#4 En seguridad es erróneo hablar en términos absolutos.
La seguridad siempre es un compromiso entre ésta y la usabilidad.
Los SMS tienen un alto grado de usabilidad por ser algo que está disponible para la práctica totalidad de la población haciendo uso de algo que ya tienen como es un teléfono móvil. Sin requerir añadir ninguna aplicación ni nada por el estilo.
A su vez los SMS que envía el banco por sí solos no bastan para llevar a cabo un ataque, se requiere que el ordenador o móvil desde el que se opera esté también comprometido para que el atacante no solo pueda acceder al contenido del SMS sino también a la sesión web o de aplicación asociada a ese código del SMS.
En la mayoría de ocasiones el SMS contiene los últimos dígitos de la cuenta de destino y la cuantía, por lo que la víctima puede comprobar si esa es la operación que desea autorizar.
Para que el atacante pueda modificar el SMS cambiando los datos que cito necesita tener control del operador de telefonía que envía esos SMS. No me consta que se estén llevando a cabo ataques de ese tipo.
Los códigos son de un solo uso y caducan a los pocos minutos.
Lo que tiene que ser seguro no son los SMS sino el sistema en su conjunto, el SMS es solo una pieza de muchas que forman parte de ese sistema.
Usar mensajería con cifrado de extremo a extremo supone añadir mucha complejidad para evitar solo unos pocos métodos de ataque que con toda seguridad no son los más habituales. Muchos ataques se basan en que la víctima sea quien lea el SMS y le diga el código al atacante. En ese supuesto el cifrado extremo a extremo no aportaría nada ya que la víctima siempre tiene que poder leer el SMS y no hay forma de evitar que decida enviar ese código al atacante si así le convencen de hacerlo.
#2 y como todo el mundo debería saber a estas alturas:
los SMS no son seguros porque los SMS no admiten el cifrado de extremo a extremo.
El cifrado de extremo a extremo garantiza que solo usted y el destinatario puedan leer el contenido de un mensaje.