¿Ha recibido alguna vez un SMS con un código cuando se conecta a su cuenta bancaria o a su correo electrónico? Este es un ejemplo de autenticación por SMS en acción. Se trata de una sencilla medida de seguridad que envía una contraseña de un solo uso (OTP) a tu teléfono a través de un mensaje de texto para verificar tu identidad.
Con el aumento de las amenazas a la ciberseguridad y la sociedad, las empresas y los particulares confían desde hace tiempo en la autenticación por SMS para proporcionar una capa adicional de seguridad. Pero, ¿es realmente la mejor opción? En este blog analizaremos cómo funciona la autenticación por SMS, sus pros y sus contras, y las alternativas a prueba de seguridad que existen.
¿Qué es la autenticación por SMS?
La autenticación por SMS es un proceso de seguridad que verifica la identidad de un usuario enviándole una contraseña de un solo uso a través de un mensaje de texto a su número de teléfono registrado. Este código, conocido como número de autenticación SMS, se introduce en un formulario de inicio de sesión para demostrar que la persona que intenta acceder a la cuenta posee el número de teléfono registrado.
Este proceso se utiliza habitualmente en varios servicios en línea, como:
- Aplicaciones bancarias (para confirmar transacciones o inicios de sesión)
- Servicios de correo electrónico (como Gmail y Outlook)
- Plataformas de comercio electrónico (para proteger las cuentas de los clientes)
- Cuentas en redes sociales (Facebook, Instagram, Twitter, etc.)
La autenticación por SMS desempeña un papel fundamental en la autenticación de dos factores (2FA) y la autenticación multifactor (MFA).
- Autenticación de dos factores (2FA): La autenticación de dos factores por SMS obliga a utilizar el código SMS para autenticarse junto con la contraseña para poder iniciar sesión. Incluso si un pirata informático ha robado la contraseña de alguien, resulta imposible iniciar sesión en la cuenta sin el código SMS.
- La autenticación multifactor (AMF) amplía la noción de 2FA añadiendo múltiples factores de verificación, como la huella dactilar, el escáner facial o la clave de seguridad. Esto dificulta aún más el acceso ilegal.
Con el proceso de autenticación mediante mensajes de texto, las organizaciones han podido reducir considerablemente las posibilidades de que el pirateo de contraseñas o las contraseñas débiles den lugar a brechas de seguridad. Sin embargo, la metodología no está exenta de fallos, como se verá en secciones posteriores.
¿Cómo funciona la autenticación por SMS?
El proceso de autenticación por SMS sigue una estructura sencilla pero eficaz:
Paso 1: Intento de inicio de sesión del usuario: Cuando un usuario intenta iniciar sesión, el sistema comprueba si su cuenta requiere autenticación por SMS.
Paso 2: Envío del código SMS: Se crea una OTP y se envía a su teléfono a través de texto para iniciar sesión o realizar transacciones. Este código es único y solo es válido durante un breve periodo de tiempo.
Paso 3: El usuario introduce el código: Una vez que reciba el código en su teléfono, lo introduce en el campo requerido en el sitio web o la aplicación.
Paso 4: Proceso de verificación: Si introduce el código correcto, se le concede el acceso. En caso contrario, deberá solicitar un nuevo código.
Este método garantiza que sólo las personas con acceso al número de teléfono registrado puedan iniciar sesión, aunque algunos piratas informáticos han desarrollado formas de eludir esta medida de seguridad.
Lea también: Razones por las que tus mensajes de texto no se envían (y cómo solucionarlas)Códigos de autenticación SMS - Tipos de contraseñas de un solo uso (OTP)
Las contraseñas de un solo uso son el núcleo de la autenticación de texto. Estas contraseñas son códigos temporales utilizados para verificar la identidad de un usuario durante el inicio de sesión o las transacciones. En lugar de confiar en una contraseña estática que pueda reutilizarse, las OTP garantizan que cada intento de inicio de sesión requiera un código nuevo.
Existen dos tipos principales de OTP utilizados en los SMS de autenticación:
1. Contraseña de un solo uso basada en el tiempo (TOTP)
Una contraseña de un solo uso basada en el tiempo (TOTP) es una OTP que caduca tras un breve periodo de tiempo, normalmente entre 30 y 60 segundos. Si el usuario no introduce el código dentro de este plazo, deja de ser válido y debe solicitar uno nuevo.
Cómo funciona TOTP:
Paso 1: El usuario intenta acceder a una cuenta.
Segundo paso: El sistema genera un código aleatorio de 6 u 8 dígitos.
Paso 3: El código se envía a través de un número de autenticación SMS al teléfono del usuario.
Paso 4: El usuario introduce el código dentro del plazo válido (30-60 segundos).
Paso 5: Si se introduce correctamente, el sistema concede el acceso.
Por qué se utiliza TOTP:
- Evita que los atacantes reutilicen las OTP robadas o interceptadas.
- Reduce el riesgo de ataques de fuerza bruta, ya que los códigos caducan rápidamente.
- Aumenta la seguridad garantizando que cada OTP sea de corta duración.
Ejemplo de TOTP en acción:
Imagina que entras en tu cuenta de banca electrónica. Introduce su contraseña y el banco le envía un código de autenticación por SMS que caduca en 30 segundos. Compruebas rápidamente tu teléfono, introduces el código y accedes a tu cuenta. Si tardas demasiado, el código no funcionará y necesitarás uno nuevo.
2. Contraseña de un solo uso basada en hash (HOTP)
Una contraseña de un solo uso basada en hash (HOTP) es otro tipo de OTP, pero a diferencia de la TOTP, no tiene un tiempo de caducidad fijo. En su lugar, sigue siendo válida hasta que se utiliza.
Cómo funciona HOTP:
Primer paso: El sistema genera una OTP única basada en un algoritmo matemático.
Paso 2: El código se envía al usuario mediante validación por SMS.
Paso 3: El usuario introduce la OTP durante el inicio de sesión.
Paso 4: Una vez introducida, la OTP se marca como utilizada y no se puede reutilizar.
Por qué se utiliza HOTP:
- Ideal para situaciones en las que los usuarios pueden no recibir un SMS inmediatamente.
- Funciona bien en regiones con mala conectividad a la red.
- Evita problemas de tiempo, ya que la OTP sigue siendo válida hasta que se utiliza.
Ejemplo de HOTP en acción:
Estás accediendo a tu cuenta de correo electrónico y el sistema te envía un código de autenticación a tu teléfono. Te distraes y no introduces el código de inmediato. Afortunadamente, como HOTP no caduca en función del tiempo, puedes seguir introduciendo el mismo código incluso pasados unos minutos. Sin embargo, una vez utilizado, no se puede reutilizar.
¿Qué OTP es más segura?
En general, TOTP se considera más seguro que HOTP porque limita la ventana de tiempo para que los atacantes utilicen una OTP robada. Sin embargo, ambos métodos proporcionan mayor seguridad que las contraseñas tradicionales por sí solas.
- Según un reciente informe de Forbes, que cita "conversaciones privilegiadas con información privilegiada de Google", se ha revelado por primera vez que los códigos SMS van a ser sustituidos por códigos QR en la autenticación para "reducir el impacto del abuso global y desenfrenado de los SMS".
Ventajas de la autenticación por SMS
Aunque la autenticación por SMS no sea infalible, sigue siendo una de las medidas de seguridad más populares. La mayoría de las organizaciones siguen confiando en ella porque:
1. Sencillo y fácil de usar
Se trata de un mecanismo de seguridad de muy bajo umbral, ya que los usuarios no necesitan instalar ningún programa o aplicación especial; sólo necesitan un teléfono capaz de recibir mensajes de texto normales.
Ejemplo: Cuando te conectas a una cuenta bancaria online y recibes un SMS con el código de autenticación, sólo tienes que teclearlo en la web. Esto es útil para hacer complejas las cuentas bancarias sin que resulten ambiguas y, por tanto, difíciles de usar.
2. Accesibilidad universal
A diferencia de la autenticación basada en aplicaciones, que requiere un smartphone, la autenticación por SMS puede funcionar en cualquier teléfono móvil. Esto es beneficioso para las empresas con clientes en zonas donde escasean los smartphones o las conexiones estables a Internet.
Las administraciones públicas y los servicios financieros han utilizado la autenticación por SMS de forma exhaustiva para diversos sectores de la población, incluso para aquellos que sólo disponen del más básico de los teléfonos y, por tanto, pueden recibir la autenticación a través de mensajes SMS normales.
3. No requiere hardware ni software adicional
Algunos medios de seguridad, como las claves electrónicas personalizadas o la autenticación biométrica, sólo exigen el uso de dispositivos especializados. Con la gracia de la autenticación por SMS, no necesitas nada más, solo tu número de teléfono.
Esto proporciona una solución de bajo coste para una empresa que requiere una mayor seguridad sin pagar mucho por los métodos de autenticación.
4. Funciona incluso sin Internet
Una ventaja muy importante de la autenticación basada en mensajes de texto es que no necesita acceso a Internet. Mientras que las aplicaciones de autenticación y los sistemas de verificación por correo electrónico necesitan Wi-Fi o datos móviles, los SMS funcionan a través de la red celular.
Así, puede ser útil incluso en zonas con acceso deficiente a Internet, garantizando que los usuarios puedan seguir autenticando sus identidades aunque estén desconectados.
5. Añade una capa adicional de seguridad
La autenticación por SMS no es una de las formas más seguras de garantizar la seguridad, pero es mucho más probable que sea más segura que utilizar sólo una contraseña. Incluso si un hacker consiguiera robar la contraseña de alguien, le resultaría imposible completar el proceso de inicio de sesión sin acceso al teléfono.
Por ejemplo, si un ciberdelincuente comprometiera la contraseña del correo electrónico de un usuario a través de una filtración de datos, un paso adicional añadiría otro nivel de complicación, ya que el hacker necesitaría el número de SMS para entrar.
-Ross Richendrfer, portavoz de Gmail
Contras y riesgos de seguridad de la autenticación por SMS
A pesar de sus ventajas, la autenticación por SMS plantea serios problemas de seguridad y usabilidad. Por eso, varios ciberexpertos instan a utilizar métodos de autenticación alternativos.
1. Vulnerable a los ataques de intercambio de SIM
Los ataques SIM-swap son una de las mayores amenazas para la autenticación por SMS. En este ataque, los delincuentes suelen persuadir a los operadores de telefonía móvil para que transfieran un número de teléfono asignado a una víctima a otra tarjeta SIM bajo su control.
Una vez que el pirateo tiene éxito, los expertos en sim-swapping controlan la cuenta y acceden al teléfono utilizando códigos de texto para la validación.
- Bart Stephens, de Blockchain Capital, perdió 6,3 millones de dólares en el secuestro de la criptomoneda SIM-Swap.
2. Susceptible al phishing y a la ingeniería social
Los piratas informáticos utilizan correos electrónicos de phishing, sitios web falsificados o llamadas telefónicas fraudulentas para inducir a los usuarios a revelar un número de autenticación por SMS.
Los piratas informáticos pueden enviar correos electrónicos falsos simulando representar a un banco, pidiendo a un usuario que informe de su código de autenticación de texto en un sitio web falso. Si la víctima responde y sucumbe a esta trampa, ese código concede al hacker acceso a su cuenta y le da el control de la misma.
- Según el Instituto Nacional de Normas y Tecnología (NIST), la autenticación basada en SMS es vulnerable a los ataques de phishing y man-in-the-middle. Sus directrices (SP 800-63B) desaconsejan explícitamente el SMS para aplicaciones de alta seguridad.
3. Los mensajes SMS pueden ser interceptados
A diferencia de otros mecanismos de autenticación, los mensajes SMS se envían sin cifrar, lo que los hace susceptibles de ser interceptados por cualquiera. Mediante malware u otro tipo de ataques que exploten los fallos de las redes móviles, un atacante puede, en determinadas circunstancias, leer los mensajes SMS y obtener códigos de comando para iniciar sesión.
4. No es seguro para transacciones de alto riesgo
Aunque la autenticación por SMS es útil para el inicio de sesión en general, no se recomienda para acciones muy delicadas, como transacciones financieras o acceso a información empresarial crítica.
Ahora, muchas instituciones financieras y equipos de seguridad empresarial han empezado a desaconsejar el uso de la validación por SMS para cualquier transacción de alto riesgo, instando a las organizaciones a adoptar en su lugar la MFA o la credencialización sin contraseña.
5. Requiere una red móvil: sin señal, no hay acceso
Mientras que los códigos de autenticación basados en aplicaciones pueden capturarse sin conexión, los mensajes SMS permiten la autenticación de este modo: los SMS necesitan una red móvil activa para su recepción. Así, por ejemplo, en caso de que el usuario se encuentre en una región de baja señal o viaje a otro país sin itinerancia, es posible que los códigos de autenticación por SMS no lleguen al usuario.
Ejemplo: Un ejecutivo de viaje que no pueda recibir un número de autenticación SMS en ruta no podrá acceder al correo electrónico corporativo.
- Entidades financieras: Los bancos deben dar prioridad a soluciones de AMF como la biometría o las apps de autenticación para evitar la apropiación de cuentas.
- Proveedores sanitarios: La autenticación conforme a la HIPAA requiere una seguridad mayor que la de los SMS.
- Comercio electrónico y redes sociales: La autenticación por SMS sigue siendo habitual para inicios de sesión de bajo riesgo, pero debe combinarse con métodos de autenticación de respaldo.
Métodos modernos de autenticación
Con el creciente número de ciberamenazas, las empresas están abandonando la autenticación por SMS en favor de métodos de seguridad más sólidos. Estas son algunas de las alternativas de autenticación más seguras y avanzadas disponibles en la actualidad:
1. Autenticación multifactor (AMF): combinación de varios métodos
La autenticación multifactor (MFA) mejora la seguridad al exigir a los usuarios que verifiquen su identidad a través de múltiples métodos en lugar de sólo un SMS de autenticación. Combinada con el principio del menor privilegio, la AMF limita significativamente a qué pueden acceder las cuentas comprometidas, incluso si se roban las credenciales.
MFA utiliza tres tipos principales de factores de autenticación:
- Algo que sepas - Contraseña, PIN o pregunta de seguridad.
- Algo que tienes - SMS OTP, aplicación de autenticación o una llave de seguridad física.
- Algo que eres - Datos biométricos como huella dactilar, reconocimiento facial o escáner de retina.
Al combinar dos o más de estos factores, la AMF dificulta considerablemente la intrusión de los piratas informáticos en las cuentas.
Ejemplo de AMF en acción:
Cuando inicias sesión en tu cuenta de banca electrónica, introduces tu contraseña (algo que sabes). A continuación, recibes un código de autenticación por SMS en tu teléfono (algo que tienes). Algunos bancos también pueden solicitar el reconocimiento facial o de huellas dactilares (algo que usted es). Esta combinación garantiza la máxima seguridad.
2. Autenticación sin contraseña
Las contraseñas son el eslabón más débil de la cadena de ciberseguridad porque se reutilizan, se adivinan y se roban fácilmente. La autenticación sin contraseña pretende sustituirlas por completo, permitiendo procesos de inicio de sesión más sencillos y seguros.
- Autenticación biométrica - Huella dactilar, reconocimiento facial o reconocimiento de voz.
- Llaves de seguridad - Dispositivos físicos USB o NFC como YubiKey.
- Aplicaciones de autenticación - Aplicaciones como Google Authenticator o Microsoft Authenticator que generan códigos con límite de tiempo.
Ejemplo de autenticación sin contraseña en acción:
Usted accede al sistema interno de su empresa mediante el registro de su huella dactilar. El sistema reconoce su huella dactilar y le permite acceder sin necesidad de introducir una contraseña.
3. Inicio de sesión único (SSO) para un acceso sin fisuras
El inicio de sesión único (SSO) permite a los usuarios iniciar sesión en varias aplicaciones y servicios con un único proceso de autenticación.
Cómo funciona el SSO:
Paso 1: Un usuario inicia sesión en un sistema mediante autenticación SMS, biométrica u otro método seguro.
Segundo paso: Una vez autenticado, el usuario tiene acceso a todas las aplicaciones conectadas sin necesidad de volver a iniciar sesión.
Ventajas del SSO:
- Reduce la fatiga de contraseñas al no tener que recordar varias.
- Aumento de la seguridad mediante la centralización de la autenticación.
- Mejor experiencia de usuario al simplificar el acceso a los distintos servicios
Ejemplo de SSO en acción:
Una vez que accedas a tu cuenta de Google, tendrás acceso automáticamente a Gmail, Google Drive, YouTube y otros servicios de Google sin tener que volver a iniciar sesión.
4. OAuth y OpenID Connect para una autorización segura
OAuth y OpenID Connect son marcos de autenticación modernos que permiten a los usuarios iniciar sesión en sitios web o aplicaciones utilizando credenciales de proveedores externos como Google, Facebook o Microsoft.
Cómo funcionan OAuth y OpenID Connect:
Primer paso: En lugar de crear un nuevo nombre de usuario y contraseña para un sitio web, elige iniciar sesión con Google.
Segundo paso: Google verifica tu identidad y te concede permiso para acceder al servicio solicitado.
Tercer paso: El sitio web te autentica basándose en la confirmación de Google sin necesidad de una contraseña independiente.
Por qué las empresas prefieren OAuth y OpenID Connect:
- Elimina la necesidad de validación por SMS o contraseñas.
- Los usuarios no necesitan recordar varias credenciales de inicio de sesión.
- Reduce los riesgos de seguridad asociados a la reutilización de contraseñas.
Ejemplo de OAuth en acción:
Visitas un nuevo sitio web de comercio electrónico y eliges "Iniciar sesión con Google". En lugar de crear una cuenta nueva, accedes utilizando tus credenciales de Google. El sitio web recibe la autenticación de Google y puedes empezar a comprar inmediatamente.
Grandes empresas tecnológicas como Apple, Google y Microsoft están apostando por Passkeys, un método de autenticación que elimina las contraseñas y los códigos SMS. Estos métodos modernos utilizan autenticación criptográfica, lo que los hace resistentes al phishing y a la interceptación.
Buzón compartido SMSConclusión
Aunque la autenticación por SMS presenta riesgos de seguridad, sigue siendo un método muy utilizado para verificar a los usuarios. Las empresas deben evaluar sus necesidades de seguridad y considerar el uso de SMS junto con métodos de autenticación más seguros, como las OTP basadas en aplicaciones o la verificación biométrica.
A medida que evolucionan las ciberamenazas, las empresas deben replantearse sus estrategias de autenticación. La implementación de MFA, autenticación biométrica o inicios de sesión sin contraseña puede reducir significativamente los riesgos de seguridad. Si quieres mejorar tus sistemas de autenticación, consulta con expertos en ciberseguridad o explora soluciones como ControlHippo.
Actualizado : 25 de junio de 2025
Jainy Patel is a content strategist who specializes in omnichannel communication solutions. She develops innovative marketing strategies that unify messaging across various channels, ensuring a consistent and engaging customer journey. Jainy is passionate about optimizing communication processes and crafting targeted content that resonates with audiences at every touchpoint.