Hazme caso: nunca jamás te cambies de número de móvil
Hace dos años cambié de número de móvil. A los ojos de mis redes sociales y apps de transporte, Amazon, mi banco y el estado de Pensilvania, eso significaba que había perdido mi identidad. Hace poco que he salido de este atolladero tecnológico.
Sentado en mi escritorio con un nuevo smartphone en la mano, giré lentamente la cabeza hacia arriba y hacia abajo mientras miraba fijamente a la cámara frontal. Luego, sin romper el contacto visual con el objetivo, giré cuidadosamente la cabeza de una oreja a otra. El breve clip debía demostrar al sistema de seguridad de Instagram lo que yo llevaba semanas insistiendo: que no era un impostor; que, de hecho, era yo.
«Gracias por tu vídeo selfie«, decía el correo automatizado de Instagram. «Hemos recibido esta información y está pendiente de revisión».
No solo había olvidado mi contraseña de Instagram, sino que ya no tenía acceso a mi antiguo número de móvil: desde la última vez que me conecté, me había cambiado a un plan familiar de ahorro de dinero con un nuevo proveedor de telefonía móvil. Para superar el doble factor de autenticación de seguridad de Instagram —en el que la aplicación verifica tu identidad enviándote un código secreto por SMS— y recuperar el acceso a 12 años de fotos de gatos y horizontes urbanos con filtros, tuve que subir un vídeo de mi cara.
Mientras esperaba la respuesta de Instagram, imaginé que alguien del equipo de seguridad de la empresa veía mi vídeo selfie, echaba un vistazo a las fotos que había publicado en mi cuenta a lo largo de los años y confirmaba mi identidad de una vez por todas. Unos minutos más tarde, demasiado rápido para que hubiera una persona real detrás, llegó un correo electrónico. «Su información no ha podido ser confirmada», indicaba el asunto. ¿Mis datos? ¿Quieres decir mi cara?
«No hemos podido confirmar tu identidad a partir del vídeo que has enviado», seguía el mensaje. «Puedes enviar un nuevo vídeo y lo revisaremos de nuevo».
A pesar de lo divertido que sonaba este juego, tenía otras cosas de las que ocuparme.
Me imaginaba que cambiar repentinamente de número de móvil provocaría algunos quebraderos de cabeza, pero no preveía lo complicado que llegaría a ser. Desde Lyft y Cash App hasta Instagram y Amazon, de repente tenía que pasar por aros logísticos que variaban de una plataforma a otra para verificar mi identidad de carne y hueso y recuperar el acceso a mi vida digital. Confirmar mi identidad se convirtió en un trabajo a tiempo parcial. Y, como aprendí por las malas, era difícil encontrar personas que pudieran ayudarme a resolver el problema.
Aunque el origen de la autenticación de dos factores basada en mensajes de texto se remonta a la década de 1990, no fue hasta principios de 2010 cuando empezó a proliferar realmente. A medida que más personas compraban smartphones, parecía conveniente utilizar el número de móvil de una persona como forma de confirmar su identidad. Al mismo tiempo, la creciente frecuencia y sofisticación de las brechas de datos y los ciberataques hicieron que las contraseñas tradicionales fueran casi inútiles, lo que llevó al entonces presidente Barack Obama a escribir un artículo de opinión en The Wall Street Journal en 2016 en el que instaba a los ciudadanos a «ir más allá de las contraseñas» y adoptar capas adicionales de seguridad para proteger sus datos. Incluso en 2024, las contraseñas pirateables como «1234» y «password» seguían siendo alarmantemente comunes.
Al requerir que las personas den un paso extra (o dos) para verificarse a sí mismas, la autenticación multifactor ofrece una mejora de seguridad masiva sobre la contraseña tradicional. Gracias al trabajo remoto, la adopción de la autenticación multifactor va en aumento: el 64% de las personas que utilizan Okta emplean alguna forma de autenticación multifactor, según un informe de la empresa de 2023. Antes de la pandemia, era el 35%.
A pesar de sus beneficios, el sistema desarrolló un grave defecto en algún punto del camino: la autenticación de dos factores basada en SMS, que se basa en llamar o enviar un mensaje de texto al móvil de alguien para verificar su identidad. A diferencia de los métodos MFA que se basan en una aplicación de autenticación, la autenticación basada en texto es posiblemente la forma menos segura de verificar la identidad de alguien. Por desgracia, también es una de las más comunes.
«A menudo vemos que las organizaciones menos maduras han estandarizado el uso de ese código basado en SMS», señala Cristian Rodríguez, director técnico de campo de la firma de ciberseguridad CrowdStrike en América. Apple, Google, Zoom, Slack, Dropbox, PayPal y la mayoría de los principales bancos y universidades de EEUU están en la larga lista de webs que aún lo utilizan.
A diferencia de nuestras huellas dactilares o nuestro rostro, nuestro número de móvil no es un rasgo permanente de nuestra identidad»
«También es fácil de interceptar», explica Rodríguez. «El intercambio de SIM es una forma realmente fácil de eludirlo como atacante».
En un ataque de intercambio de SIM, un hacker puede hacerse con el control del número de móvil de alguien y sembrar el caos en su vida. Desde sus cuentas bancarias y de redes sociales hasta las tarjetas de crédito almacenadas en billeteras digitales como Apple Pay, la cantidad de acceso que puede obtener un ciberdelincuente es asombrosa. Esto demuestra hasta qué punto nuestras vidas están ligadas a nuestros números de móvil.
Recientemente, hackers alineados con el Gobierno chino lograron acceder a móviles estadounidenses a través de sus redes de telecomunicaciones en un hackeo masivo apodado Salt Typhoon, que según el Gobierno federal se encuentra entre los peores de la historia del país. Aunque todavía se están investigando los orígenes exactos y el impacto global de Salt Typhoon, los expertos afirman que la infiltración, que duró dos años, podría haber afectado a millones de estadounidenses. Tras el ataque, del que se informó por primera vez en octubre, el Gobierno aconseja dejar de utilizar la autenticación por SMS.
A diferencia de nuestras huellas dactilares o nuestro rostro, nuestro número de móvil no es un rasgo permanente de nuestra identidad. Es solo una secuencia de dígitos que nos asigna aleatoriamente un proveedor de telefonía móvil cuando nos damos de alta. Si dejamos de pagar, cambiamos de proveedor o nos mudamos de país, el número deja de ser nuestro. Incluso una dirección de correo electrónico —en mi caso, una cuenta de Gmail de hace 20 años que estoy seguro de que seguirá recibiendo promociones comerciales mucho después de mi muerte— sería un indicador a largo plazo más fiable de quién soy que mi número de móvil. Después de todo, mi dirección de correo electrónico nunca será reasignada. Es mía. Mi número de teléfono —junto con los aproximadamente 35 millones de números que se reasignan cada año, según la Comisión Federal de Comunicaciones de Estados Unidos— es otra historia.
Pocas empresas parecen reconocer el problema: a principios de 2023, X decidió poner fin a la autenticación de dos factores basada en SMS para usuarios no verificados, alegando su debilidad. Tras las graves filtraciones, gigantes tecnológicos como Google y Microsoft también han empezado a abandonar la autenticación por SMS. Sin embargo, X es la única de las principales plataformas de redes sociales que la ha abandonado por completo, algo que tuve que aprender por las malas.
En la mayoría de los casos, recuperar el acceso a mis cuentas fue sencillo. Mi banco, por ejemplo, solo necesitó una rápida llamada telefónica a un agente de atención al cliente para confirmar mi identidad, saltarse la MFA, actualizar mi número de móvil y restablecer mi contraseña.
Instagram, una empresa mucho más grande y con más recursos que la pequeña cooperativa de crédito en la que trabajo, no ofrecía una línea de atención al cliente. En su lugar, después de media docena de clics desde la pantalla de inicio de sesión de Instagram, me encontré en las profundidades de una página de preguntas frecuentes del servicio de atención al cliente que me sugería que enviara un vídeo selfie. Tuve que enviar varios vídeos antes de que la aplicación cediera y me permitiera acceder de nuevo a mi cuenta.
Mi cuenta de Amazon, que incluye servicios como Audible, Alexa y las compras de Whole Foods, resultó ser una fortaleza sorprendentemente impenetrable. Después de hacer clic en un laberinto de enlaces, llegué a un mensaje que me pedía que subiera una foto de mi pasaporte para verificar mi identidad. Tras una semana sin noticias, volví a intentarlo. Unos meses más tarde, Amazon me permitió volver a entrar (Instagram y Amazon no respondieron a las múltiples solicitudes de comentarios para este artículo).
Gracias a la continua automatización del servicio de atención al cliente y al creciente uso de chatbots, el privilegio de hablar con una persona real es cada vez más raro. A día de hoy, soy incapaz de verificar mi perfil de LinkedIn. Incluso después de pedir mi número de móvil actual, la plataforma de verificación de identidad utilizada por LinkedIn, Clear, sigue enviando un código de seis dígitos a mi antiguo número de móvil, que de alguna manera invoca desde la nube. Por supuesto, no hay nadie con quien hablar para resolver el problema.
Si nuestra tecnología es tan avanzada, ¿por qué sigue siendo tan difícil convencer a las máquinas de que somos nosotros?
Que te bloqueen las redes sociales y las tiendas online es muy molesto. Pero no es nada comparado con la pesadilla que sufrí cuando intenté inscribirme en el subsidio de desempleo tras ser despedido de mi trabajo como periodista.
El Gobierno del estado de Pensilvania utiliza el servicio ID.me para gestionar el inicio de sesión en su web y la verificación de identidad para servicios como el desempleo. En su página web, ID.me presume de estar integrado con 19 agencias federales, 35 organizaciones relacionadas con la sanidad y más de 600 tiendas online en su misión de facilitar a los consumidores «un único inicio de sesión que te permita demostrar fácilmente que eres tú». Solo hay un problema: ID.me vincula tu identidad digital a tu número de móvil.
Cuando intenté entrar en la página web de desempleo de Pensilvania para solicitar mis prestaciones, descubrí que ya tenía una cuenta ID.me, presumiblemente de alguna otra página web gubernamental a la que había accedido anteriormente. Esa cuenta, por supuesto, estaba vinculada a mi antiguo número.
Sin acceso a ese número, y sin tener ni idea de cuál podría haber sido mi contraseña, mi única opción era enviar una solicitud para eludir la MFA y recuperar el acceso a mi cuenta ID.me a través del servicio de atención al cliente de la empresa.
Después de recibir un correo electrónico automático de confirmación de Roy, el autodenominado «agente virtual» de ID.me, mi solicitud fue ignorada durante 48 horas. Después de muchas consultas y mucha paciencia, por fin pude concertar una cita telefónica con una persona de carne y hueso. Diez días después de mi solicitud inicial, hablé por teléfono con un agente del servicio de atención al cliente que me envió por correo electrónico algunas instrucciones: rellenar unos formularios y enviarlos junto con escaneos digitales de mi pasaporte y tarjeta de la Seguridad Social. Normalmente, enviar información tan delicada por correo electrónico me haría dudar, pero en este caso, el agente del servicio de atención al cliente de ID.me tenía mi identidad y mi seguridad financiera como rehenes, así que me incliné por hacer lo que me pedía. Solo podía esperar que las prácticas de ciberseguridad de ID.me fueran más sólidas que su servicio de atención al cliente.
Después de 30 días de presentar y volver a presentar varios documentos identificativos, por fin pude acceder a mi cuenta. Para entonces, ya me había ocupado de mis necesidades de desempleo a la antigua usanza: presentando mi solicitud manualmente por teléfono, un proceso que duró casi tres horas a lo largo de dos llamadas insoportablemente tediosas (ID.me no respondió a la solicitud de comentarios para este artículo).
La tecnología, que antes prometía simplificarnos la vida, ahora parece complicárnosla aún más. Antes de que los cajeros automáticos entraran en los supermercados, el proceso de compra nunca se veía interrumpido por una máquina confusa que pensaba que habías olvidado escanear un artículo, lo que te obligaba a esperar a que te ayudara un humano. A pesar de toda la innovadora tecnología inteligente que se ha colado en los coches modernos, a menudo parece que estamos a un fallo de software de quedarnos fuera de ellos.
Estamos en 2025: tenemos inteligencia artificial capaz de establecer relaciones románticas. Debería poder desbloquear mi portátil con la huella del pulgar o escanear mi cara para acceder rápidamente a mis cuentas de compra online. Si nuestra tecnología es tan avanzada, ¿por qué sigue siendo tan difícil convencer a las máquinas de que somos nosotros?
No tienes por qué creerme. Puedes preguntarle a Keith, la persona que tenía mi nuevo número de móvil antes que yo. No tengo ni idea de quién es Keith, pero sé que él también está teniendo problemas para volver a entrar en sus páginas web y apps porque sigo recibiendo mensajes de texto con códigos de verificación de seis dígitos que nunca pedí. Aunque al final conseguí volver a entrar en la mayoría de mis cuentas, parece que Keith sigue teniendo problemas.
Keith, si estás ahí fuera: tus medicinas ya están preparadas, puedes recogerlas en la farmacia.
