MFA sin dolor: TOTP vs. SMS vs. passkeys | El candado digital

MFA sin dolor: TOTP vs. SMS vs. passkeys

04/11/2025 · 8 min lectura · Categoría: Autenticación · Tags: mfa, totp, passkeys

MFA multifactor

Introducción

La autenticación multifactor (MFA) añade capas de seguridad más allá de la contraseña. Según Microsoft, MFA bloquea el 99,9% de los ataques automatizados a cuentas. Pero no todos los métodos de MFA son iguales: SMS es vulnerable, TOTP es robusto, y passkeys prometen eliminar contraseñas completamente.

En este artículo compararemos los métodos más comunes, sus ventajas, debilidades y cómo adoptarlos sin complicarte la vida.

Qué te llevarás

  • Comparativa técnica de métodos MFA (SMS, TOTP, hardware keys, passkeys)
  • Pros y contras de cada enfoque
  • Guía de adopción paso a paso
  • Herramientas recomendadas y configuración
  • Errores frecuentes al implementar MFA

¿Qué es MFA y por qué importa?

La autenticación multifactor combina dos o más de estos factores:

  • Algo que sabes: contraseña, PIN
  • Algo que tienes: teléfono, hardware key, app autenticadora
  • Algo que eres: huella dactilar, reconocimiento facial
Riesgo: Solo contraseña → Impacto: Phishing, keyloggers o brechas exponen la cuenta → Mitigación: MFA requiere un segundo factor, bloqueando el 99,9% de ataques automatizados.

Comparativa de métodos MFA

MétodoSeguridadUsabilidadVulnerabilidades
SMS (código por mensaje) ⭐⭐ Baja ⭐⭐⭐⭐ Alta SIM swapping, intercepción SS7, phishing
TOTP (Google Authenticator, Authy) ⭐⭐⭐⭐ Alta ⭐⭐⭐ Media Phishing sofisticado (man-in-the-middle), pérdida de dispositivo
Hardware keys (YubiKey, Titan) ⭐⭐⭐⭐⭐ Muy alta ⭐⭐ Baja-Media Pérdida física de la llave, costo
Passkeys (WebAuthn/FIDO2) ⭐⭐⭐⭐⭐ Muy alta ⭐⭐⭐⭐⭐ Muy alta Adopción limitada aún, requiere hardware compatible
Biometría (huella, Face ID) ⭐⭐⭐ Media-Alta ⭐⭐⭐⭐⭐ Muy alta No revocable si se compromete, falsos positivos

SMS: el eslabón débil

¿Cómo funciona?

Recibes un código de 6 dígitos por mensaje de texto que introduces tras la contraseña.

Vulnerabilidades

  • SIM swapping: Un atacante convence a tu operadora de transferir tu número a su SIM. Recibe tus códigos.
  • Intercepción SS7: Fallo en la red telefónica permite interceptar mensajes.
  • Phishing: Sitios falsos capturan código + contraseña en tiempo real.

¿Cuándo usarlo?

✅ Mejor que nada si no hay otras opciones.
❌ Nunca para cuentas críticas (email, banca, trabajo).

TOTP: el estándar actual

¿Cómo funciona?

Generas códigos de 6 dígitos cada 30 segundos con una app como Google Authenticator, Authy o Aegis. Se basa en un secreto compartido (QR) y el tiempo actual.

Ventajas

  • No requiere conexión a internet (funciona offline)
  • Resistente a SIM swapping
  • Gratuito y ampliamente soportado

Debilidades

  • Vulnerable a phishing sofisticado (atacante captura código en tiempo real)
  • Si pierdes el dispositivo sin backup, pierdes acceso

Configuración recomendada

  1. Descarga Authy (con backup cifrado) o Aegis (open source, Android).
  2. Al activar MFA en un servicio, escanea el QR.
  3. Guarda códigos de recuperación en tu gestor de contraseñas o en papel.
  4. Activa backup cifrado en la app (Authy permite sincronizar entre dispositivos).

Hardware keys: máxima seguridad

¿Cómo funcionan?

Una llave física (USB/NFC) que conectas o acercas al dispositivo. Usa criptografía de clave pública (FIDO2/U2F).

Ventajas

  • Inmune a phishing: la llave verifica el dominio antes de autenticar
  • No requiere baterías ni conectividad
  • Resistente a malware y keyloggers

Debilidades

  • Costo: 20-50€ por llave (necesitas 2 para backup)
  • Pérdida física requiere usar llaves de recuperación
  • Compatibilidad limitada en algunos servicios

Opciones recomendadas

  • YubiKey 5 NFC: USB-A + NFC, soporta FIDO2, OTP, PIV. ~45€
  • Google Titan Security Key: USB-A/C + NFC. ~30€
  • Nitrokey 3: Open hardware, USB-C + NFC. ~50€

Configuración

  1. Compra 2 llaves (una primaria, una de backup).
  2. Registra ambas en cada servicio crítico (Google, GitHub, banca).
  3. Guarda la llave de backup en lugar seguro (caja fuerte, familiar de confianza).

Passkeys: el futuro sin contraseñas

¿Qué son?

Passkeys son credenciales criptográficas basadas en WebAuthn/FIDO2. Reemplazan contraseñas + MFA con un solo paso: autenticación biométrica o PIN del dispositivo.

¿Cómo funcionan?

Al crear una cuenta, se genera un par de claves (pública/privada). La clave privada nunca sale de tu dispositivo. El sitio guarda la clave pública. Para autenticarte, el dispositivo firma un desafío con la clave privada y tu biometría/PIN.

Ventajas

  • Inmunes a phishing: las passkeys solo funcionan en el dominio correcto
  • No hay contraseña que filtrar en brechas
  • Experiencia de usuario fluida (Face ID, huella)
  • Sincronizadas vía iCloud Keychain, Google Password Manager

Debilidades

  • Adopción aún limitada (soportada en Google, Microsoft, Apple, GitHub, pero no universal)
  • Requiere dispositivo compatible (iOS 16+, Android 9+, Windows 10+, macOS Ventura+)
  • Migración entre ecosistemas puede ser compleja

Adopción recomendada

  1. Verifica si tus servicios críticos soportan passkeys (passkeys.directory).
  2. Actívalas en Google, Microsoft, GitHub como complemento (mantén MFA tradicional como backup).
  3. Usa gestor de passkeys multiplataforma (1Password, Bitwarden beta) si cambias de ecosistema.

Estrategia de adopción MFA

Nivel 1: Básico (para todos)

  • Activa TOTP en email principal, redes sociales, banca.
  • Usa Authy o Aegis.
  • Guarda códigos de recuperación.

Nivel 2: Avanzado (usuarios técnicos)

  • Compra 2 hardware keys (YubiKey).
  • Regístralas en servicios críticos (Google, GitHub, gestores de contraseñas).
  • Mantén TOTP como backup.

Nivel 3: Futuro (early adopters)

  • Activa passkeys en servicios compatibles.
  • Migra gradualmente de contraseñas + TOTP a passkeys.
  • Usa gestor de passkeys multiplataforma.

Errores comunes

ErrorConsecuenciaSolución
No guardar códigos de recuperaciónPierdes acceso si pierdes el dispositivo MFAGuarda códigos en gestor de contraseñas o papel cifrado
Usar solo SMS para cuentas críticasVulnerable a SIM swappingCambia a TOTP o hardware keys
No registrar múltiples métodos MFASi falla uno, pierdes accesoRegistra TOTP + hardware key + códigos de recuperación
Compartir códigos TOTPAnulas la protección MFANunca compartas códigos por email/chat
No verificar dominio en passkeys/hardware keysPodrías autenticarte en sitio falsoLas llaves FIDO2 verifican automáticamente, pero revisa URL

Caso práctico: proteger cuenta de Google

  1. Ve a myaccount.google.com → Seguridad → Verificación en dos pasos.
  2. Añade TOTP con Google Authenticator o Authy.
  3. Registra una hardware key (YubiKey) como método principal.
  4. Descarga códigos de recuperación y guárdalos en tu gestor de contraseñas.
  5. Desactiva SMS si estaba habilitado.
  6. Opcional: activa passkeys si usas dispositivos Apple/Android compatibles.

Resumen en 60 segundos

✅ MFA bloquea el 99,9% de ataques automatizados.
✅ Evita SMS para cuentas críticas (vulnerable a SIM swapping).
✅ TOTP (Authy, Aegis) es el estándar actual: seguro, gratuito, ampliamente soportado.
✅ Hardware keys (YubiKey) ofrecen máxima seguridad contra phishing.
✅ Passkeys son el futuro: sin contraseñas, inmunes a phishing, UX fluida.
✅ Guarda siempre códigos de recuperación. Registra múltiples métodos MFA.

⚠️ Riesgo: Solo contraseña → Impacto: Acceso no autorizado tras phishing/brecha → Mitigación: MFA con TOTP, hardware keys o passkeys.

Ética y aviso legal

Este contenido es educativo. No se proporcionan instrucciones de intrusión ni bypass de sistemas MFA.