico principal hoy.
Haz el cambio.
Tu yo del futuro (y tu cuenta bancaria) te lo agradecerán.