Notificaciones push o códigos SMS: ¿qué método es más fiable para confirmar pagos?

Notificaciones push o códigos SMS: ¿qué método es más fiable para confirmar pagos?
Cada pago en línea termina igual: el banco envía un código de un solo uso, sin el cual el dinero no saldrá de la cuenta. Obtener el código se puede de dos maneras — un SMS tradicional o una notificación push en la aplicación móvil del banco. Analizamos en qué se diferencian estos métodos, qué «puntos débiles» tiene cada uno y cómo decidir cuál le conviene a usted.

Códigos SMS: fiables sin internet, pero dependen de la red móvil

Qué ocurre bajo el capó. Tras pulsar Pagar, la pasarela de pagos del banco crea una contraseña de un solo uso —normalmente seis dígitos— generada por el algoritmo HMAC-OTP: se utiliza una clave secreta del cliente y un contador de operaciones, y como resultado se obtiene una combinación única válida entre 3–5 minutos. El código junto con el importe y el número de tarjeta se coloca en un mensaje ISO 8583 y se envía a través de un canal protegido al centro de SMS del operador (paquete SMPP). A continuación:

  1. El centro de SMS busca su número en la base HLR y determina la estación base más cercana.
  2. El código se transmite en la señal de radio GSM; el teléfono lo recibe incluso con 2G.
  3. El smartphone o el teléfono básico muestra un SMS de texto habitual: seis dígitos y una breve explicación del banco.

Ventajas

  • Funciona offline. Solo se necesita señal de voz; no son necesarios internet, Wi‑Fi ni la aplicación del banco.
  • Compatible con cualquier dispositivo. Incluso un teléfono básico puede confirmar compras, lo que es conveniente para usuarios que no usan smartphone.
  • Separación física de la SIM. Si se coloca la SIM bancaria en un teléfono de repuesto, los códigos seguirán siendo inaccesibles si roban el smartphone principal con la app del banco.

Inconvenientes

  • Retrasos en la entrega. El código pasa por varios nodos de la red —con alta carga o en roaming la demora puede alcanzar 30–60 segundos.
  • Robo de la SIM. Un teléfono perdido con la tarjeta activa recibe todos los SMS entrantes, incluidos los códigos del banco.
  • SIM swap. Un estafador solicita un duplicado de la SIM: el aparato antiguo pierde de repente la red y los códigos empiezan a llegar al delincuente.

Cómo funciona el ataque avanzado. El atacante solicita la reemisión de la SIM con un pasaporte falso o mediante el soborno de un empleado de la tienda. Tras activarse la nueva tarjeta, la base interna HLR reasigna la ruta y todos los códigos SMS se envían al teléfono del estafador. Una variante avanzada es la explotación del protocolo SS7: durante el roaming internacional el tráfico SMS se redirige a un nodo falso y el usuario no lo nota.

Cómo reforzar la protección. Guarde la SIM bancaria en un teléfono de repuesto económico sin acceso a internet, anote el PIN de activación de la tarjeta y mantenga el aparato en casa. Incluso si se pierde el smartphone con la banca por internet, los códigos permanecerán en el teléfono de reserva y el atacante no podrá verlos sin acceso físico.

Notificaciones push: llegan al instante, pero requieren internet y buena protección 

Tras pulsar Pagar, la banca móvil crea una solicitud al servidor. Allí se genera una contraseña de un solo uso que se envuelve en una notificación JSON y se envía al servicio de mensajería instantánea Google FCM (para Android) o Apple APNs (para iOS). El servicio «empuja» el paquete al smartphone por un canal cifrado TLS. La aplicación receptora lo descifra y muestra un banner con un botón para confirmar. Todo el trayecto —del servidor del banco a la pantalla— suele tardar menos de un segundo.

Ventajas

  • Retraso casi nulo. La contraseña aparece en fracciones de segundo tras pulsar Pagar, porque la notificación va directamente desde la nube de Apple o Google.
  • Contexto en la pantalla. El banner muestra el importe, la moneda y a veces los últimos dígitos de la tarjeta, por lo que es más fácil detectar un cargo erróneo o sospechoso.
  • Independencia de los centros SMS. Si el operador tiene problemas con los mensajes de texto, el canal push seguirá funcionando por datos móviles o Wi‑Fi.

Inconvenientes

  • Dependencia total de internet. Sin Wi‑Fi ni datos móviles el banner no llegará y la transacción quedará pendiente hasta que haya red.
  • Contraseña y aplicación en el mismo dispositivo. Si roban un smartphone desbloqueado, el atacante obtiene el acceso a la banca y a los códigos a la vez.
  • Vulnerabilidad de las notificaciones. El malware solicita acceso al servicio de lectura de notificaciones y reenvía silenciosamente el contenido de los banners al autor del ataque.

Matiz adicional. Algunos bancos muestran el código en la vista previa de la notificación incluso antes de desbloquear la pantalla. Basta con fotografiar un teléfono ajeno para que el código caiga en manos del atacante. Desactive la visualización de texto en la pantalla bloqueada.

Cómo minimizar los riesgos

  • Active el acceso biométrico en la aplicación y configure el bloqueo automático de la pantalla tras 30 segundos de inactividad.
  • Desactive el acceso de aplicaciones de terceros a las notificaciones: Ajustes → Privacidad → Acceso a notificaciones.
  • Oculte el contenido de los banners en la pantalla bloqueada: Ajustes → Notificaciones → En la pantalla bloqueada → No mostrar contenido.

Qué es más seguro si pierde el teléfono

Si el smartphone ha salido de su control, ambos métodos quedan en igualdad de condiciones: los códigos llegan donde esté la SIM o donde esté instalada la aplicación. No todos están dispuestos a tener un segundo teléfono para los SMS, y las notificaciones push en un aparato robado son un regalo para el estafador. Por tanto, la elección debe basarse en la comodidad y la velocidad.

Comparación breve

Criterio Código SMS Código push
No se necesita internet No
Velocidad de entrega 1-30 s. Instantáneo
Vulnerabilidad ante el robo del teléfono Alta, si la SIM está en el mismo aparato Alta, si no hay bloqueo de pantalla
Teléfono "de reserva" separado posible No
Riesgo de SIM swap Existe No

Qué elegir: recomendaciones para dos escenarios

  • Si suele estar sin internet (viajes, casa de campo, 4G débil) — mantenga los códigos SMS. Un retraso de un par de segundos es mejor que la imposibilidad de confirmar un pago.
  • Si siempre está en línea y valora la velocidad — utilice notificaciones push, pero active la biometría y configure el bloqueo de pantalla tras 30 segundos de inactividad.

Si lo desea, puede activar ambos canales: en muchos bancos el SMS funciona como reserva si la aplicación no entrega el push en 60 segundos.

Consejos adicionales

  • Establezca un límite para las compras en línea: incluso con un código robado no se podrá retirar una suma importante.
  • Actualice la aplicación bancaria: en las versiones nuevas suelen mejorar la protección de las notificaciones push.
  • No concentre todas las cuentas en una sola tarjeta: tenga una segunda para compras puntuales en internet.
  • Bloquee la SIM inmediatamente tras el robo del teléfono: una llamada al centro de atención tardará un par de minutos.
  • Guarde el PIN de la tarjeta y el CVC separados del teléfono: sin ellos, incluso con un código robado el atacante no podrá operar.

Conclusión

Las notificaciones push ganan en velocidad, los SMS en autonomía. En caso de robo del teléfono los riesgos se igualan, por lo que el criterio principal es la conveniencia personal. Añada biometría, límites y una sana precaución —y confirmar un pago será tan sencillo como decir «sí», mientras que al estafador le tocará buscar otra víctima.

Alt text
article-title

Techno Lady