Números de teléfono antiguos en 2FA: la vulnerabilidad que nadie detecta

Muchas cuentas de pymes siguen vinculadas a números de teléfono de exempleados o de líneas canceladas hace años. Así lo solucionas en una tarde.

La verificación en dos pasos (2FA) está ya en todas partes: en tu banco, en tu software de contabilidad, en Microsoft 365, en tu plataforma de tienda online. Perfecto. Pero hay una puerta trasera que en muchas pymes lleva años abierta: el número de teléfono que registraste en su día como número de recuperación o para recibir códigos por SMS. Y ese número a menudo ya no es tuyo, o ya no pertenece a quien debería.

Por qué esto es un problema

Un número de móvil que cancelas no desaparece sin más. Tras un período de espera (normalmente entre 3 y 6 meses, según el operador) vuelve a la reserva y se reasigna a otra persona. El nuevo titular recibirá entonces también tus SMS, incluidos códigos de inicio de sesión y enlaces de restablecimiento de contraseña.

En concreto, estas son las situaciones que vemos con frecuencia en nuestros clientes pyme:

• El móvil del antiguo contable sigue registrado en el software de facturación como número de emergencia.
• Un teléfono de empresa fue devuelto, el número pasó al uso personal del empleado, y ese empleado ya no trabaja en la empresa.
• El director tiene un segundo móvil para uso personal, lo usó una vez "solo un momento" para recibir un SMS de recuperación, y lo olvidó por completo.
• El número general de recepción aparece en todos los sitios como copia de seguridad, mientras el dispositivo cambia de mano constantemente.

El resultado: alguien con el momento adecuado y el número correcto puede entrar usando "contraseña olvidada" + código SMS. Sin necesidad de hackear nada.

El segundo problema: el SMS es siempre el 2FA más débil

Además del problema de los números obsoletos, el 2FA por SMS es en sí mismo la variante menos segura. El SIM swapping (donde alguien se hace pasar por ti ante tu operador para solicitar una nueva SIM) ocurre con suficiente frecuencia como para tomarlo en serio. Un código generado por una app (Microsoft Authenticator, Google Authenticator, 1Password) o una llave de hardware es siempre una opción más segura.

Sin embargo, el SMS sigue siendo a menudo la única opción disponible: en bancos, en algunos servicios públicos, en portales más antiguos. En esos casos, es especialmente importante que el número asociado sea realmente el de la persona correcta.

La limpieza: cómo hacerlo en una tarde

1. Elabora una lista de cuentas con 2FA

No solo Microsoft 365 o Google Workspace. Piensa también en:

• Software de contabilidad (Exact, Moneybird, Twinfield)
• Portales bancarios y entornos de tarjetas de crédito
• Tienda online / CMS (Shopify, WooCommerce, WordPress)
• Registrador de dominios y proveedor de hosting
• Email marketing (Mailchimp, Spotler)
• Almacenamiento en la nube (Dropbox, OneDrive, Google Drive)
• CRM y software de gestión de proyectos
• Cuentas de redes sociales de la empresa

Un gestor de contraseñas te ofrece este resumen de un solo vistazo.

2. Inicia sesión y revisa la sección de "seguridad" en cada cuenta

Busca tres cosas:

• ¿Qué números de teléfono están registrados como método 2FA o como opción de recuperación?
• ¿Qué direcciones de correo electrónico están configuradas como opción de recuperación?
• ¿Qué códigos de respaldo se generaron en su momento y los tienes guardados en un lugar seguro?

3. Elimina todo lo que no puedas identificar

¿Tienes dudas sobre un número? Fuera. Si era importante, lo vuelves a añadir. Mejor dar un pequeño rodeo que dejar una línea desconocida abierta.

4. Sustituye el SMS por una app de autenticación siempre que sea posible

En prácticamente todos los servicios principales puedes desactivar el método por SMS en cuanto tengas activa una app de autenticación o una llave de hardware. Hazlo de verdad: de lo contrario, el SMS seguirá siendo un fallback que compromete toda la seguridad.

5. Documenta quién usa qué método

Un resumen sencillo en una hoja de cálculo (o mejor aún, como nota en tu gestor de contraseñas) es suficiente: para cada cuenta, el responsable, el método 2FA y el número o correo electrónico que sirve de copia de seguridad. Cuando un empleado deja la empresa, consultas esta lista, igual que harías con la transferencia de credenciales.

Qué hacer en cada cambio de personal

Incluye "revisar los números de 2FA" como parte fija de tu checklist de offboarding, junto con la revocación de accesos y la transferencia de contraseñas. Si lo haces de forma sistemática cuesta cinco minutos; si tienes que resolverlo a posteriori tras un incidente, puede llevarte horas.

Consejo: hazlo también cuando se produzca un cambio de rol dentro de la empresa. Un empleado que pasa del departamento financiero a marketing no debería seguir siendo número de recuperación del portal bancario.

La revisión anual

Reserva una vez al año (por ejemplo, en la limpieza de verano o en enero) medio día en la agenda para repasar todas las configuraciones de 2FA. Combínalo con tu revisión de accesos y la limpieza de cuentas huérfanas. Así eliminas tres riesgos de un solo golpe.

¿Necesitas ayuda?

¿Te cuesta identificar todas las cuentas existentes o no tienes claro si tu configuración de 2FA es lo suficientemente sólida? Ayudamos a pymes con esto regularmente a través de nuestra implementación de 2FA y una revisión de accesos más completa. Sin proyectos largos: normalmente unas pocas horas de trabajo bastan para saber exactamente dónde estás.