Si tienes criptomonedas en un exchange, probablemente hayas activado la verificación en dos pasos. Bien hecho. Pero hay una pregunta que la mayoría no se hace: ¿qué tipo de 2FA estás usando?
Porque no todos los métodos de verificación son iguales. Y elegir el equivocado puede dejarte igual de expuesto que no tener ninguno.
El 2FA por SMS sigue siendo el método más habitual en exchanges de todo el mundo. También es, con diferencia, el más vulnerable. En 2024, los ataques que explotan esta debilidad se dispararon un 1.055% en el Reino Unido en un solo año. En Estados Unidos, una operadora fue condenada a pagar 33 millones de dólares después de que un solo ataque de este tipo drenara la cuenta de criptomonedas de un usuario.
La diferencia entre SMS y una app de autenticación no es un detalle técnico menor. Es la diferencia entre una cerradura de seguridad y una con llave debajo del felpudo.
Qué es el 2FA y por qué existe
El 2FA (autenticación en dos factores) es una capa adicional de seguridad que se suma a tu contraseña. La idea es simple: para acceder a tu cuenta, necesitas algo que sabes (tu contraseña) más algo que tienes (un código temporal).
Su propósito es claro: si alguien roba tu contraseña, sigue sin poder entrar sin ese segundo factor. En exchanges de criptomonedas, donde no existe un banco central que revierta transacciones fraudulentas, esta capa extra no es opcional. Es la diferencia entre recuperar tus fondos o perderlos para siempre.
El problema es que no todos los métodos de 2FA ofrecen la misma protección real.
Cómo funciona el 2FA por SMS (y dónde falla)
Cuando activas el 2FA por SMS, el exchange te envía un código de 6 dígitos por mensaje de texto cada vez que inicias sesión o realizas una operación sensible. Parece seguro. Y durante años lo fue, relativamente.
El punto débil no está en la tecnología. Está en la operadora de telecomunicaciones.
Para que el SMS llegue a ti, tu operadora tiene que saber cuál es tu tarjeta SIM. Y ese sistema tiene una vulnerabilidad conocida como SIM swapping: un atacante llama a tu operadora, se hace pasar por ti, y consigue que transfieran tu número de teléfono a una SIM que él controla.
A partir de ese momento, todos los SMS que te envíen, incluidos los códigos de verificación de tu exchange, llegan directamente al atacante. Tú, mientras tanto, ves cómo tu teléfono pierde cobertura sin saber por qué.
El proceso completo puede durar menos de 30 minutos. Para cuando lo detectas, ya es tarde.
Los números que no dejan lugar a dudas
Los datos de los últimos dos años dibujan un panorama preocupante:
- Los ataques de SIM swapping en el Reino Unido aumentaron un 1.055% entre 2023 y 2024, pasando de 289 casos a casi 3.000
- En Estados Unidos, el FBI registró casi 26 millones de dólares en pérdidas directas por este tipo de ataques solo en 2024
- Los ataques de SIM swapping representaron el 19% de los hackeos relevantes a exchanges en 2025
- En marzo de 2025, la operadora T-Mobile fue condenada a pagar 33 millones de dólares tras un ataque que drenó aproximadamente 38 millones en criptomonedas de un único usuario
Y estos son solo los casos denunciados. Los expertos estiman que la mayoría no se reportan.
Cómo funciona el 2FA por app (y por qué es diferente)
Las apps de autenticación como Google Authenticator, Authy o Microsoft Authenticator funcionan de forma completamente diferente. En lugar de depender de tu operadora, generan códigos directamente en tu dispositivo usando un algoritmo matemático sincronizado con el servidor del exchange.
La clave está en que esos códigos se generan offline, sin conexión a internet ni a la red de telefonía. No hay ningún mensaje que interceptar. No hay ninguna operadora que engañar. El código existe solo en tu teléfono y caduca en 30 segundos.
Para robar ese código, un atacante necesitaría tener acceso físico a tu dispositivo, o instalar malware en él. Son ataques significativamente más complejos y costosos de ejecutar que una simple llamada a una operadora.
Comparativa directa: SMS vs app de autenticación
| Característica | 2FA por SMS | App de autenticación |
|---|---|---|
| Cómo genera el código | Enviado por tu operadora | Generado localmente en tu dispositivo |
| Requiere conexión | Sí (red móvil) | No (funciona offline) |
| Vulnerable a SIM swapping | Sí | No |
| Vulnerable a phishing | Parcialmente | Más resistente |
| Funciona sin cobertura | No | Sí |
| Nivel de seguridad | Básico | Alto |
| Dificultad de configuración | Muy fácil | Fácil |
La conclusión es clara: la app de autenticación es superior en prácticamente todos los aspectos relevantes. El único argumento a favor del SMS es la comodidad inicial, que desaparece en cuanto configuras la app una sola vez.
El método más seguro de todos: las llaves de seguridad físicas (FIDO2)
Si el 2FA por app ya es mucho mejor que el SMS, existe un tercer nivel que va aún más allá: las llaves de seguridad físicas compatibles con el estándar FIDO2, como las YubiKey.
Estos dispositivos, del tamaño de un pendrive, generan una firma criptográfica única cada vez que los conectas. No hay código que copiar ni que robar. El atacante necesitaría tener físicamente la llave en su mano.
Es el método recomendado para carteras con importes elevados. Su inconveniente es el precio (entre 30 y 100 euros) y que no todos los exchanges lo soportan aún. Kraken y Coinbase están entre los que sí lo permiten.
Para la mayoría de usuarios, la app de autenticación ofrece una relación comodidad/seguridad difícilmente superable. Las llaves físicas son el siguiente paso para quienes manejan cantidades relevantes.
Qué exchanges usan cada sistema por defecto
No todos los exchanges facilitan de la misma forma el cambio a métodos más seguros:
- Binance: ofrece 2FA por SMS, Google Authenticator y llaves de seguridad físicas. Recomiendan activamente el uso de la app.
- Kraken: permite SMS, app de autenticación y llaves FIDO2. Uno de los exchanges con mejor historial en seguridad del sector.
- Coinbase: soporta SMS, app de autenticación y llaves físicas. En 2025 sufrió un ataque de ingeniería social que comprometió datos de algunos usuarios, aunque no relacionado con el 2FA.
- Bitvavo: ofrece autenticación por app y SMS. Muy utilizado en Europa por su regulación bajo MiCA.
- Bit2Me: permite 2FA por app, recomendado especialmente por ser el único exchange español con licencia MiCA completa.
Si usas alguno de estos exchanges y tienes activado el SMS, el cambio a una app de autenticación se hace en menos de 5 minutos desde los ajustes de seguridad de tu cuenta.
Cómo activar el 2FA por app paso a paso
El proceso es prácticamente igual en todos los exchanges:
- Descarga Google Authenticator o Authy en tu móvil (ambas gratuitas)
- Entra en los ajustes de seguridad de tu exchange
- Busca la opción «Autenticación en dos pasos» o «2FA»
- Selecciona «App de autenticación» en lugar de SMS
- Escanea el código QR que aparece en pantalla con la app
- Introduce el código de 6 dígitos que genera la app para confirmar
Nota importante: Este sigue siendo el único hackeo confirmado que ha afectado directamente al exchange.
El error que comete mucha gente al activar el 2FA
Activar el 2FA es el primer paso, pero hay un fallo habitual que anula parte de su utilidad: vincular la recuperación de la cuenta al mismo número de teléfono que usas para el SMS.
Si un atacante hace SIM swapping de tu número, no solo intercepta los SMS de verificación, sino también los mensajes de recuperación de contraseña. El resultado es que puede tomar el control de tu cuenta incluso aunque tengas activado el 2FA por app, si la opción de recuperación sigue siendo el SMS.
La solución es revisar los ajustes de recuperación de cada exchange y asegurarte de que no dependen exclusivamente de tu número de teléfono.
Conclusión: el cambio más sencillo con mayor impacto en tu seguridad
En seguridad, pocas decisiones tienen una relación tan favorable entre esfuerzo y resultado como pasar del 2FA por SMS a una app de autenticación. Cinco minutos de configuración que eliminan uno de los vectores de ataque más explotados en el sector cripto hoy.
El 2FA por SMS no es inútil. Es infinitamente mejor que no tener ninguna verificación adicional. Pero en un entorno donde los ataques de SIM swapping se han multiplicado más de diez veces en un solo año, usarlo como única barrera en una cuenta con criptomonedas es un riesgo evitable.
La app de autenticación es el estándar mínimo recomendable. Si tienes cantidades relevantes en un exchange, añadir una llave de seguridad física es el siguiente paso lógico.
Porque en criptomonedas, a diferencia de la banca tradicional, no existe un servicio de atención al cliente que revierta lo que ya ocurrió.
Aviso legal: Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento financiero ni recomendación de inversión. La inversión en criptomonedas conlleva un alto nivel de riesgo. Consulta siempre con un profesional cualificado antes de tomar decisiones de inversión.