Pues resulta ser que lo de que el NIST ya no recomienda el SMS para hacer 2FA se desinfló:

https://auth0.com/blog/dont-pass-on-the-new-nist-password-guidelines/#:~:text=The%20SMS%20Controversy