Salt Typhoon, actualización de 2FA 2026: por qué TOTP supera ya al SMS

Qué cambió para la seguridad del 2FA en EE. UU. en 2024 y 2025

Durante la mayor parte de la era del 2FA por SMS, el modelo de riesgo práctico era directo. O un atacante te hacía un SIM swap (engañando a un dependiente de una tienda del operador para que portara tu número) o ejecutaba un kit de phishing que hacía de proxy a una página de inicio de sesión falsa y capturaba el código en tiempo real. La primera categoría era poco frecuente, cara y se dirigía sobre todo a personas de alto valor. La segunda se neutralizaba con vigilancia básica del usuario y flujos modernos resistentes al phishing. El 2FA por SMS se consideraba ampliamente suficiente para la cuenta media.

Salt Typhoon rompió ese modelo de forma pública. Según las declaraciones públicas de la FCC y los reportes de Wired y el Wall Street Journal a lo largo de finales de 2024 y 2025, la campaña obtuvo acceso sostenido a los equipos que transportan llamadas, mensajes y señalización entre los grandes operadores estadounidenses. Ese tipo de acceso cambia lo que un atacante puede ver y hacer a nivel de protocolo. No están robando un teléfono. Están sentados sobre el cable que entrega tu código SMS desde el servicio de verificación hasta tu teléfono.

La respuesta de CISA del 18 de diciembre de 2024 fue el aviso conjunto AA24-352A "Enhanced Visibility and Hardening Guidance for Communications Infrastructure" con el FBI, la NSA y el CSE, además de la hoja orientada al consumidor Mobile Communications Best Practice Guidance. La guía para operadores es técnica. La hoja al consumidor tiene dos páginas y la acción principal es inequívoca: no uses el SMS como segundo factor; usa un autenticador resistente al phishing.

Esto no es consejo teórico. NIST SP 800-63B alerta contra la autenticación basada en SMS desde 2017. La revelación de Salt Typhoon de 2024 es el momento en que esa caducidad académica se volvió operativamente urgente. La mayoría de quienes leen esto siguen recibiendo códigos SMS para al menos una cuenta crítica. Eso tiene que cambiar.

Qué publicó realmente CISA en diciembre de 2024

La guía técnica evita cualquier debate de atribución de actor de amenazas y se centra en comportamientos observados. Tres piezas importan para la persona media.

• La señalización de operador está comprometida en algunas redes. El aviso describe intrusiones que tocaron los equipos que los operadores usan para enrutar tráfico entre ellos. Esa es la capa donde un atacante puede solicitar o redirigir entregas de SMS sin interactuar nunca con tu teléfono.
• Los códigos de un solo uso por SMS deben reemplazarse por autenticación resistente al phishing. La hoja de buenas prácticas para consumidores señala las llaves físicas de seguridad y las apps autenticadoras como las alternativas recomendadas, por ese orden. El SMS figura explícitamente bajo "evitar".
• La mensajería con cifrado de extremo a extremo es el nuevo mínimo para conversaciones sensibles. La guía dirige al consumidor hacia Signal, iMessage entre dispositivos Apple y Google Messages RCS entre dispositivos Android. Los SMS y el RCS multiplataforma sin cifrado de extremo a extremo se tratan por defecto como comprometidos.

La guía no nombra a ningún país. No le hace falta. Los comportamientos son los hechos operativos; la geopolítica le corresponde a la FCC y a la Casa Blanca. Para un usuario final, la conclusión relevante es que el supuesto de confianza en el que siempre se apoyó el 2FA por SMS (que la señalización del operador es segura por defecto) ya no se puede sostener.

Cómo funciona realmente la interceptación de SMS a nivel de operador

El 2FA por SMS falla frente a varias clases de ataque, todas ellas subestimadas por el usuario medio.

Abuso de SS7 y Diameter. SS7 es el protocolo de señalización heredado que une las redes móviles globales desde los años setenta. Diameter es su sucesor moderno usado en LTE y 5G. Ambos se diseñaron en una época en que solo un puñado de operadores nacionales de confianza podían tocarlos. No autentican quién está al otro lado de una petición de señalización. Un atacante con acceso a un único operador mal configurado o a un nodo SS7 corrompido puede emitir un mensaje de "actualización de ubicación del abonado" o de "reenvío de SMS" para redirigir los mensajes destinados a tu número hacia un nodo que controla. El servicio receptor, tu banco o Google, ve que la entrega se confirmó. Tú no ves nada. Nunca recibes el SMS. El atacante lee el código y lo usa. Esto no es nuevo. Los investigadores han demostrado el riesgo desde 2014. Lo que cambió en 2024 es que el acceso necesario para hacerlo a gran escala ya no es hipotético.

Ataques sobre VoLTE e IMS de 5G. Voice over LTE y el IP Multimedia Subsystem de 5G mueven los SMS como paquetes en la red IP del operador. Investigación académica reciente publicada en 2024 y 2025 ha mostrado que los interconectores IMS mal configurados filtran contenido SMS en claro en algunas redes y que atacantes dirigidos con presencia en el operador pueden leer SMS sin tocar nunca SS7. La guía de CISA de diciembre de 2024 a los operadores cita la "señalización basada en IP" como una prioridad concreta de endurecimiento. Esa es la capa IMS.

Ataques con estaciones base falsas (IMSI catchers). Un pequeño dispositivo en una furgoneta aparcada obliga a los teléfonos cercanos a asociarse a él como una antena falsa. Los SMS en tránsito pueden capturarse. Era un ataque a escala estatal hace diez años. Hoy el hardware está disponible en canales comerciales por unos pocos miles de dólares. Dirigido, no masivo, pero real.

SIM swap. La versión de consumo del mismo problema. Un atacante llama o visita a tu operador, se hace pasar por ti con datos personales robados (a menudo comprados en foros clandestinos) y convence a un dependiente para que porte tu número a una SIM en su poder. Tu teléfono se queda sin línea. El siguiente SMS de código entrante va a él. Krebs on Security ha documentado decenas de casos de SIM swap de alto valor durante 2024 y 2025, incluidos robos de criptomonedas de seis cifras. La FCC adoptó nuevas reglas de SIM swap y portabilidad efectivas en julio de 2024 precisamente para frenar este ataque, pero la aplicación en el mostrador de las tiendas sigue siendo desigual.

El hilo común: el SMS como segundo factor asume que el camino entre el servicio de verificación y tu teléfono es privado. Ninguno de estos ataques exige que el atacante rompa la criptografía. La esquivan. TOTP, en cambio, no transmite ningún código.

Por qué las apps autenticadoras TOTP no se ven afectadas

TOTP está definido en RFC 6238. Cuando escaneas un código QR para configurar Google Authenticator o cualquier app compatible, lo que se guarda en tu dispositivo es un secreto compartido. Cada 30 segundos, la app combina ese secreto con la marca temporal Unix actual mediante HMAC-SHA1 y produce un código de 6 a 8 dígitos. El servidor, que tiene el mismo secreto, ejecuta el mismo cálculo y acepta tu código si coincide.

No hay transmisión del código por ninguna red hasta que lo tecleas. No hay SMS. No hay operador implicado. No hay capa SS7. El secreto compartido nunca sale de tu dispositivo después del escaneo inicial del QR. Un atacante que controle la red de señalización de un operador estadounidense tiene cero capacidad de leer o falsificar tu código TOTP, porque el código no atraviesa la red del operador en ningún momento.

Por eso CISA, NIST y prácticamente toda guía moderna de autenticación colocan las apps autenticadoras TOTP por encima del SMS. No son perfectas. Un kit de phishing que haga de proxy a una página de inicio de sesión falsa todavía puede engañarte para que teclees el código TOTP en el sitio equivocado. Esa es una clase distinta de ataque (la cubrimos en nuestro análisis de bypass de 2FA con adversario en el medio). Pero las intrusiones a operadores tipo Salt Typhoon son completamente irrelevantes para TOTP.

Las cuatro apps autenticadoras que vale la pena instalar en mayo de 2026:

• Google Authenticator (iOS, Android). Ahora admite copia de seguridad en la nube vinculada a la cuenta Google, así no pierdes los códigos cuando cambias de teléfono. Activa la opción de copia durante la instalación o te arrepentirás el día que se muera el móvil.
• Microsoft Authenticator (iOS, Android). Sólido para entornos Microsoft 365 y Azure, admite push con coincidencia numérica para escenarios empresariales (cubrimos por qué la coincidencia numérica derrota el spam push de fatiga de MFA) y ofrece copia de seguridad en iCloud y en cuenta Microsoft.
• Authy (iOS, Android, escritorio). Sincronización multidispositivo a través del backend de Twilio, útil si quieres un código en el portátil sin tener el móvil delante. Perdió algo de confianza en 2024 tras una brecha que expuso 33 millones de números de teléfono (sin secretos, pero un recordatorio de que la sincronización en la nube tiene contrapartidas).
• 1Password y Bitwarden. Ambos gestores de contraseñas almacenan secretos TOTP junto a las contraseñas con cifrado de extremo a extremo completo. Buena elección si ya usas un gestor de contraseñas y quieres una app menos.

Una regla de instalación. Cuando escanees el QR, guarda también los códigos de recuperación que te muestra el servicio en la misma pantalla. Volvemos a esto más adelante porque casi todo el mundo se lo salta y casi todo el mundo se arrepiente.

El nivel de llaves físicas y dónde encajan las Passkeys

Por encima de TOTP está el MFA resistente al phishing. La implementación de referencia es una llave física FIDO2 como YubiKey, Google Titan u OnlyKey. Tocas la llave, el navegador intercambia un reto criptográfico con el sitio y la respuesta queda atada al dominio exacto en el que estás. Un sitio de phishing en un dominio parecido no puede reenviar ni reutilizar la respuesta porque el dominio del reto no va a coincidir. Esa es la única clase de segundo factor que derrota a los kits de phishing AiTM en tiempo real.

Las Passkeys, formalizadas por la iniciativa Passkeys de la FIDO Alliance, son credenciales FIDO2 guardadas en tu plataforma (iCloud Keychain en Apple, Google Password Manager en Android, Windows Hello en Microsoft) y sincronizadas en tus dispositivos de confianza. La criptografía es idéntica a la de una llave física. La contrapartida es que la credencial vive en una bóveda sincronizada en la nube en lugar de en un token físico, lo que resulta más amable para usuarios normales pero significa que la seguridad de la cuenta del proveedor de la bóveda pasa a formar parte de tu modelo de amenaza. Según el informe de la FIDO Alliance de 2024, el soporte de Passkeys ha cruzado todos los grandes servicios de consumo (Google, Apple, Microsoft, Amazon, PayPal, eBay, GitHub, X, WhatsApp, TikTok, Adobe). Muchos servicios te permiten configurar Passkeys sin ningún hardware adicional.

La jerarquía práctica para 2026:

1. Llave FIDO2 física (YubiKey, Titan). La más fuerte. Lo mejor para cuentas de recuperación de correo, accesos bancarios, cuentas de administración empresarial y exchanges de criptomonedas.
2. Passkey en un dispositivo de confianza. Casi igual de fuerte, UX más amable, buena para cuentas de consumo. Úsala para X, Discord, Steam, Amazon, eBay.
3. App autenticadora TOTP. Buena línea base para todo lo que todavía no soporta Passkeys. Pasa cada cuenta con 2FA por SMS a este suelo.
4. 2FA por SMS. Solo como alternativa temporal, solo si no hay nada más disponible. Plan: quitarlo.
5. Sin 2FA. Inaceptable en cualquier cuenta que contenga dinero, identidad o datos de trabajo.

La escalera de migración en una frase por nivel

Si te quedas con una sola cosa de este artículo, que sea esta. Pasa toda cuenta que lo admita a TOTP. Pasa las cuentas que más te importan (recuperación de correo, banco, cripto principal, identidad laboral) a llaves físicas FIDO2 o Passkeys. Desactiva el 2FA por SMS donde puedas hacerlo sin perder la recuperación. Imprime los códigos de recuperación. Guárdalos en un lugar seguro que no sea tu teléfono.

Pasa tu cuenta Google a TOTP en 6 minutos

Google es el sitio adecuado por donde empezar porque Gmail es el vector de recuperación de la mayoría de tus otras cuentas. Si tu correo se ve comprometido, el resto de la actualización no importa.

1. Abre myaccount.google.com/security.
2. Bajo "Cómo inicias sesión en Google", pulsa "Verificación en dos pasos".
3. Pulsa "App Authenticator" y sigue las indicaciones del QR. Escanea con Google Authenticator (o 1Password o Bitwarden). Verifica con un código.
4. Baja hasta "Mensaje de voz o SMS" y pulsa el icono de borrar (papelera). Eso quita el SMS como segundo factor. Google te avisará. Confirma.
5. Sube hasta "Códigos de respaldo" y descarga o imprime los 10 códigos de recuperación de un solo uso. Guárdalos en tu gestor de contraseñas y en papel en algún lugar fuera de línea.
6. Opcional pero muy recomendado: en "Passkeys y llaves de seguridad" configura una Passkey en el dispositivo en el que estás y una YubiKey si tienes una.

Repite el mismo flujo para cada cuenta de Google secundaria (trabajo, proyecto paralelo, familia). Cinco minutos cada una.

Pasa tu Apple ID a segundos factores resistentes al phishing

Apple no te permite desactivar la autenticación de dos factores del Apple ID porque está entretejida con iCloud. Lo que sí puedes hacer es asegurarte de que tu lista de dispositivos de confianza esté limpia y añadir Contactos de recuperación y una Clave de recuperación impresa.

1. En iPhone abre Ajustes, toca tu nombre, luego Inicio de sesión y seguridad y después Autenticación de dos factores.
2. Revisa la lista de dispositivos de confianza. Quita lo que no reconozcas. Cada dispositivo de confianza restante actúa como un segundo factor equivalente a una Passkey.
3. Toca "Recuperación de cuenta" y añade al menos un Contacto de recuperación (un familiar de confianza con Apple ID) y genera una Clave de recuperación. Anota la Clave de recuperación. Guárdala fuera de línea.
4. Toca "Número de teléfono de confianza" y añade un segundo número que controles. Los SMS al Apple ID seguirán llegando ahí, pero ya no es tu única vía de vuelta.
5. Si usas Apple Pay o tienes una huella seria en iCloud Keychain, configura al menos una llave física de seguridad en Inicio de sesión y seguridad, Llaves de seguridad. Dos YubiKeys (una de uso diario, otra guardada a buen recaudo) es la configuración canónica.

Pasa Microsoft 365 y cuentas Microsoft personales

1. Abre account.microsoft.com/security.
2. Pulsa "Opciones de seguridad avanzadas".
3. En "Formas de demostrar quién eres", pulsa "Agregar una nueva forma de iniciar sesión o verificar" y elige "Usar una aplicación". Configura Microsoft Authenticator.
4. Una vez que Authenticator esté activo, quita tu número de teléfono de SMS desde la misma pantalla. Microsoft te avisará. Confirma.
5. Baja hasta "Passkeys y llaves de seguridad" y añade una llave física o una Passkey de plataforma. Microsoft 365 es la identidad en la nube de consumo más atacada en 2026 (mira nuestro resumen del aviso del FBI sobre Kali365 para entender por qué), así que esta cuenta merece un factor físico si alguna lo merece.
6. Genera y guarda un código de recuperación en "Código de recuperación".

Pasa exchanges de criptomonedas (Coinbase, Binance)

Las cuentas de exchange cripto son los objetivos de SIM swap de mayor valor en internet. Sácalas del SMS primero, segundo y tercero.

• Coinbase. Configuración, Seguridad, Verificación en dos pasos, elige Authenticator. Escanea con Google Authenticator. Verifica. Luego quita el SMS en la misma pantalla. Coinbase además permite exigir una YubiKey para los retiros; actívalo si manejas saldos relevantes. Imprime y guarda los códigos de respaldo.
• Binance. Menú Seguridad, Autenticación de dos factores, activa la app autenticadora. Desactiva el SMS una vez que la app autenticadora funcione. Binance también ofrece soporte de llave de seguridad física (FIDO2) y Passkeys; activa al menos una. Guarda el secreto 2FA y la clave de recuperación en tu gestor de contraseñas.
• Kraken, Gemini, Bitstamp, BitGo, Crypto.com. El mismo patrón. Pasa a TOTP, añade Passkey o YubiKey si está disponible y luego quita el SMS.

Los retiros de los exchanges cripto son donde el SIM swap vacía carteras de verdad. El riesgo de interceptación de SMS a nivel de operador es la guinda de un pastel que ya se estaba quemando. Si manejas saldos serios, activa también las listas blancas de direcciones y los bloqueos temporales de retiro donde estén disponibles.

Pasa las plataformas sociales: X, Instagram, Facebook, Discord, Steam

Las cuentas sociales se secuestran para estafas de suplantación (cubrimos el caso de continuación con clon de voz tipo "arresto falso"), daño reputacional y para usarlas como rampa de lanzamiento de más phishing. Mismo flujo, rutas de menú ligeramente distintas.

• X (antes Twitter). Configuración, Seguridad y acceso a la cuenta, Seguridad, Autenticación en dos pasos. Activa "Aplicación de autenticación". Desactiva "Mensaje de texto". Añade Passkey o llave de seguridad en la misma pantalla. Genera un código de respaldo. Nota: X exige suscripción de pago Blue / Premium para usar 2FA por SMS, pero la opción TOTP gratuita es la que te interesa de todas formas.
• Instagram. Configuración, Centro de cuentas, Contraseña y seguridad, Autenticación en dos pasos. Elige la cuenta. Activa la app autenticadora. Desactiva el SMS. Guarda los códigos de recuperación.
• Facebook. Misma ruta del Centro de cuentas que Instagram. Añade una Passkey ya que estás ahí; el soporte de Passkey de Facebook llegó a finales de 2024.
• Discord. Configuración de usuario, Mi cuenta, Habilitar app autenticadora. Guarda los códigos de respaldo de inmediato (Discord no los muestra después con la misma facilidad). Desactiva el respaldo por SMS en la misma pantalla.
• Steam. Steam Guard a través de la Steam Mobile App es equivalente a TOTP y la única opción que recomienda Valve. Instala Steam Mobile, activa el Steam Guard Mobile Authenticator, anota el código de recuperación. El Steam Trading exige el autenticador móvil, así que esto también desbloquea un trading más seguro.

Pasa GitHub

Para los desarrolladores, GitHub es identidad. Una cuenta de GitHub secuestrada puede llevar a commits maliciosos en proyectos compartidos, toma de paquetes en NPM y PyPI y filtración de secretos de Actions. Trátala como una cuenta de administrador.

1. Abre github.com/settings/security.
2. En "Two-factor authentication", pulsa Enable 2FA. Elige app autenticadora. Escanea con tu autenticador. Verifica.
3. Guarda los códigos de recuperación de 16 caracteres de inmediato. GitHub solo los muestra una vez.
4. En "Passkeys", añade una Passkey o llave física de seguridad.
5. Si tienes un número de SMS en la cuenta, quítalo en cuanto Authenticator y Passkey funcionen.
6. Si publicas paquetes o mantienes repos con colaboradores, activa también el firmado obligatorio de commits y revisa tus Personal Access Tokens en busca de cualquiera con alcances excesivamente amplios.

La regla de imprimir los códigos de recuperación

Cada servicio anterior te ofrecerá un código de recuperación de un solo uso, una clave de recuperación o una lista de códigos de respaldo durante la actualización. Trátalos como las cadenas más importantes de tu vida. Son la forma de recuperar el acceso cuando se te muere el móvil, se cuelga tu app autenticadora o pierdes el dispositivo en el que configuraste la Passkey.

La regla tiene tres partes.

1. Guárdalos en tu gestor de contraseñas. 1Password, Bitwarden, Apple iCloud Keychain y Google Password Manager soportan notas seguras. Mete ahí los códigos de recuperación, etiquetados con el nombre del servicio y la fecha.
2. Imprime una copia en papel. Sí, papel. Guárdala en una caja ignífuga de documentos, una caja fuerte de casa o con un familiar de confianza. El modelo de amenaza para la recuperación es "mi casa se quemó y mi teléfono está en un río", no "un atacante está leyendo mi correo". El papel resiste a eso.
3. No guardes nunca los códigos de recuperación solo en el mismo dispositivo que tu app autenticadora. Si están en el mismo móvil, perder el móvil pierde ambas cosas. El objetivo es separar el factor de recuperación del factor principal.

Saltarte este paso es la razón individual más común por la que la gente acaba bloqueada fuera de sus propias cuentas después de actualizar el 2FA. Lleva 90 segundos por cuenta. Hazlo ahora.

Qué hacer si ya te han hecho un SIM swap

Lo sabrás porque de pronto tu teléfono se queda sin servicio y no puedes hacer llamadas ni enviar SMS. La señal desaparece y el icono de la SIM muestra "sin servicio" o "SOS únicamente". Si eso pasa y no puedes explicarlo (no cambiaste de teléfono, no cambiaste de plan), asume una portabilidad no autorizada y muévete en los siguientes 15 minutos.

1. Llama a tu operador desde otro teléfono. Verizon 800-922-0204, AT&T 800-331-0500, T-Mobile 611 desde otra línea T-Mobile o 800-937-8997. Diles que sospechas una portabilidad no autorizada. Pídeles que reviertan la portabilidad y bloqueen la cuenta.
2. Desde un dispositivo limpio conocido, entra en tus cuentas más sensibles por orden de prioridad: correo principal primero, luego banco, luego exchange cripto y luego todo lo demás. Cambia contraseñas. Cierra sesiones activas. Quita el SMS como opción de 2FA. Añade una Passkey o TOTP.
3. Presenta denuncias. Queja al consumidor de la FCC en consumercomplaints.fcc.gov, FBI IC3 en ic3.gov, FTC en reportfraud.ftc.gov. Si se movió dinero, también necesitarás el atestado de tu policía local para cualquier reclamación de devolución o seguro.
4. Pon un PIN de portabilidad en el operador que no sea tu número de teléfono ni tu fecha de nacimiento. Los cuatro grandes operadores estadounidenses ofrecen un PIN de portabilidad separado del PIN de la cuenta. Pon los dos, ponlos largos, guárdalos en tu gestor de contraseñas. Ese es el mayor control preventivo individual contra un SIM swap repetido.
5. Saca el correo y el banco del SMS de forma permanente. Si no lo hiciste antes del swap, hazlo ahora.

Por qué publicamos esto ahora

SafeBrowz pasa la mayor parte de su tiempo bloqueando las páginas de phishing de segunda fase que apuntan a tu código de 2FA después de que la ingeniería social tenga éxito. Vemos los kits. Vemos los dominios parecidos. Vemos la infraestructura proxy AiTM que captura un código TOTP en tiempo real y lo reproduce 30 segundos más tarde. La respuesta correcta para esa clase de ataque es MFA resistente al phishing: llaves físicas y Passkeys.

Pero el requisito previo para esa conversación es que el usuario ya no esté en 2FA por SMS. Mientras el SMS sea el segundo factor, ninguna de las mejoras de arriba importa. Salt Typhoon fue el momento público en que el suelo técnico del 2FA por SMS se desplomó. CISA lo dijo de forma explícita. NIST lleva años diciéndolo. La migración a TOTP es el suelo, no el techo.

Una razón más para moverse ya. La misma capa de señalización de operador que entrega tu SMS de 2FA también entrega tus SMS de recuperación de cuenta para resetear contraseñas, tus avisos de "¿eres tú iniciando sesión?" y tus alertas de fraude del banco. Incluso si actualizas con éxito el propio flujo de 2FA, todo servicio que siga tratando tu número de teléfono como factor de identidad de respaldo queda expuesto al mismo riesgo. Quitar el SMS de tu camino de seguridad implica quitarlo en cada sitio donde actúe como factor de recuperación, no solo donde aparece como solicitud de código. Audita los campos de "número de teléfono alternativo" y "teléfono de recuperación" de cada cuenta con la misma disciplina que los campos de 2FA. La migración solo está completa cuando el SMS deja de ser de confianza en cualquier punto de tu pila de cuentas.

Cómo bloquea SafeBrowz el phishing de segunda fase de códigos 2FA

Actualizar de SMS a TOTP elimina la superficie de ataque a nivel de operador. No elimina la superficie de phishing. El próximo ataque al que te enfrentarás tras la actualización es una página de inicio de sesión parecida a la legítima que te pide el código TOTP en tiempo real y lo reenvía a la sesión del atacante dentro de la ventana de validez de 30 segundos. Esa clase de ataque es exactamente lo que nuestro motor de detección está diseñado para atrapar.

SafeBrowz ejecuta una arquitectura de detección Local + APIs + IA.

• Capa 1, detección Local: más de 60 patrones de URL más de 550 firmas específicas de marca (Google, Apple, Microsoft, Coinbase, Binance, GitHub, X, Discord, Instagram, Facebook, Steam, cada banco y exchange cripto de nuestra lista de cobertura) más detección de homógrafos cirílicos y Punycode más listas comunitarias de bloqueo, todo corriendo directamente dentro de la extensión antes de que la página se renderice. Las páginas de inicio de sesión parecidas a la legítima de los servicios que acabas de actualizar se atrapan en la capa de URL.
• Capa 2, reputación por APIs: agregación en el servidor de Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y más de 30 heurísticas de TLD de estafa. Los dominios parecidos recién registrados (la mayoría de los kits AiTM rotan dominios cada 24 a 72 horas) aparecen en estos feeds enseguida.
• Capa 3, análisis IA profundo (Premium): un analizador de contenido multilenguaje que lee la página renderizada e identifica intención de ingeniería social independientemente del dominio. Para la clase de phishing de código 2FA, la firma reveladora es "formulario de inicio de sesión con marca en un host no canónico pidiendo un código de 6 dígitos". Los usuarios Premium reciben esta capa en más de 100 idiomas.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de datos de navegación del usuario. SafeBrowz no almacena historial de navegación por usuario.

Combina SafeBrowz con la actualización a TOTP y cierras las dos mitades del modelo moderno de ataque al 2FA: la mitad de señalización del operador (la resuelve TOTP) y la mitad de inicio de sesión parecido a la legítima (la resuelve SafeBrowz).

Preguntas frecuentes

Cobertura relacionada de SafeBrowz

• Ataque de spam push de fatiga de MFA, por qué la coincidencia numérica derrota al spam push y cómo se relaciona con TOTP
• Bypass de 2FA con adversario en el medio, la clase de kit de phishing moderno que captura códigos TOTP en tiempo real
• Estafa telefónica vishing bancario, el ataque de ingeniería social que a menudo se combina con SIM swap
• Estafa de secuestro de WhatsApp con código de 6 dígitos, el ataque de interceptación de SMS de consumo que lleva años activo
• Aviso del FBI sobre el phishing Kali365 a Microsoft 365 en 2026, phishing por código de dispositivo OAuth, la clase de ataque post-MFA
• Cómo detectar un correo falso de Microsoft, el vector de phishing previo para la toma de cuenta Microsoft
• Estafa de arresto falso con clon de voz, el ataque de continuación impulsado por redes sociales tras la toma de cuenta
• Pagos online seguros y tarjetas virtuales 2026, proteger el lado financiero de la misma superficie de amenaza
• Mejores extensiones antifraude para navegador en 2026, comparativa de la capa de defensa en navegador
• Herramienta gratuita de verificación de URL, pega cualquier URL de inicio de sesión 2FA para verificarla antes de teclear el código

En resumen: Salt Typhoon fue el momento público en que el 2FA por SMS dejó de ser defendible por defecto. La guía de CISA es inequívoca, NIST lleva ahí desde 2017 y el camino de migración son doce minutos por cuenta con una impresión en papel. Pasa hoy cada cuenta a TOTP. Añade una llave física o una Passkey a las cuentas que guardan tu dinero, tu correo o tu identidad. Bloquea la página de inicio de sesión parecida a la legítima que viene después. El aviso de Salt Typhoon es la advertencia. Lo que hagas en la próxima hora decide si la necesitabas.