Existe un escenario desagradable que siempre toma por sorpresa. El teléfono de repente pierde la señal, aunque alrededor todos tengan «barras completas», y reiniciar no ayuda. En esos momentos se tiende a culpar a un fallo de la estación base. Sin embargo, esa aparente «falta de conexión» frecuentemente es la primera señal de que el número ya ha sido transferido a una SIM ajena y el acceso a cuentas bancarias, correo y redes sociales queda en peligro. Este método de apropiación se llama SIM Swapping: la transferencia de su número a la SIM del atacante a través del operador, apoyada en ingeniería social y datos personales filtrados previamente.
El tema dejó de ser exótico. En Reino Unido la organización especializada Cifas informó de un aumento notable de los casos registrados: de unas pocas centenas en 2023 a casi tres mil en 2024. En Estados Unidos, el Centro de Denuncias de Delitos por Internet del FBI abrió más de mil expedientes, y las pérdidas agregadas de las víctimas se evaluaron en decenas de millones de dólares. También hubo casos sonados en los que, mediante la transferencia de un número, los atacantes tomaron el control de sistemas corporativos o páginas oficiales de organismos, publicando comunicados falsos y provocando movimientos en los mercados. Un dolor aparte son las carteras de criptomonedas, donde la pérdida de los códigos de confirmación se traduce en el vaciado inmediato de saldos.
El número de teléfono móvil en el entorno digital actual se ha convertido en una llave universal. Bancos, servicios de correo, marketplaces e incluso portales gubernamentales siguen enviando códigos de verificación por SMS. Mientras la verificación llegue a una SIM que no controla el titular legítimo, la seguridad se desmorona. A continuación encontrará una guía detallada: cómo reconocer un ataque en fase temprana, qué hacer en las primeras horas y qué medidas ayudan a reducir riesgos a futuro.
Qué es el SIM Swapping y por qué funciona
El SIM Swapping no es una intrusión del interfaz radio ni un «exploit» mágico. La fuerza principal de este método reside en la combinación de dos factores. Primero, la ingeniería social: el atacante se hace pasar por el titular y convence al agente de soporte para transferir el número a una «nueva» tarjeta alegando pérdida del dispositivo o cambio. Segundo, la abundancia de datos para suplantación de identidad: bases con información personal, fragmentos de formularios, direcciones y fechas de nacimiento circulan durante años en mercados oscuros, y los detalles que faltan a menudo están disponibles en perfiles públicos de redes sociales.
Cuando el representante del operador cree la historia, se efectúa la transferencia. En ese instante, el usuario legítimo pierde la señal y en manos del atacante queda activada una SIM con su número. Desde ese momento todos los códigos SMS, notificaciones de acceso, enlaces de restablecimiento de contraseña y alertas bancarias dejan de llegarle a usted. El siguiente paso suele ser típico: cambio de contraseñas en el correo, captura de servicios mediante restablecimientos de acceso, transacciones rápidas y extracción de activos.
El mito de que para este ataque se requiere una «plataforma móvil vulnerable» hace tiempo fue desmentido. Los delincuentes sortean la criptografía y los entornos protegidos actuando a través del centro de contacto. El trabajo del servicio de atención se basa en la confianza en identificadores y respuestas a preguntas de control; es ese eslabón el que se manipula cuando el atacante tiene preparados los datos personales de la víctima y una historia coherente.
Signos tempranos a los que prestar atención
El primer indicador es la desaparición súbita de la señal sin causas aparentes. El dispositivo deja de registrarse en la red, las llamadas y el internet móvil no funcionan, y aparecen errores en los widgets de servicios. Si alrededor la conexión de otros usuarios se mantiene estable y su SIM funcionaba correctamente hace apenas unos minutos, la probabilidad de una transferencia maliciosa aumenta drásticamente.
El segundo síntoma son mensajes del operador sobre una transferencia realizada, activación de una tarjeta nueva, cambio de plan o emisión de eSIM que usted no solicitó. Parte de esas notificaciones llegan como push dentro de la app oficial, otras por SMS o correo electrónico. Es preferible no usar el número de devolución incluido en el mensaje: más seguro es marcar por su cuenta el contacto oficial del centro de soporte que figure en el sitio web.
El tercer signo son fallos repentinos para iniciar sesión en correo, redes sociales, nubes y bancos con contraseñas correctas. Si el sistema indica credenciales inválidas aunque usted no haya cambiado nada, es muy probable que la dirección de recuperación y el número de confirmación ya estén en manos del atacante.
El cuarto indicio es un aumento de notificaciones de servicio: «nuevo dispositivo», «acceso desde un lugar inusual», «muchos intentos fallidos». Esos avisos pueden llegar a un correo de reserva o por push de aplicaciones. Ignorarlos es peligroso: con frecuencia constituyen una rama paralela del ataque, sincronizada con la transferencia del número.
El quinto rasgo son mensajes extraños de conocidos que dicen haber recibido solicitudes de transferencia de dinero, reenvío de códigos o apertura de «documentos importantes». Paralelamente puede detectarse un rápido incremento del consumo de datos, permisos adicionales concedidos a aplicaciones o programas desconocidos en la lista de instalados. Estos signos no siempre están relacionados con una transferencia de número, pero combinados con la pérdida de señal forman un patrón preocupante.
Qué hacer en las primeras horas: plan paso a paso para mitigar daños
El tiempo juega en contra de la víctima. Cuanto antes corte el acceso del atacante a la infraestructura de la operadora y a los canales de verificación, menos servicios quedarán comprometidos. A continuación se detalla una secuencia de pasos que ayuda a contener el daño.
- Contacte al operador por un canal oficial. Informe sobre la sospecha de transferencia y pida bloquear de inmediato la sesión actual, revertir la transferencia reciente y reemitir la SIM con identificación reforzada. Pregunte por la existencia de protección contra «port-out», bloqueo de eSIM, PIN adicional en la cuenta y prohibición de operaciones remotas sin verificación presencial. Si es posible, acuda al local con su documento de identidad: en casos complejos la verificación presencial acelera la recuperación.
- Corte el acceso al dinero. Llame al banco y a los emisores de tarjetas, comunique el riesgo, solicite monitorización reforzada de operaciones y, si es necesario, la congelación temporal. Revise los dispositivos conectados en la banca móvil y cierre sesiones sospechosas. Cambie la verificación por SMS a una aplicación generadora de códigos cuando sea posible.
- Cambie contraseñas y cierre sesiones. Empiece por el correo como nodo básico de recuperación, luego pase a nubes, mensajerías, redes sociales y casas de cambio. Tras cambiar contraseñas, vaya a las opciones de seguridad y cierre sesiones activas en todos los dispositivos, elimine tokens OAuth desconocidos y revise la lista de aplicaciones con acceso a la cuenta.
- Revise el estado del teléfono. Ejecute un escaneo con antivirus, evalúe la lista de apps instaladas y los permisos concedidos. Ante la menor duda, haga una copia de seguridad y restablezca el dispositivo a ajustes de fábrica; después restaure solo aplicaciones comprobadas desde la tienda oficial.
- Avise a su entorno. Informe a colegas, amigos y familia de que su número pudo estar bajo control de un tercero. Pida que ignoren solicitudes de transferencias, «confirmaciones» y códigos hasta nuevo aviso. Si usa correo corporativo, notifique al departamento de TI para que rastree accesos inusuales con rapidez.
- Registre el incidente oficialmente. Guarde registros, correos, extractos y números de ticket de soporte. Presente una denuncia ante las autoridades y, en caso de transferencias internacionales, en portales especializados de quejas. En algunas jurisdicciones es posible congelar la actividad crediticia e introducir marcas antifraude en las agencias de crédito, lo que reduce el riesgo de solicitudes fraudulentas a su nombre.
Cómo reforzar la protección de cara al futuro
La recomendación principal es sencilla: sustituir el SMS por mecanismos de verificación más robustos. Las apps autenticadoras (Google Authenticator, Microsoft Authenticator, 1Password, o el OTP del banco móvil) generan códigos localmente en el dispositivo y no están vinculadas al número. Las llaves físicas elevan aún más la barrera: sin el token físico no se podrá confirmar el acceso. Donde se soporte WebAuthn, conviene habilitar el inicio con llave y prohibir la opción de respaldo mediante SMS.
El segundo nivel es la configuración con el operador. Pida establecer un PIN separado para cambios de perfil e incluir protección contra transferencias no autorizadas. Algunos operadores ofrecen un «bloqueo» del número: sin verificación presencial la transferencia es imposible. Sí, esto complicará reemplazar la tarjeta en un viaje urgente, pero reduce drásticamente la probabilidad de suplantación mediante una llamada al centro de atención.
El tercer contorno es la higiene digital de los datos de recuperación. Verifique qué direcciones y números figuran en «datos de contacto de respaldo» en los servicios críticos. Sustituya registros obsoletos, elimine los que no sean necesarios y añada correos reales que controle. Active notificaciones sobre inicios de sesión, intentos de restablecimiento y vinculación de nuevos dispositivos: esos avisos dan minutos valiosos para reaccionar.
El cuarto bloque son auditorías periódicas. Revíselas una vez al mes: registros de accesos, permisos otorgados, sesiones activas y dispositivos vinculados. Al mismo tiempo, controle extractos bancarios y reportes de pasarelas de pago: pequeñas «operaciones de prueba» suelen preceder a cargos mayores. Si utiliza exchanges y carteras cripto, asegúrese de tener una libreta de direcciones con listas blancas para retiros y de desactivar la posibilidad de retiro sin demora.
El quinto elemento es una «higiene» moderada de la exposición pública. Evite publicar la fecha de nacimiento, número de documento, dirección y otros datos que suelen usarse para confirmar identidad en soporte. Minimice la disponibilidad de esa información en acceso público y, si no puede prescindir de ella, al menos evite vincularla con números de teléfono o correos laborales.
Particularidades para empresas: puntos vulnerables y medidas organizativas
Para una compañía, la transferencia de un número corporativo suele significar mucho más que SMS perdidos. Por ese canal perdido, los delincuentes pueden acceder al panel de administración del dominio de correo, a portales internos, entornos en la nube, claves API y sistemas de atención al cliente. En historias concretas, empleados de soporte de grandes compañías, convencidos por una leyenda sólida, cambiaron parámetros de cuentas y emitieron nuevos tokens: todo comenzó con una llamada y la excusa de «cambio de SIM por pérdida del smartphone».
Reglas organizativas simples ayudan a minimizar el riesgo. Para sistemas críticos, desactive códigos SMS, exija llaves físicas para administradores y empleados con privilegios ampliados. Separe el acceso al panel de dominios y a la consola en la nube en «perímetros» de autenticación distintos. Regule el procedimiento para cambiar números en perfiles corporativos: tales cambios deben estar prohibidos sin una solicitud al departamento de TI y confirmación presencial.
El centro de atención es un frente aparte. Los escenarios de validación de identidad deben excluir la posibilidad de aprobarse con datos públicos. Actualice el conjunto de preguntas y complemente el proceso con una devolución de llamada a un canal acordado previamente o verificación a través de un mensajero corporativo. Para Recursos Humanos y contabilidad es útil aplicar la regla de «dos canales»: cualquier solicitud repentina de cambiar detalles de pago o números de confirmación se verifica por una vía independiente.
Por último, trabaje la respuesta. Prepare una guía de respuesta con números de emergencia del operador, bancos, proveedores SaaS y nubes. Defina quién y en qué orden bloquea accesos, a quién informar y cómo documentar el incidente. Ejercicios trimestrales no solo aumentan la preparación sino que ayudan a detectar fallos del procedimiento antes de que los exploten desde el otro lado del teléfono.
Preguntas frecuentes: lo esencial sin entrar en detalles técnicos
¿Se puede prescindir totalmente del SMS? Para la mayoría de servicios, sí. Quedan excepciones raras, pero suelen ofrecer alternativas: llamadas a la app, confirmación push o llaves. Si no hay elección, active restricciones estrictas con el operador y mantenga controlados los métodos de recuperación de reserva.
¿Ayuda tener una «segunda SIM» en el teléfono? Tener dos ranuras por sí solo no protege. La transferencia desplaza el número, no el plástico. La protección se basa en los procesos del operador y en los métodos de autenticación adoptados en los servicios.
¿Es necesario notificar a los reguladores? En varios países la pérdida de control sobre medios de autenticación puede considerarse un incidente de seguridad de la información, especialmente si hubo exposición de datos personales. Para organizaciones sujetas a requisitos sectoriales esto es relevante: revise normas locales y obligaciones contractuales.
¿Qué hacer con los exchanges de criptomonedas? Donde sea posible, active TOTP o llaves físicas, desactive retiros sin demora, use listas blancas de direcciones y, para el correo asociado a los exchanges, configure un dominio dedicado y reglas estrictas de SPF, DKIM y DMARC.
Dónde acudir y qué leer adicionalmente
Es útil guardar varias fuentes oficiales que sirvan al responder y reforzar la defensa. Reguladores y fuerzas de seguridad publican recomendaciones generales para contrarrestar transferencias de número e ingeniería social. Por ejemplo, páginas oficiales con instrucciones para protegerse del robo de número y consejos sobre autenticación segura pueden encontrarse en sitios de organismos y agencias de protección al consumidor. Para denunciar fraudes en internet existen portales nacionales vinculados a las autoridades. Además, los operadores suelen tener secciones que describen protección «port-out», PIN de cuenta y bloqueos de eSIM: conviene revisarlas con antelación. Para documentar un incidente serán útiles los contactos del banco y del seguro, así como las direcciones de soporte de servicios en la nube clave.
Otra recomendación es preparar un pequeño «registro de seguridad» en el gestor de contraseñas personal: allí conviene anotar los números de soporte del operador, banco, emisores de tarjetas, plataformas en la nube y los procedimientos básicos. Guarde esos datos cifrados, con acceso mediante clave y biometría.
Conclusiones: actuar rápido y preparar la defensa de antemano
El SIM Swapping prospera no por sofisticación técnica sino por el factor humano y la fragmentación de procesos. El atacante no rompe cifrados; se integra en la cadena de soporte y suplanta la identificación gracias a datos filtrados hace tiempo. Para no convertirse en espectador de su propia vida digital bastan algunos principios: no confiar en el SMS como único pilar de autenticación, tener a mano canales de emergencia con el operador y el banco, activar en el operador protecciones contra transferencias no autorizadas y usar en los servicios códigos OTP y llaves físicas.
Si el teléfono pierde la señal sin motivo aparente, considérelo como el posible inicio de un ataque. Llame al operador por otro canal, cambie contraseñas y cierre sesiones en paralelo, y avise a familiares y colegas. Documente cada paso: eso acelerará la investigación y ayudará a recuperar fondos. Lo más importante es no demorar la reacción ni confiar en que «se resolverá solo». Una secuencia rápida de acciones en las primeras horas ahorra dinero, nervios y tiempo de recuperación.
Hoy el número de teléfono móvil no es solo un medio para llamar. Es la llave del correo, el banco, la nube, el trabajo y los archivos personales. Un uso cuidadoso de esa llave y una defensa multinivel bien diseñada hacen que los ataques de transferencia de número resulten poco rentables. Cuando el atacante se topa con un proceso rígido, su principal enemigo entra en juego: el tiempo.
Mantenga la preparación, revise configuraciones y no deje el SMS como único método de verificación. Así, incluso el escenario más ingenioso se topa con un perímetro cerrado y usted conserva el control de su vida digital.
