Guías de seguridad

#fundamentos de seguridad #MFA #gestión de contraseñas #phishing #preparación para la era de la IA

Elegir bien la MFA: qué significa «resistente al phishing» y por qué el SMS es débil

El SMS, las apps de autenticación y las passkeys forman una escalera de fortaleza de MFA. Por qué el SMS cae ante el phishing y el SIM-swap, qué significa de verdad «resistente al phishing», y qué factor poner en qué cuenta.

Publicado 2026-06-12 Actualizado 2026-06-12 7 min de lectura

Para: cualquiera a punto de activar la MFA (verificación en dos factores / dos pasos), o que ya la tiene pero se pregunta «¿basta con el SMS?» Aquí no hay mecánica de ataque — solo qué métodos son fuertes, y qué poner dónde.

La visión de este sitio: «tener MFA» no es una casilla

La «verificación en dos factores: activada» que ves en los ajustes en realidad casi no aporta información sobre la fortaleza. El mismo «activada» defiende contra ataques radicalmente distintos para el SMS frente a una passkey. La mayoría de las tomas de control ocurren no porque «no había MFA» sino porque era MFA débil. Así que para las cuentas importantes recomendamos calificar por «¿es resistente al phishing o no?», nunca por «MFA: activada/desactivada».

Por qué necesitas MFA

Una contraseña debe tratarse como «se va a filtrar tarde o temprano» por sí sola. Reutilización, volcados de brechas, adivinación, phishing — hay muchas vías de entrada. La MFA es el seguro que detiene las cosas en la segunda capa incluso cuando la primera está rota.

capa 1

asume que la contraseña se filtra tarde o temprano

+1 factor

una segunda capa bloquea la entrada solo con la fuga

3 niveles

el método cambia lo que puede bloquear

llave del reino

tomar el correo = derechos de reseteo sobre todo

La cuenta de correo es la que más importa de todas. Muchos servicios recuperan el «olvidé mi contraseña» por correo, así que en el momento en que toman tu correo, otras cuentas se resetean en cadena. Por eso el correo es la «llave del reino» que proteger con la MFA más fuerte (→ el Nivel 0 de la lista de base).

La escalera de fortaleza (esta es la esencia)

Aunque se llame «dos factores», los métodos difieren enormemente en fortaleza. La izquierda es débil, la derecha es fuerte. La línea divisoria es «¿puede presentarse a un sitio falso?»

✗ SMS / correo

escribes un número a mano; el phishing por relay y el SIM-swap lo rompen

△ autenticador (TOTP)

más fuerte que el SMS, pero el código puede retransmitirse a un sitio falso

○ passkey

biometría del dispositivo; ligada al dominio = resistente al phishing

◎ llave de seguridad

una llave de hardware FIDO2; la más robusta; ten una de repuesto

La izquierda es débil, la derecha es fuerte. La línea divisoria: ¿puede entregarse a un sitio falso? Las passkeys/llaves no pueden, por diseño.

Códigos por SMS / correo

el código son solo dígitos — puede pegarse en un sitio falso
el SIM-swap (secuestrar tu número) roba el recibo
el phishing por relay lo reenvía al sitio real, derrotándolo
mejor que nada, pero no una última línea de defensa

Passkey / llave de seguridad (FIDO2)

la clave está ligada al dominio de destino — sin firma en un sitio falso
resistente al phishing por diseño (no depende del juicio humano)
biometría del dispositivo o una llave de hardware = sin "cadena" que robar
usa esto para las llaves del reino

Qué significa de verdad «resistente al phishing»

Este es el concepto clave. Con el SMS o un código de autenticador, al final un humano tiene que juzgar con sus ojos si lo está introduciendo en el sitio correcto — pero la gente no puede distinguir un dominio réplica perfecto. Una passkey o llave de seguridad (FIDO2), en cambio, sabe para qué dominio es, así que no devuelve ninguna firma a un sitio falso. En otras palabras, aunque el humano sea engañado, la clave no lo es. Eso es la «resistencia al phishing», y es la diferencia decisiva entre métodos débiles y fuertes.

Cómo configurarlo (el orden importa)

Empieza por las llaves del reino

Pon MFA resistente al phishing (passkey/llave de seguridad) en el correo, el registrador de dominios, el panel del servidor y las cuentas de pago primero — pierde estas y todo lo demás queda anulado (→ la lista de base).

MFA en el propio gestor de contraseñas

El gestor de contraseñas que guarda tus inicios de sesión diarios es en sí una llave del reino. Refuérzalo con una contraseña maestra más MFA (→ guardar contraseñas de forma segura).

Si no está soportada, usa un autenticador (TOTP)

En servicios sin soporte de passkey, elige una app de autenticación, no SMS. Deja el SMS como último recurso cuando no se ofrezca nada más.

Guarda los códigos de recuperación de forma segura

La MFA corta por ambos lados — pierde el dispositivo y te quedas fuera. Guarda los códigos de recuperación que emite un servicio en una nota segura de tu gestor de contraseñas o en un almacén cifrado. Nunca en una hoja de cálculo en texto plano.

Ten un factor de respaldo

Conserva una segunda llave de seguridad, sincroniza las passkeys entre dispositivos — construye una vía de respaldo. Tener una sola llave y perderla te deja fuera.

Incluso con MFA, deja de reutilizar contraseñas

La MFA es un seguro, no una excusa para contraseñas débiles. En los servicios donde solo hay MFA no resistente al phishing (como el SMS), la fortaleza y unicidad de la contraseña sigue siendo tu última línea. Mídela con el verificador de fortaleza de contraseñas.

Lo que hace este sitio

Este sitio blinda sus cuentas importantes — especialmente correo, dominios, administración del servidor y pagos — con MFA resistente al phishing siempre que es posible. La razón es simple: son las llaves del reino donde «pierde una y lo pierdes todo». Los inicios de sesión diarios viven en un gestor de contraseñas, y el propio gestor lleva MFA. Y no nos detenemos en «la MFA está activada» — revisamos periódicamente qué método está en su sitio. Cuando encontramos una cuenta importante con solo SMS, lo tratamos como un agujero y priorizamos actualizarla a una passkey/llave de seguridad. Gestiona por fortaleza, no por presencia — esa es nuestra política.

Leer a continuación

Base: la lista de base de seguridad (primero las llaves del reino)
Almacenamiento: cómo guardar contraseñas de forma segura
Glosario: SPF/DKIM/DMARC (autenticación de correo antisuplantación)
Glosario: qué es el phishing (la amenaza para la que está hecha la MFA resistente al phishing)
Sin contraseña: qué es una passkey (inicio de sesión sin contraseña y sin nada que robar)
Herramienta: verificador de fortaleza de contraseñas

FAQ

QSi activo la MFA, ¿estoy a salvo?

Mucho más a salvo que sin ella, pero «activada» no es lo mismo que «segura». El método cambia la fortaleza en tres niveles: los códigos por SMS y correo caen ante el phishing (un ataque de relay que atrae tu código a un sitio falso) y el SIM-swap. Para las cuentas importantes, usa una passkey o una llave de seguridad (MFA resistente al phishing) que no pueda presentarse a un sitio falso.

Q¿Por qué se dice que el SMS es débil?

Porque el código es solo una cadena de dígitos, y un humano tiene que juzgar si el sitio donde lo introduce es real o falso. El phishing por relay (escribes el código en una réplica perfecta) y el SIM-swap (secuestran tu número de teléfono) lo derrotan. Es mejor que nada, pero no es una última línea de defensa.

Q¿Qué método debería elegir en realidad?

Los más fuertes son las passkeys (la biometría de tu dispositivo) y las llaves de seguridad físicas (FIDO2). La clave está ligada al dominio de destino, así que en un sitio falso no se produce ninguna firma — eso es resistencia al phishing. Donde no estén soportadas, usa una app de autenticación (TOTP); deja el SMS como último recurso cuando no se ofrezca nada más.