IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)

14/07/2026 4 min de lectura Rubén Espinoza

"Tengo MFA activada" suena tranquilizador, pero esconde una pregunta importante: ¿MFA de qué tipo? Porque no todos los segundos factores protegen igual. Van desde el código por SMS —mejor que nada, pero el más débil de la familia— hasta las llaves físicas, prácticamente a prueba de phishing. Elegir bien, cuando puedes, marca una diferencia real. Este es el spoke de tipos del cluster de MFA.

MFA por SMS: el más común y el más débil

El código que te llega por mensaje de texto es la forma más extendida, porque es cómoda: todos tienen un celular con número. Y hay que decirlo claro: MFA por SMS es muchísimo mejor que no tener MFA. Pero es el eslabón más débil de la familia, por dos razones. Una, el SIM swapping: un atacante puede engañar a la telefónica para pasar tu número a un chip suyo y recibir él tus códigos. Dos, los SMS pueden interceptarse por otras vías. No es que el SMS sea inútil —detiene al atacante casual—, pero contra un ataque dirigido es el que más flaquea. Si es tu única opción, úsalo; si puedes subir de nivel, hazlo.

MFA por correo: cuidado con la circularidad

Recibir el código en tu correo es otra opción común, y tiene un problema conceptual que a veces se pasa por alto: si tu correo es lo que estás protegiendo, o si tu correo ya está comprometido, el segundo factor no protege nada. El atacante que controla tu correo recibe también los códigos. Además, "algo que tienes" se difumina: el correo se abre desde cualquier dispositivo. La MFA por correo sirve para proteger otros servicios distintos de ese correo, y siempre que la cuenta de correo tenga a su vez su propia MFA fuerte. Es un factor aceptable en ciertos casos, pero no el más sólido.

MFA por app (OTP y push): el punto dulce

Aquí está, para la mayoría de la gente, el mejor equilibrio entre seguridad y comodidad: una app de autenticación en tu teléfono. Funciona de dos formas. Una, generando un código OTP que cambia cada 30 segundos y que —dato clave— funciona sin internet y no viaja por ninguna red interceptable. Dos, con notificaciones push: la app te pregunta "¿eres tú quien intenta entrar?" y apruebas con un toque. Es más segura que el SMS (no hay número que secuestrar) y más cómoda que teclear un código. Es la opción que recomendaríamos por defecto, y la razón por la que apps como Microsoft Authenticator se volvieron tan populares.

Llaves físicas (FIDO): lo más fuerte

En la cima están las llaves de seguridad físicas (los estándares FIDO2/U2F): un dispositivo que conectas o acercas y que confirma tu identidad criptográficamente. Su gran virtud es que son resistentes al phishing por diseño: la llave verifica que estás en el sitio real y no en una copia falsa, algo que un código puede no distinguir. Son el estándar de oro para cuentas de altísimo valor. Su costo y la fricción de cargar un dispositivo hacen que no sean para todos ni para todo, pero para lo más crítico, no hay mejor.

La regla práctica

Ordénalos mentalmente: nada < SMS < correo < app (OTP/push) < llave física. La conclusión no es "si no puedes tener una llave física, no hagas nada" —al contrario, cualquier MFA es un salto enorme frente a solo contraseña—. La conclusión es: usa el factor más fuerte que sea práctico para cada caso. Para el día a día, una app de autenticación es el punto dulce que deberías preferir sobre el SMS siempre que puedas elegir. Y para las joyas de la corona, considera una llave física.

#ciberseguridad #mfa #sms #otp

Preguntas frecuentes

¿Debo dejar de usar MFA por SMS entonces?

No necesariamente dejarla, pero sí preferir una app de autenticación cuando el servicio la ofrezca. La MFA por SMS sigue siendo muchísimo mejor que no tener MFA y detiene la mayoría de los ataques oportunistas. El punto es que, si puedes elegir, una app es más segura y cómoda. Reserva el SMS para cuando sea la única opción disponible.

¿Qué es el SIM swapping?

Es un fraude en el que el atacante convence a tu compañía telefónica de transferir tu número a un chip que él controla, haciéndose pasar por ti. Una vez que tiene tu número, recibe tus llamadas y mensajes, incluidos los códigos de MFA por SMS. Es la razón principal por la que el SMS es el factor más débil. Las apps de autenticación no dependen de tu número, así que no son vulnerables a esto.

¿Por qué una llave física resiste el phishing mejor que un código?

Porque la llave verifica criptográficamente que estás en el sitio legítimo y no en una copia falsa; si la dirección no coincide, simplemente no funciona. Un código, en cambio, lo puedes teclear en un sitio de phishing sin darte cuenta, y el atacante lo reenvía al sitio real. La llave elimina ese engaño por diseño, por eso es el factor más resistente al phishing.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
MFA a fondo: el segundo candado que detiene casi todos los robos de cuenta