El 2FA por SMS no solo es inseguro, también es hostil para quienes viven en zonas montañosas

 (blog.stillgreenmoss.net)
1 puntos por GN⁺ 2025-05-15 | 1 comentarios | Compartir por WhatsApp
  • El 2FA basado en SMS no solo es inseguro, sino que también causa grandes molestias a quienes viven en zonas montañosas
  • En áreas montañosas con señal celular débil, es difícil recibir los códigos de verificación enviados por SMS
  • El simple hecho de usar llamadas por wifi o un smartphone no resuelve el problema del 2FA
  • El método TOTP (contraseña de un solo uso basada en el tiempo) podría ser una alternativa, pero el acceso a la configuración inicial no es sencillo
  • Se explica la situación absurda que enfrentan millones de personas que viven en zonas montañosas durante el proceso de inicio de sesión en sitios web

Resumen del problema

  • La amiga del autor es una mujer de unos 70 años que vive en una zona montañosa de Carolina del Norte
  • No le gustan las computadoras, pero usa un smartphone y participa en chats grupales de Signal para mantenerse en contacto con su comunidad
  • Durante mucho tiempo usó teléfono fijo, que además es compatible con su audífono
  • Spectrum tiene un monopolio local de telecomunicaciones, y ella usa tanto el teléfono fijo como el internet por cable a través de Spectrum

Problemas con el servicio celular y el 2FA por SMS

  • Hace algunos años contrató servicio móvil con Spectrum Mobile, que usa la red de Verizon
  • En su casa casi no hay señal celular. Está a 20 minutos en auto del centro urbano y tiene muchos vecinos cerca
  • Todas sus cuentas principales (correo electrónico, banco, seguro médico, etc.) intentan enviar códigos 2FA por SMS
  • Los códigos SMS no llegan. En su casa falta cobertura celular, y aunque active las llamadas por wifi, los SMS de seguridad enviados desde números cortos (de 5 dígitos) no llegan
  • Usa un iPhone reciente y equipo provisto oficialmente, y sabe usarlo bien

Búsqueda de alternativas y sus límites

  • Algunos teléfonos fijos ofrecidos por ISP tienen una función que lee los SMS con voz de computadora, pero Spectrum no la ofrece
  • Algunos sitios permiten cambiar a 2FA con TOTP, pero para hacerlo primero hay que poder acceder en el momento del inicio de sesión inicial
  • Procedimiento engorroso para intentar resolverlo:
    • Hacer una lista de los sitios donde falla el inicio de sesión
    • Salir al pueblo para reunirse con una amiga e intentar resolver el problema
    • Probar uno por uno cambiar a TOTP u otros métodos; algunos ni siquiera lo permiten
    • Intentar contactar al servicio al cliente, aunque es difícil o imposible comunicarse

Alternativas prácticamente inviables

  • Portar el número a VOIP para buscar una forma de recibir SMS de números cortos
  • Gastar cientos de dólares para instalar un amplificador de señal celular
  • Incluso considerar mudarse de casa
  • Se señala lo irracional que es necesitar todo ese proceso para poder iniciar sesión una sola vez

Problemas de confiabilidad en los mapas de cobertura celular

  • En el mapa de cobertura de Spectrum, su casa y alrededores aparecen con servicio perfecto
  • En la práctica, no hay servicio en la casa, y con solo moverse 100 metros la señal desaparece

Una dificultad compartida por muchísimas personas que viven en zonas montañosas

  • Un amigo millennial también dice que “el 2FA por SMS es un sufrimiento en la vida”
  • Incluso en lugares que no son valles remotos, hay problemas causados por el 2FA por SMS

Límites y dificultades del método TOTP

  • TOTP tampoco es perfecto
    • Requiere instalar una app aparte
    • El proceso de elegir qué app usar es complejo y está lleno de explicaciones técnicas

Conclusión y dimensión del problema

  • El 2FA por SMS se usa ampliamente porque su UX es intuitiva y tiene cierta confiabilidad
  • Sin embargo, 1.1 millones de personas en las montañas de Carolina del Norte y 25 millones en toda Appalachia, entre muchos millones más, viven en condiciones deficientes
  • Aunque tienen internet, la señal de celular es muy mala
  • Falta ofrecer alternativas razonables o consideración para las personas que viven en estas regiones

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-05-15
Comentario de Hacker News

  • Es interesante que una de las otras opciones que ella podría elegir es portar su número de teléfono móvil a un proveedor de VOIP que pueda recibir SMS por Wi‑Fi, pero descubrió que algunas empresas no envían códigos SMS-OTP a números VOIP por razones de "seCuRiDaD" o exigen que el número esté registrado a su nombre; creo que esas restricciones deberían ser ilegales, un número es solo un número; con Wi‑Fi calling activado sí recibe SMS de amigos o familiares, pero los códigos 2FA siguen sin llegar; yo pensaba que SMS sobre IMS se implementaba de forma transparente para los remitentes externos, aunque tampoco me sorprende, porque el protocolo SMS en sí está terriblemente mal hecho

    • Creo que puedo explicar cómo funciona el sistema SMS: este sistema simplemente envía mensajes “a ciegas”; si el destinatario está desconectado o sin señal, el carrier almacena el mensaje durante unos 3 a 7 días; los sistemas OTP hacen verificaciones de alcance con APIs como Vonage o Twilio, pero esa verificación no es perfecta; si algo parece raro, el mensaje no se envía; esta forma de trabajar existe para ahorrar costos de mensajería; me parece absurdo que eso también se aplique a números ya verificados

    • Hablando desde la perspectiva europea, bajo la directiva financiera PSD2 ya solo se permiten SMS para 2FA a números que ya pasaron por KYC; al final, el 2FA actúa como una firma electrónica que prueba “algo que tienes”, y ese algo es un número telefónico verificado en identidad; se enfatiza que el SMS es el único método de 2FA que puede aplicarse fácilmente a toda la población, regiones y tipos de dispositivo

    • Me parece totalmente absurdo que esas mismas empresas solo permitan SMS como 2FA pero no lo envíen a VOIP; probablemente todas pasen por algún servicio específico para enviar SMS y ese servicio bloquea VOIP; casi todos los bancos exigen obligatoriamente SMS 2FA, pero en otros lugares que sí soporten apps resulta rarísimo

    • Recién en 2025 un número telefónico sigue siendo una de las pocas formas de mitigar, aunque sea un poco, el problema de Sybil (que una sola persona cree muchas cuentas); permite verificar algo de identidad incluso sin un proceso KYC real

    • He usado Wi‑Fi calling solo para recibir SMS de 2FA, con una combinación de RedPocket (MVNO) y T-Mobile, sin ningún problema; en esa zona no había señal directa de T-Mobile, así que solo podía recibir SMS por Wi‑Fi; además el plan era barato; eso sí, hubo problemas con teléfonos viejos, como falta de soporte de bandas

    • Por la naturaleza de cómo se reciben los mensajes, los de amigos y familia llegan como P2P, mientras que los de 2FA son A2P, de máquina a persona; el manejo de ambos métodos claramente es distinto

    • Aunque portes tu número a un proveedor VOIP, creo que del lado del emisor no pueden distinguir si ese número es móvil o VOIP; yo he hecho ese tipo de portabilidad y aun así sigo recibiendo bien los SMS 2FA

    • Si usas distintos servicios bancarios, algunos envían tokens SMS a Google Voice sin ningún problema, mientras que otros solo permiten SMS de Google Voice pasando por atención al cliente; las políticas parecen totalmente aleatorias; incluso hay casos en que no lo envían por el canal normal pero sí te leen exactamente el mismo código por llamada automática de voz; la política de seguridad parece al azar

    • La opción de recibir códigos SMS-OTP por VOIP termina siendo una mala idea; funcionará por poco tiempo y al final lo bloquearán cuando refuercen las políticas de seguridad; en realidad, todas estas medidas no buscan proteger al usuario, sino poner barreras para frenar el flujo interminable de spam y tráfico fraudulento; tener un número telefónico real está funcionando como una especie de “Proof of Work”, y en la práctica no hay alternativa

    • El problema es el propio sistema SMS, así que toda esta discusión no tiene sentido; la opinión es que usar SMS debería ser ilegal

  • Con una microcelda/femtocelda es muy efectivo en lugares con señal débil, como una casa u oficina; si contactas al proveedor y le dices que tienes mala señal, te envían gratis un AP (Access Point) que convierte internet → celular; estos dispositivos tienen entrada RJ-45 y antena GPS, así que incluso soportan datos de ubicación e911; nuestra tienda también estaba en un valle y con paredes metálicas, así que antes había que subir la colina para poder llamar, pero después de pedir una femtocelda a cada operador y hacer que la instalaran, cualquiera podía usarlo con normalidad al cambiar automáticamente a la red del ISP; también funciona con MVNO; eso sí, para usar la femtocelda tal vez tengas que usar el servicio directo del operador y no un MVNO

    • Parece que T-Mobile ya no soporta ese equipo llamado microcelda; se menciona su página de soporte

    • Las femtoceldas también tienen desventajas: necesitan señal GPS obligatoriamente, así que en zonas montañosas es difícil que funcionen; usé femtoceldas durante años y a veces dejaban de funcionar sin razón aparente y sin decir por qué

    • Recibí gratis un 4G LTE Network Extender de Verizon; un problema es que la conexión se corta al salir de la casa; una vez estaba llamando al 911 y se perdió la señal mientras me movía; cuando sales del alcance operativo, la llamada se interrumpe hasta que vuelva a conectarse; después Verizon me contactó para corregir la información de ubicación

    • Sorprende que las grandes telefónicas acepten que cualquiera opere torres celulares (microceldas) conectadas a ISPs no verificados; normalmente son empresas obsesionadas con el control de marca, pero en esto son increíblemente permisivas

  • Cuando estoy en roaming internacional, dejo la SIM guardada en mi teléfono Android de casa, conectado a la corriente, y uso una app que reenvía los SMS por API; así puedo recibir todos los SMS por correo electrónico; llevo años usando este método sin problemas; también es cómodo para recibir SMS de OTP en la computadora; no recibe MMS, pero no hace falta

    • A este método lo llaman “2FA Mule”; lo he usado por más de 4 años y me parece que funciona muy bien; es una buena opción

    • Si tienes un teléfono con dual SIM y Wi‑Fi calling, puedes usar una eSIM solo de datos en el país que visitas y seguir recibiendo SMS con tu SIM original

    • Yo hice algo parecido: dejé un Android en casa y desde la laptop entraba a un servicio de mensajería web para recibir SMS; hoy en día los SMS también funcionan por Wi‑Fi calling, así que no necesariamente es un problema

    • Dicen que los teléfonos Android podrían cambiar para reiniciarse automáticamente cada 3 días, así que este método podría dejar de servir pronto

    • No entiendo por qué esto estaría relacionado con el roaming; he hecho roaming muchas veces en Europa y en otros lugares, y nunca tuve problemas para recibir SMS

  • Este artículo es un poco de nicho: parece que el código SMS 2FA llegó justo al contratar el servicio celular, pero en realidad primero hay que completar el registro del 2FA y luego salir afuera para que el código pueda activarse; TOTP tampoco es tan difícil en realidad; basta con elegirles una app y ayudarles a imprimir los códigos de respaldo, y se resuelve sin mayor problema

  • Google Fi puede recibir por Wi‑Fi todos los SMS de autenticación secundaria, incluidos los de números cortos; incluso si el teléfono está apagado o roto, se pueden recibir en cualquier dispositivo desde el navegador web; me gusta mucho esta función; el servicio empieza en 20 dólares al mes; antes funcionaba muy bien en zonas montañosas por su alianza con US Cellular, pero últimamente la situación ha cambiado porque en cierta medida quedó absorbido por T-Mobile

    • He vivido 12 años fuera de EE. UU., y antes de adoptar Google Fi siempre tenía problemas con los SMS; muchos bancos insisten en la autenticación por SMS, pero los números virtuales VOIP tienen dos problemas: (1) algunos bancos rechazan el servicio por seguridad y (2) por razones técnicas no pueden recibir SMS; Google Fi incluso hace bypass por Wi‑Fi cuando no hay servicio celular, así que funciona bien; eso sí, después de un mes fuera de EE. UU. se corta el uso de datos, pero con que siga sirviendo para SMS/voz es suficiente

    • Me pregunto si se puede usar RCS y “messages for web”; antes había que activar Fi Sync para poder usar texto/voz incluso con el celular apagado, pero en ese caso RCS se desactivaba; quiero saber si eso sigue siendo así y en qué URL se puede usar texto/voz

  • Coincido con la idea de que las expectativas del usuario son excesivas; por ejemplo, al rentar un scooter Lime, por un error en la configuración del VPN no tenía internet y no pude completar la devolución; como el GPS detectó que el vehículo estaba detenido, me reembolsaron el cobro extra, pero si se me hubiera apagado la batería del teléfono habría sido un problema; cuando uno se mueve necesita prever estos casos inesperados

    • Si usas los nuevos casilleros de paquetería de DHL en Alemania, verás que no tienen pantalla y solo funcionan con app; requieren Bluetooth e internet al mismo tiempo; como el propio casillero ya tiene internet, me parece un requisito innecesario desde la app

  • Siempre habrá elementos hostiles para ciertos grupos; tampoco existe un método 2FA perfecto y cada uno tiene sus incomodidades El SMS 2FA es débil en seguridad, pero es el más usado y el más fácil de recuperar Las apps tipo TOTP son más seguras, pero recuperar el acceso al perder o cambiar de dispositivo es difícil Los tokens de hardware como Yubikey cuestan dinero y también tienen problemas de recuperación Creo que la forma más segura sería que el gobierno federal operara un sistema centralizado de autenticación por hardware (de hecho, el Departamento de Defensa de EE. UU. usa tarjetas CaC), pero en Estados Unidos sería muy difícil implementarlo por controversias de privacidad y presupuesto; el SMS 2FA es hostil para zonas montañosas y similares, pero en realidad ningún 2FA es perfecto

    • La privacidad en la autenticación importa en ciertos casos, como por ejemplo votar, pero en situaciones donde lo importante es demostrar claramente que eres tú —como en la banca— no creo que la preocupación por privacidad aplique tanto

    • Yubikey y similares pueden parecer difíciles de recuperar, pero si registras varias llaves, perder una se resuelve usando otra para registrar una nueva

  • Si instalas la app de Google Voice, algunos servicios de 2FA sí la soportan, pero otros no; algunos servicios rechazan números GV; GV puede recibir SMS por Wi‑Fi; antes, si pedías una femtocelda a la compañía celular, eran baratas, pero ahora están descontinuadas y llegan a costar hasta 2500 dólares; también puedes registrarte en mightytext.net para recibir SMS en la computadora, aunque no estoy seguro de si funciona sin señal celular; lo uso porque escribir SMS con el teclado de la laptop es más cómodo que con los dedos

    • También se puede conectar un módem USB a una computadora, dejarlo en un lugar donde sí haya señal y acceder por internet; yo uso algo parecido al revés con una Raspberry Pi para monitoreo remoto; durante el prototipo también parseaba SMS; no es para todo el mundo, pero lo comparto al estilo HN

    • mightytext.net no funciona si el teléfono no tiene señal; solo el carrier puede retransmitir mensajes; además es difícil integrarlo con todos los carriers de EE. UU. y hay limitaciones técnicas importantes; solo el servicio de SMS satelital de Apple puede acceder directamente al router SMS para hacer esa retransmisión

    • Una de las ventajas de este método es que puedes proteger el acceso al SMS con MFA (autenticación multifactor)

  • TOTP, HOTP y similares pueden implementarse sin datos de identificación personal como un número telefónico; el SMS requiere un número, y si ese número está vinculado a tu información personal, tiene mucho más valor para marketing o agregación de datos

    • En la mayoría de los lugares que exigen autenticación por SMS ya conocen tus datos personales, como nombre y dirección (por ejemplo, finanzas, licencias, instituciones médicas, etc.), así que la controversia sobre agregación de datos para marketing en la práctica no significa mucho; si algo como TikTok insiste en pedir número, usas uno desechable o te niegas

    • TOTP/HOTP no puede ofrecer la propiedad WYSIWYS (“firmar lo que ves”) para cosas como “estoy intentando pagar este monto a este comercio”; en pagos bancarios hace falta una confirmación directa; de hecho, en la UE WYSIWYS podría ser un requisito regulatorio, por lo que harían falta apps bancarias dedicadas para cubrir ese vacío temporal; pienso que los estándares actuales, como WebAuthN, no bastan, y que se necesitan nuevos métodos como extensiones SPC y autenticadores de hardware

  • Yo también vivo en zona rural y a veces tengo el problema de que no llegan los códigos SMS; unos días llegan bien y otros no, y no entendía por qué; este texto me aclara perfectamente la causa; normalmente uso el servicio Spectrum tanto para Wi‑Fi como para móvil, y como dependo de Wi‑Fi según la intensidad de señal, ese era el origen del problema