- El 2FA por SMS es el método más débil: un atacante puede secuestrar tu número con un SIM swap y recibir tus códigos sin tocar tu teléfono.
- Una app TOTP (Google Authenticator, Authy) genera los códigos en el propio dispositivo, sin pasar por la red móvil: protege mucho mejor que el SMS.
- La llave física FIDO2 (YubiKey) es el escalón más seguro porque resiste el phishing: solo firma en el dominio real del exchange.
- El 2FA protege el acceso a la cuenta del exchange, no las criptomonedas que custodias tú en una wallet propia.
Casi todos los robos de cuentas de cripto no empiezan con un hackeo sofisticado, sino con un segundo factor mal elegido. El 2FA en criptomonedas es la capa que pide algo más que la contraseña para entrar en un exchange, y es de las defensas más eficaces que existen, pero no todos los métodos protegen igual. Elegir entre SMS, una app de códigos o una llave física es una de las primeras decisiones de seguridad que toma quien guarda bitcoin (BTC) en una plataforma.
Vale aclarar que el 2FA no es un lujo de paranoicos: es el muro que separa una contraseña filtrada de una cuenta vaciada. La pregunta no es si activarlo, sino cuál de los tres métodos elegir, porque la distancia de seguridad entre ellos es enorme.
El 2FA protege la puerta, no la caja fuerte
Conviene situar primero qué hace el doble factor. El 2FA añade un segundo requisito al inicio de sesión: además de algo que sabes (la contraseña), pide algo que tienes (un código temporal o una llave). Aunque alguien robe tu contraseña en una filtración o por phishing, no podrá entrar sin ese segundo factor.
En cripto este detalle pesa más que en cualquier otro servicio. Una transacción en blockchain es irreversible: si un atacante accede a tu cuenta del exchange y retira los fondos, no hay banco que devuelva el dinero ni botón de deshacer. Por eso el segundo factor es la última línea de defensa antes de una pérdida que nadie va a reembolsar. Si algún término se te escapa, el glosario de criptomonedas aclara conceptos como phishing, seed phrase o custodia.
El 2FA por SMS es el método más vulnerable al SIM swap
El SMS es el método más cómodo y, justamente por eso, el más extendido y el más atacado. El problema es de raíz: el código llega a tu número de teléfono, no a tu dispositivo, y ese número es mucho más fácil de secuestrar de lo que parece.
El ataque tiene nombre: SIM swap (intercambio de SIM). Un delincuente reúne datos personales tuyos —a menudo filtrados o sacados de redes sociales— y se hace pasar por ti ante tu operadora para que porten tu número a una SIM que controla él. A partir de ahí, todos tus SMS, incluidos los códigos 2FA, le llegan a él; tú te quedas sin cobertura y, cuando lo notas, ya es tarde.
A esto se suma que el SMS viaja por una red telefónica con vulnerabilidades conocidas. Protege contra el ladrón perezoso, pero no contra el que va a por tu cartera de cripto en serio. Cabe recordar que es mejor que no tener nada, pero dentro del 2FA en criptomonedas debería ser tu última opción, no la primera.
La app TOTP genera el código dentro del teléfono
Las apps como Google Authenticator, Authy o Aegis usan un estándar llamado TOTP (Time-based One-Time Password): contraseña de un solo uso basada en el tiempo. Al activarlas, el exchange y la app comparten una clave secreta, y a partir de ahí ambos generan de forma independiente el mismo código de seis dígitos, que cambia cada treinta segundos.
La diferencia clave con el SMS es de fondo: el código se genera dentro de tu teléfono y nunca viaja por la red móvil. No hay número que secuestrar ni mensaje que interceptar. Un SIM swap deja de servir de nada, porque el atacante puede tener tu número pero no tu dispositivo ni la clave que vive en él.
Por eso la app TOTP es el mínimo razonable para cualquiera que guarde algo de valor en un exchange. Su único punto débil es práctico: si pierdes el teléfono sin haber guardado los códigos de respaldo, recuperar el acceso se complica. De ahí la importancia de custodiar esos códigos el día que activas el 2FA, no después.
La llave física FIDO2 resiste el phishing por diseño
El escalón más alto es la llave de seguridad física, un dispositivo USB o NFC como una YubiKey que usa el estándar FIDO2/U2F. Para iniciar sesión la conectas o la acercas al móvil y la tocas: la llave firma criptográficamente el acceso. Sin el dispositivo en la mano, no hay entrada.
Su gran ventaja es que resiste el phishing por diseño. La llave verifica el dominio real del sitio antes de firmar: si caes en una web falsa que imita a tu exchange, simplemente no funciona, porque la dirección no coincide. Un código TOTP, en cambio, sí puede teclearse por error en una página fraudulenta.
El precio de esa seguridad es práctico: la llave cuesta unas pocas decenas de euros, hay que llevarla encima y conviene tener una segunda de respaldo por si se pierde. Para quien custodia sumas relevantes, ese coste es ridículo frente a lo que protege. Un atacante no puede robarte por internet un objeto que está físicamente en tu llavero.
Llave física, app TOTP y SMS: la jerarquía de seguridad
Puestos a comparar los tres métodos con el dato delante, la lectura es nítida. Esta tabla resume sus diferencias:
| Método 2FA | Seguridad | Resiste SIM swap | Resiste phishing | Comodidad |
|---|---|---|---|---|
| SMS | Baja | No | No | Alta |
| App TOTP | Media-alta | Sí | Parcial | Media |
| Llave física FIDO2 | Muy alta | Sí | Sí | Media-baja |
La lectura de la tabla es clara: la llave física es la única que cubre los tres frentes, la app TOTP es el mínimo razonable y el SMS solo debería usarse cuando no hay otra opción. Lo habitual es reservar la llave para las cuentas con más fondos y dejar el TOTP como base en el resto.
Configurar el 2FA en criptomonedas lleva cinco minutos
El procedimiento es parecido en casi todos los exchanges y apenas lleva unos minutos:
- Entra en los ajustes de seguridad de tu cuenta y busca «autenticación de dos factores» o «2FA».
- Elige el método más fuerte que puedas usar: llave FIDO2 si tienes una, app TOTP como mínimo. Evita el SMS salvo que sea la única opción.
- Escanea el código QR con tu app de autenticación o registra la llave física siguiendo las instrucciones.
- Guarda los códigos de recuperación que te muestra la plataforma en un lugar seguro y offline. Son tu salvavidas si pierdes el teléfono o la llave.
- Confirma con un código de prueba para verificar que todo funciona antes de cerrar sesión.
Una vez activado el 2FA, conviene cerrar el resto de puertas: contraseña única y robusta, alerta ante correos y webs de phishing y, si manejas cantidades relevantes, dar el salto a la autocustodia. Repasar cómo proteger tu cuenta de exchange al completo cierra el círculo que el segundo factor empieza.
El 2FA cubre la cuenta, no las llaves de tu wallet
Conviene tener claro qué cubre realmente el segundo factor. El 2FA protege el acceso a tu cuenta del exchange, es decir, a las criptomonedas que custodia la plataforma por ti. No protege las que guardas en una wallet propia, donde lo que manda es tu seed phrase y no ninguna contraseña.
Por eso el viejo principio sigue vigente: no es tu cripto si no controlas las llaves privadas. El 2FA es imprescindible mientras tus fondos vivan en un exchange, pero la defensa definitiva sigue siendo mover lo que no vayas a operar a una wallet bajo tu control. Para sumas grandes, conviene incluso valorar esquemas como el multisig, que reparten el control en varias llaves.
El escenario que viene apunta a que el SMS irá quedando relegado a medida que más plataformas adopten las llaves físicas y los passkeys por defecto. Mientras tanto, la decisión prudente no cambia: activar hoy el 2FA más fuerte que puedas, retirar el SMS en cuanto tengas alternativa y recordar que la seguridad en cripto no es un botón, sino una cadena que solo aguanta lo que aguanta su eslabón más débil.
¿Tienes información para nuestro equipo?
Si conoces una noticia o tienes una filtración, escríbenos de forma confidencial.
