En un movimiento audaz para mejorar la seguridad digital, Google ha decidido eliminar los SMS como método de autenticación en dos pasos para Gmail, reemplazándolos por códigos QR. Este cambio responde a la creciente ola de fraudes cibernéticos, que aprovechan las vulnerabilidades de los mensajes de texto para robar identidades y credenciales bancarias.
Pero, ¿realmente los códigos QR son la solución definitiva contra el phishing? ¿Qué implica este cambio para los usuarios y qué otras estrategias deben adoptar para reforzar su seguridad en línea? En este artículo, exploramos el impacto de esta decisión, los riesgos de los SMS y cómo protegerse de las estafas digitales.
Los SMS: Un método inseguro para la autenticación
Hasta ahora, el proceso de autenticación en Gmail utilizaba mensajes de texto (SMS) para enviar un código de verificación, especialmente cuando se realizaba un restablecimiento de contraseña o al iniciar sesión en un nuevo dispositivo. Aunque en su momento fue una capa de seguridad adicional, este sistema ha sido duramente criticado por su vulnerabilidad.
Principales riesgos de los SMS en la autenticación:
Intercambio de SIM (Intercambio de SIM): Los ciberdelincuentes clonan una tarjeta SIM y transfieren el número de teléfono de la víctima a otro dispositivo. Con esto, interceptan los SMS de autenticación y toman el control de cuentas bancarias, redes sociales y correos electrónicos.
Ataques de Phishing por SMS (Smishing): Mediante mensajes fraudulentos, los estafadores envían enlaces falsos que redirigen a páginas que imitan las de Google o bancos. Una vez que la víctima ingresa sus datos, los atacantes obtienen acceso total a la cuenta.
Intercepción de mensajes: Algunas vulnerabilidades en redes móviles permiten a los atacantes espiar mensajes SMS, especialmente en sistemas antiguos o cuando se usan redes públicas no seguras.
Distribución de malware: En algunos casos, los SMS son utilizados para distribuir enlaces maliciosos que instalan software espía en el dispositivo de la víctima.
Debido a estos riesgos, Google ha decidido reemplazar los SMS por códigos QR , una estrategia que promete mejorar significativamente la seguridad de las cuentas de Gmail.
La solución de Google: Códigos QR para mayor seguridad
En una reciente declaración a Forbes , Google confirmó que está trabajando en un nuevo método de autenticación basado en códigos QR . En lugar de recibir un código por SMS, los usuarios deberán escanear un código QR con la cámara de su teléfono inteligente para completar la verificación de identidad.
¿Por qué los códigos QR son más seguros?
Difíciles de interceptar: A diferencia de los SMS, que pueden ser clonados o redirigidos, un código QR genera una verificación instantánea y única en el dispositivo del usuario, reduciendo el riesgo de robo de credenciales.
No depende de redes móviles: Al no necesitar una línea telefónica, evita ataques de intercambio de SIM y no se ve afectado por problemas en la red de operadores.
Mayor rapidez y comodidad: El proceso de escaneo de un código QR es más rápido que escribir un código manualmente, lo que mejora la experiencia del usuario sin comprometer la seguridad.
Menos phishing dirigido: Los ataques de smishing dependen de engañar a los usuarios para que ingresen códigos en sitios fraudulentos. Con los códigos QR, se elimina este riesgo, ya que el escaneo solo ocurre dentro del ecosistema de Google.
Esta nueva estrategia se implementará progresivamente en los próximos meses, marcando una nueva etapa en la autenticación digital.
A pesar de que la eliminación de los SMS es un gran avance, el phishing sigue siendo una amenaza constante. De hecho, con el aumento de la inteligencia artificial, los ataques han evolucionado a niveles más atractivos.
Phishing deepfake: Los ciberdelincuentes utilizan IA para crear audios y videos falsos de ejecutivos o familiares pidiendo transferencias de dinero o información confidencial.
Ataques por QR maliciosos (Quishing): Aunque Google usa códigos QR legítimos, algunos atacantes han comenzado a utilizar códigos QR fraudulentos en correos electrónicos o sitios web, dirigiendo a las víctimas a páginas falsas para robar sus credenciales.
Ataques a autenticadores de doble factor (MFA Fatigue): En este método, los atacantes bombardean al usuario con notificaciones de autenticación hasta que, por error o desesperación, acepta la solicitud y permite el acceso no autorizado.
¿Cómo protegerse ante estos nuevos riesgos?
📌 Utiliza un gestor de contraseñas: No reutilices claves y asegúrate de que sean fuertes y únicas.
📌 Verifica la fuente de los códigos QR: Escanea únicamente códigos provenientes de sitios oficiales y evita los que te lleguen por correos sospechosos.
📌 Activa la autenticación sin contraseña (Passkeys): Google también está implementando las passkeys , un método que reemplaza las contraseñas tradicionales por autenticación biométrica o PIN.
📌 Mantén tu dispositivo actualizado: Asegúrate de contar con la última versión de Android o iOS para reducir vulnerabilidades.
📌 Habilita la verificación en dos pasos (2FA) con aplicaciones seguras: Usa apps como Google Authenticator o Microsoft Authenticator en lugar de SMS.
La eliminación de los SMS en Gmail representa un avance significativo en la lucha contra el phishing y el robo de identidad , pero no es una solución infalible . Aunque los códigos QR reducen el riesgo de ataques como el SIM swapping o el smishing , los ciberdelincuentes seguirán adaptándose con nuevas tácticas.
Google está dando un paso en la dirección correcta, pero el reto continúa: en un mundo donde los ataques evolucionan constantemente, la prevención y el conocimiento son las mejores herramientas para protegernos. La ciberseguridad no es solo responsabilidad de las grandes empresas, sino de cada usuario. Mantente informado, actualiza tus dispositivos y no caigas en la trampa de los estafadores digitales.
En los últimos meses, se han registrado varios ciberataques significativos que destacan la creciente amenaza en el ámbito de la seguridad digital, siendo los más relevantes:
Incremento de ciberataques en España
España ha experimentado un notable aumento en los ciberataques, situándose como el octavo país más afectado por ransomware a nivel mundial en 2024, con un incremento del 11% respecto al año anterior. Este tipo de ataques obliga a las víctimas a pagar un rescate por el acceso ilegal a sus sistemas. Eusebio Nieva, director técnico de Check Point Software en España y Portugal, atribuye esta situación a la posición de España como potencia internacional y deficiencias en ciberseguridad, especialmente entre las pequeñas y medianas empresas y la falta de profesionales especializados. A pesar de estos desafíos, se han observado avances en la concienciación sobre ciberseguridad y la implementación de normativas, aunque España aún no ha transpuesto completamente la Directiva NIS2 de la UE. La inteligencia artificial ha complicado la detección de ataques, que generalmente operan de manera remota, aunque también hay casos locales, principalmente estafas. La aplicación del sentido común y la concienciación son esenciales en la lucha contra estos delitos.
Renovación de la red encriptada de La Moncloa: Tras el espionaje sufrido mediante el software israelí Pegasus en 2022, La Moncloa ha decidido renovar su red encriptada para proteger las comunicaciones del presidente Pedro Sánchez y otros altos cargos. La empresa Epicom, ahora parte del holding público SEPI junto a Indra y Oesía, modernizará la infraestructura técnica y las aplicaciones de cifrado de móviles. Se sustituirá la aplicación Comsec de Indra por la nueva opción Secret T de Telefónica, ambas sujetas a certificación del Centro Criptológico Nacional. Este cambio está relacionado con una actualización de los contratos de comunicaciones de voz, datos y mensajería móvil del gobierno. El informe del Centro Criptológico Nacional destaca las ciberamenazas de países como China, Rusia, Corea del Norte e Irán, así como el aumento del cibercrimen y filtraciones masivas en 2023. La investigación del caso Pegasus continúa tras reactivarse con nuevos datos de la justicia francesa.
Intensificación de la guerra cibernética entre Ucrania y Rusia: El conflicto cibernético entre Ucrania y Rusia ha escalado en paralelo a la guerra física. Un ataque informático de gran magnitud el 19 de diciembre de 2024 afectó los registros estatales de Ucrania, paralizando funciones cruciales como el registro de nacimientos y defunciones. Este ciberataque dejó a tres recién nacidos sin poder ser inscritos en el Registro Civil, ya que sus padres, que vinieron desde Portugal, no pudieron legalizarlos debido al bloqueo. Ucrania ha registrado un aumento del 70% en ciberataques en 2024, y estos suelen ser realizados por grupos prorrusos. La «IT Army of Ukraine» es la principal fuerza cibernética ucraniana que ha realizado más de 300 ciberataques en territorio ruso. Los expertos en ciberseguridad clasifican cuatro tipos de ciberataques, desde robo de información hasta destrucción total de sistemas. A pesar de los esfuerzos para restaurar los datos, se teme la pérdida irreversible de información esencial de los ciudadanos. Los ataques cibernéticos afectan no solo a Ucrania sino también a otros países europeos y son una preocupación creciente por la estabilidad global.
Detención de un hacker de 18 años en España: Un joven de 18 años fue detenido por lanzar ciberataques contra instituciones como el Ministerio de Defensa, la Guardia Civil y la OTAN. El ciberdelincuente reivindicaba sus ataques en foros de la ‘dark web’. Este caso pone de manifiesto la creciente implicación de jóvenes en actividades cibercriminales y la necesidad de reforzar las medidas de seguridad en las instituciones públicas.
Ciberataques a instituciones en Galicia: El Centro de Incidentes de Ciberseguridad de la Xunta ha registrado 237 millones de ataques en el último año, destacando la ciberseguridad como una clave de prioridad para el gobierno gallego. El profesor de la USC, José Julio Fernández, señala que las instituciones públicas europeas están constantemente bajo ataque, lo que ha llevado a la creación de unidades específicas para detectar y responder rápidamente a estos ciberataques. Aunque existe un esquema nacional de seguridad para estandarizar los procesos, las entidades locales siguen siendo las más vulnerables debido a la falta de concienciación y recursos tanto humanos como tecnológicos. Fernández comenta que las herramientas y los intereses en juego, junto con la baja concienciación, intensifican la peligrosidad de la situación actual.
Estos incidentes resaltan la importancia de fortalecer las infraestructuras de ciberseguridad y promover una cultura de prevención y respuesta ante amenazas digitales.
