En un entorno digital donde la autenticación multifactor (MFA) se ha convertido en el estándar de seguridad, los atacantes —y también usuarios legítimos— están recurriendo a una técnica cada vez más común: el uso de números temporales para evadir verificaciones por SMS (OTP).
Un reciente análisis de Security Online revela cómo esta práctica, aunque no nueva, ha evolucionado en escala y sofisticación, permitiendo la creación masiva de cuentas, pruebas automatizadas y registros anónimos sin necesidad de una SIM física.
📲 ¿Qué son los números temporales?
Los números temporales son líneas virtuales, generalmente basadas en la nube, que permiten recibir mensajes SMS sin estar vinculadas a una identidad real o a un dispositivo físico. Plataformas como SMS-MAN, Anosim, 5SIM o Receive-SMS-Online ofrecen acceso a números de más de 190 países, con precios que van desde unos pocos centavos por uso único.
⚙️ Cómo se bypasséan los OTP
El proceso es simple, pero efectivo:
- El usuario accede a un proveedor de números temporales.
- Selecciona un número de un país específico compatible con la plataforma objetivo.
- Usa ese número para registrarse en un servicio que requiere verificación OTP.
- Recibe el código en la interfaz del proveedor y completa el registro.
- El número se descarta o se reutiliza para otros fines.
Este método permite crear múltiples cuentas sin reutilizar el mismo número, evitando bloqueos por duplicación o restricciones por país.
🎯 Casos de uso (legítimos y no tanto)
Aunque esta técnica puede ser utilizada con fines maliciosos, también tiene aplicaciones legítimas:
- Desarrolladores y testers: para simular flujos de usuario sin usar datos reales.
- Freelancers y community managers: para gestionar múltiples cuentas en redes sociales o plataformas de marketing.
- Usuarios de e-commerce: para aprovechar promociones por cuenta nueva.
- Entusiastas de cripto: para registrar wallets o exchanges sin exponer su número personal.
Sin embargo, también se ha documentado su uso en campañas de spam, fraudes de referidos y automatización de bots en redes sociales.
🛡️ ¿Es legal?
El uso de números temporales no es ilegal en sí mismo, siempre que se utilicen con fines legítimos. Sin embargo, su uso para evadir políticas de uso, suplantar identidades o cometer fraude puede violar los términos de servicio de muchas plataformas e incluso leyes locales.
🔍 ¿Por qué importa?
El auge de esta técnica pone en evidencia una debilidad estructural en los sistemas de autenticación basados en SMS. Aunque el OTP sigue siendo una capa de seguridad útil, su dependencia de números telefónicos verificables lo hace vulnerable a:
- Números desechables
- SIM swapping
- Ataques de ingeniería social
- Automatización masiva
Las organizaciones que dependen exclusivamente de OTP por SMS deberían considerar alternativas más robustas como autenticadores basados en apps (TOTP), WebAuthn, o verificación biométrica.
Conclusión
El uso de números temporales para evadir OTPs no es una técnica sofisticada, pero sí efectiva. Y como muchas herramientas en ciberseguridad, su impacto depende del contexto y del propósito. Para algunos, es una solución práctica. Para otros, una puerta trasera.
https://securityonline.info/bypass-otp-for-multiple-accounts-without-risk-using-temporary-numbers/#google_vignette
