No es la 2FA real sino la autenticación de 2 pasos. Según lo vinculado por StackzOfZtuff, en realidad son mensajes SMS simples.
La razón por la que son dos pasos y no dos factores es porque dos factores implicarían que necesitas la verdadera posesión del objeto donde se genera el token y tiene que haber seguridad de que el tercero no puede interceptarlo. Aquí es donde SMS es defectuoso. SMS tiene algunas vulnerabilidades conocidas que técnicamente permitirían la interceptación:
- Red GSM comprometida
- Ataques de estación base falsos en versiones anteriores del protocolo GSM
- clonación de tarjetas SIM
Dicho esto, los mensajes se envían a través de pasarelas SMS. Entonces, ¿es de hecho una forma de autenticación a prueba de tontos? Probablemente no. Sin embargo, cada banco realiza una evaluación de riesgos sobre la probabilidad de que los atacantes realicen los ataques anteriores con el fin de robar cuentas bancarias y probablemente se dio cuenta de que la probabilidad sería baja. Requeriría mucho esfuerzo en caso de clonación de SIM o ataques falsos de estaciones base contra el retorno de la inversión. Si alguien logra comprometer a un operador de telefonía celular completo, entonces probablemente habrá más ataques valiosos para realizar que dirigirse a clientes de bancos individuales.
Además, la mayoría de los bancos a menudo requieren mecanismos de confirmación adicionales para realizar transacciones reales (pero esto depende del banco, por supuesto). Por ejemplo, mi banco no me permitirá enviar transacciones a cuentas a las que no he enviado dinero anteriormente. De lo contrario, necesito firmar la transacción con un lector de tarjetas.