Cómo recuperar acceso a una cuenta root de AWS sin MFA ni número de teléfono

Problema

Perder el dispositivo MFA y el número de teléfono asociado a la cuenta root de AWS deja al propietario sin una vía directa para autenticarse. Aunque el correo electrónico y la contraseña siguen vigentes, AWS exige MFA para cualquier acceso root. En entornos productivos —por ejemplo, dominios gestionados en Route 53 o infraestructuras críticas— la imposibilidad de iniciar sesión bloquea despliegues, renovaciones de certificados y cambios de facturación. El patrón típico es:

1. Root email y password correctos pero MFA no disponible.
2. Número de teléfono registrado inactivo o fuera de control.
3. Acceso limitado mediante IAM que no permite modificar la cuenta root.

Este escenario se repite cuando se cambian de país, se pierde el SIM o se descarta un dispositivo físico sin haber configurado un MFA virtual de respaldo.

Causa

Las causas más frecuentes son:

• MFA físico único (hardware token o app vinculada a un número de teléfono) sin copia de seguridad.
• Número de teléfono de recuperación que ya no funciona (SIM desactivada, número portado).
• Política de seguridad de AWS que bloquea el login root sin MFA, sin ofrecer una vía automática de recuperación.
• Falta de contactos de recuperación configurados en la consola (AWS Organizations o IAM User Access Key).

En producción, la combinación de MFA obligatorio y número de teléfono obsoleto crea un punto único de falla que solo puede ser resuelto por el equipo de soporte de AWS, siempre que se demuestre la titularidad de la cuenta.

Solución

1. Preparar la evidencia de propiedad

AWS necesita pruebas que vinculen al solicitante con la cuenta. Reúne, en un solo documento PDF, lo siguiente:

2. Abrir un caso de “Root Account Recovery”

1. Inicia sesión con el IAM user que todavía tiene acceso a la consola o a la CLI.
2. Ve a AWS Support → Create case.
3. Selecciona Account and Billing → Account Recovery.
4. En el formulario, indica claramente que el MFA y el número de teléfono están perdidos y adjunta el PDF preparado.
5. Marca la casilla “I need to regain root access” y especifica los recursos críticos (p. ej., Route 53 hosted zones) para priorizar el caso.

3. Utilizar el canal de soporte por teléfono (opcional pero rápido)

Si el caso está clasificado como “Urgente”, solicita un número de referencia y llama al AWS Support (disponible 24 × 7 para clientes con plan Business o Enterprise). Ten a mano el ID de la cuenta (puedes obtenerlo con aws sts get-caller-identity) y la evidencia preparada.

4. Responder a los retos de verificación

AWS puede solicitar:

• Código de autorización enviado al email de facturación.
• Confirmación de la última transacción de la tarjeta de crédito (monto, fecha).
• Captura de pantalla de la consola IAM que muestre los permisos actuales.

Responde con la información exacta; cualquier discrepancia retrasa la recuperación.

5. Restablecer MFA y número de teléfono

Una vez que AWS restablezca el acceso root:

1. Desactiva el MFA antiguo desde la página de seguridad.
2. Configura un MFA virtual (Google Authenticator, Authy) y guarda los códigos de recuperación en un gestor de contraseñas.
3. Actualiza el número de teléfono en My Account → Security Credentials.
4. Añade un segundo dispositivo MFA (hardware o virtual) como respaldo.

6. Implementar medidas preventivas

• Enable “MFA for IAM users” y asigna al menos dos dispositivos por usuario crítico.
• Configura “Account Recovery Contacts” en la consola de seguridad (opción disponible en la sección de “Contact information”).
• Mantén actualizado el método de pago y guarda una copia digital de la última factura.
• Documenta los pasos de recuperación en un repositorio interno (por ejemplo, en un README de operaciones).

Cuándo aplicar esta solución

Utiliza este proceso cuando:

• El login root está bloqueado por falta de MFA y el número de teléfono no es recuperable.
• Tienes acceso a al menos un IAM user con permisos de lectura en la cuenta.
• Puedes proveer evidencia de facturación y documentación de identidad.

No es aplicable si:

• No dispones de ningún IAM user activo (en ese caso, el caso se vuelve “account ownership verification” y requerirá pruebas más extensas).
• La cuenta está bajo un AWS Organization sin privilegios de root a nivel de organización; entonces el propietario de la organización debe iniciar la recuperación.

Código

# Obtener el ARN y el ID de la cuenta usando el IAM user disponible
aws sts get-caller-identity --output table

Este comando genera una tabla con Account, UserId y Arn, información que suele pedirse en el caso de soporte.

## Verificación
1. **Login root**: accede a la consola con email y password, y confirma que el flujo MFA solicita el nuevo dispositivo.  
2. **Revisar Route 53**: abre la sección Hosted zones y verifica que los dominios siguen activos.  
3. **Crear un nuevo IAM user**: usa la consola root para crear un usuario con permisos de administrador y prueba que puedes iniciar sesión con él.  
4. **Comprobar facturación**: en *Billing → Bills* verifica que la última factura corresponde al método de pago registrado.

Si todos los pasos anteriores funcionan, la recuperación fue exitosa.

## Notas adicionales
* **No esperes a que el SIM se reactive**; AWS no permite reusar números desactivados para MFA.  
* **Los casos de soporte pueden tardar 24‑48 h** incluso con evidencia completa; mantén la comunicación abierta y revisa el correo de notificaciones de AWS.  
* **Los contactos de recuperación** solo están disponibles para cuentas con nivel de soporte Business/Enterprise; si tu cuenta está en el plan Basic, la única vía es el caso de “Account Recovery”.  
* **Guarda los códigos QR** del MFA virtual en un gestor de contraseñas cifrado; así evitas depender de un único dispositivo físico.  
* **Audita regularmente** que la información de contacto (email, teléfono, dirección) esté actualizada; un simple recordatorio trimestral evita este tipo de incidentes.