¿Por qué no deberías utilizar tu número de teléfono para autenticación de dos factores?

La autenticación de dos factores (2FA) es una medida de seguridad esencial para proteger tus cuentas en línea. Sin embargo, utilizar tu número de teléfono como método de autenticación puede poner en riesgo tu seguridad.

Hay muchas formas de definir una autenticación de dos factores, desde usar la app de Google Authenticator a la típica de recibir un SMS, pero no todas son igual de seguras.

Nos lo recuerdan en Lifehacker. La debilidad de las contraseñas radica en que cualquiera puede conocer la tuya, y las filtraciones de contraseñas son cada vez más comunes. 2FA soluciona este problema al requerir tanto tu contraseña como acceso a un dispositivo de confianza para autenticar tu identidad. Dependiendo del método de 2FA que configures, el sistema te enviará un código por SMS, te pedirá que recuperes el código de una aplicación de autenticación o te pedirá que conectes una llave de seguridad física para confirmar tu identidad.

Aunque cualquier método de autenticación es mejor que nada, SMS es el método más débil, ya que los números de teléfono no son una forma segura de identificación. Los atacantes pueden engañar a los operadores de red para transferir tu número de teléfono a su tarjeta SIM, en un ataque conocido como SIM swapping, o pagar a otra compañía para redirigir tus mensajes de texto a su número. En ambos escenarios, recibirán tus códigos de 2FA y podrán ingresar a tus cuentas sin problemas.

Utilizar tu número de teléfono como nombre de usuario para tus cuentas también plantea riesgos, ya que hay muchos números de teléfono reciclados en circulación. Existe la posibilidad de que el número que tienes haya pertenecido a alguien más, y si esa persona también lo usó para una cuenta sin cambiarlo, iniciar sesión con esos dígitos podría otorgarte acceso a su cuenta.

Es por eso que se recomienda utilizar métodos de autenticación más seguros, como aplicaciones de autenticación o llaves de seguridad. Las aplicaciones de autenticación, como el antes mencionado Google Authenticator, generan un código único cada 30 segundos que se asocia con tu cuenta. Las llaves de seguridad físicas actúan como una aplicación de autenticación en forma física y requieren que conectes tu dispositivo a la llave de seguridad para autenticar tu identidad.

Aun así, hay virus que pueden capturar códigos de estas plataformas, por lo que no se puede uno relajar nunca. No utilicen el número de teléfono como backup, no es buena idea.