"Tengo MFA activada" suena tranquilizador, pero esconde una pregunta importante: ¿MFA de qué tipo? Porque no todos los segundos factores protegen igual. Van desde el código por SMS —mejor que nada, pero el más débil de la familia— hasta las llaves físicas, prácticamente a prueba de phishing. Elegir bien, cuando puedes, marca una diferencia real. Este es el spoke de tipos del cluster de MFA.
MFA por SMS: el más común y el más débil
El código que te llega por mensaje de texto es la forma más extendida, porque es cómoda: todos tienen un celular con número. Y hay que decirlo claro: MFA por SMS es muchísimo mejor que no tener MFA. Pero es el eslabón más débil de la familia, por dos razones. Una, el SIM swapping: un atacante puede engañar a la telefónica para pasar tu número a un chip suyo y recibir él tus códigos. Dos, los SMS pueden interceptarse por otras vías. No es que el SMS sea inútil —detiene al atacante casual—, pero contra un ataque dirigido es el que más flaquea. Si es tu única opción, úsalo; si puedes subir de nivel, hazlo.
MFA por correo: cuidado con la circularidad
Recibir el código en tu correo es otra opción común, y tiene un problema conceptual que a veces se pasa por alto: si tu correo es lo que estás protegiendo, o si tu correo ya está comprometido, el segundo factor no protege nada. El atacante que controla tu correo recibe también los códigos. Además, "algo que tienes" se difumina: el correo se abre desde cualquier dispositivo. La MFA por correo sirve para proteger otros servicios distintos de ese correo, y siempre que la cuenta de correo tenga a su vez su propia MFA fuerte. Es un factor aceptable en ciertos casos, pero no el más sólido.
MFA por app (OTP y push): el punto dulce
Aquí está, para la mayoría de la gente, el mejor equilibrio entre seguridad y comodidad: una app de autenticación en tu teléfono. Funciona de dos formas. Una, generando un código OTP que cambia cada 30 segundos y que —dato clave— funciona sin internet y no viaja por ninguna red interceptable. Dos, con notificaciones push: la app te pregunta "¿eres tú quien intenta entrar?" y apruebas con un toque. Es más segura que el SMS (no hay número que secuestrar) y más cómoda que teclear un código. Es la opción que recomendaríamos por defecto, y la razón por la que apps como Microsoft Authenticator se volvieron tan populares.
Llaves físicas (FIDO): lo más fuerte
En la cima están las llaves de seguridad físicas (los estándares FIDO2/U2F): un dispositivo que conectas o acercas y que confirma tu identidad criptográficamente. Su gran virtud es que son resistentes al phishing por diseño: la llave verifica que estás en el sitio real y no en una copia falsa, algo que un código puede no distinguir. Son el estándar de oro para cuentas de altísimo valor. Su costo y la fricción de cargar un dispositivo hacen que no sean para todos ni para todo, pero para lo más crítico, no hay mejor.
La regla práctica
Ordénalos mentalmente: nada < SMS < correo < app (OTP/push) < llave física. La conclusión no es "si no puedes tener una llave física, no hagas nada" —al contrario, cualquier MFA es un salto enorme frente a solo contraseña—. La conclusión es: usa el factor más fuerte que sea práctico para cada caso. Para el día a día, una app de autenticación es el punto dulce que deberías preferir sobre el SMS siempre que puedas elegir. Y para las joyas de la corona, considera una llave física.