En pocas palabras, el SIM swapping es cuando atacantes gestionan un «reemitido» de su SIM con el operador o trasladan el número a otro proveedor y obtienen control total de llamadas y SMS. A partir de ahí todo es predecible: interceptan códigos de acceso, inician restablecimientos de contraseña y capturan correo, mensajería, bancos y monederos de criptomonedas. Lo desagradable es que el teléfono está en la mano, pero el número ya «vive» en una tarjeta o eSIM ajena. En este artículo —una explicación clara de cómo ocurren estos secuestros, por qué siguen funcionando, qué están cambiando los reguladores y qué pasos reales reducen el riesgo casi a cero.
Qué es el SIM swapping en la práctica
El SIM swapping (también se denomina «traslado de número sin su participación», «fraude de port-out», «SIM-hijack») no es hackear su smartphone, sino manipular procesos en el operador. El atacante convence al soporte de que es usted y solicita vincular su número a una nueva SIM o eSIM. A veces el número se traslada a otro operador. Desde el punto de vista técnico, lo que importa para el atacante no es el chip en sí, sino el derecho a recibir llamadas y SMS, porque eso basta para pasar la autenticación SMS-2FA y restablecer contraseñas en servicios clave. Las descripciones oficiales del esquema coinciden entre distintos organismos: FBI/IC3, CISA, ENISA.
Es importante distinguir el SIM swapping de fenómenos similares. La «clonación de la SIM» es un escenario criminal más raro y complejo que copia secretos de la SIM; ocurre mucho menos. El «reenvío/desvío» es la reconfiguración de la ruta de llamadas/SMS sin vincular el número a una nueva SIM; también lo usan estafadores, pero el operador suele resolverlo más rápido. El SIM swapping clásico traslada el número a otra SIM/eSIM o a otro operador, lo que da a los delincuentes un canal completo para interceptar códigos y recuperar accesos.
Por qué es peligroso: magnitud real
Las estadísticas son aleccionadoras. Según IC3, solo en 2021 en EE. UU. se registraron 1 611 denuncias por SIM swapping con pérdidas agregadas superiores a $68 millones (en 2018–2020 hubo 320 denuncias y unos $12 millones). Son cifras de quienes llegaron a denunciar; el panorama real es más amplio. No solo son víctimas inversionistas en cripto o figuras públicas, sino también propietarios de cuentas administrativas corporativas: un código SMS interceptado puede abrir el camino al correo, la nube y paneles de administración.
Los casos con detenciones muestran que no son «travesuras menores». En 2021 una operación internacional de NCA/HSI detuvo a un grupo que atacaba a deportistas y músicos conocidos; tras apoderarse del número los atacantes cambiaban contraseñas, robaban dinero y capturaban cuentas en redes sociales. Ese es exactamente el escenario que teme cualquier propietario de cuentas con dinero o audiencia.
Cómo funciona el ataque: paso a paso
Reconocimiento y recopilación de datos
Primero el adversario recopila datos personales que ayudan a pasar la verificación en soporte: nombre y apellidos, fecha de nacimiento, direcciones, últimos dígitos de documentos, respuestas a preguntas de seguridad. Las fuentes son filtraciones de bases de datos, «volcados» de cuentas, formularios de phishing, redes sociales y, a veces, compra de datos en mercados clandestinos. Paralelamente los delincuentes averiguan quién es su operador, cómo verifica identidades y cómo contactar más rápido a un empleado dispuesto a pulsar el botón necesario.
Engaño al operador o traslado del número
Después viene una de las bifurcaciones típicas. O bien una llamada/visita a un punto físico con una historia convincente, o el acceso/descubrimiento de la contraseña de su área personal en el operador, o un traslado forzado del número a otro proveedor (port-out). En algunos casos hay corrupción: pago a un «insider». Como indica IC3, se usan ingeniería social, abusos internos e incluso infección de sistemas operativos del operador.
Apoderamiento de canales y acceso a sus servicios
En cuanto el número «se mudó», todas las llamadas y mensajes llegan al teléfono ajeno. Empieza la cadena habitual: petición de «olvidó la contraseña?» en correo y bancos, interceptación de códigos SMS, cambio de contraseñas, eliminación de direcciones de recuperación y sustitución del método 2FA por uno conveniente para el atacante. Si tiene recuperación por número en varios servicios, es un efecto dominó que cae muy rápido.
SIM swapping, eSIM y por qué el SMS-2FA cada vez está más restringido
El paso a eSIM por sí solo no resuelve el problema: el número aún puede vincularse ilegalmente a una nueva eSIM de forma remota, y los códigos SMS seguirán en manos del atacante. En el ámbito de la identidad digital, reguladores y normalizadores llevan tiempo advirtiendo: el riesgo principal es el uso de la red telefónica pública (PSTN) como «segundo factor». El documento NIST SP 800-63B recomienda considerar indicadores de riesgo como el cambio de dispositivo, el cambio de SIM o el traslado del número antes de enviar un secreto de un solo uso por voz/SMS. En otras palabras, el propio canal SMS se reconoce como vulnerable y exige comprobaciones adicionales.
La postura de los organismos de ciberseguridad es congruente: CISA describe el SIM swap y hasta la explotación de vulnerabilidades de SS7 para interceptar códigos, y en boletines conjuntos sobre grupos activos, por ejemplo sobre Scattered Spider, los reguladores aconsejan migrar a FIDO/WebAuthn y PKI-MFA, que son inmunes al phishing, al bombardeo de notificaciones push y a la interceptación del número.
Qué están cambiando los reguladores y la industria
En EE. UU. la FCC aprobó normas que obligan a los operadores a usar «métodos seguros» de autenticación antes de realizar una sustitución de SIM o traslado de número, a notificar al cliente antes de la operación, a ofrecer la posibilidad de «bloquear» la cuenta contra tales acciones y a llevar registro de la eficacia de sus medidas. Estos requisitos entraron en vigor por fases entre enero y julio de 2024 y deberían reducir las ventanas para la ingeniería social.
Las estructuras europeas tampoco permanecen inactivas: ENISA publicó un estudio con medidas para operadores y reguladores, y la asociación sectorial GSMA promueve comprobaciones API sobre la reciente sustitución de la SIM —señales que las empresas pueden usar en la lógica antifraude (por ejemplo, prohibir operaciones de riesgo en las primeras 24–72 horas tras el cambio de SIM). En el Reino Unido el regulador Ofcom está endureciendo las reglas contra el fraude de telecomunicaciones en general, cerrando agujeros técnicos para la interceptación de tráfico e imponiendo procedimientos antifraude adicionales.
Señales de que su número ya fue secuestrado
-
El teléfono pierde conexión de forma repentina y aparece «Sin servicio»/«Solo llamadas de emergencia». Al mismo tiempo no hay problemas de cobertura para otros usuarios cercanos.
-
Llegan a la dirección de recuperación notificaciones push de «código de confirmación» o correos sobre cambio de contraseña, aunque usted no haya realizado ninguna acción.
-
El operador envió una notificación sobre una solicitud de sustitución de SIM o traslado de número —y usted no la solicitó. Según las nuevas normas en algunos países, el proveedor está obligado a avisar de estas solicitudes con antelación.
-
No puede entrar en servicios clave y los intentos de «recuperar acceso» exigen el envío de códigos al número que ya no está en su poder.
Cómo protegerse como usuario particular
Reducir la «importancia» del número en su vida digital
Lo principal es dejar de usar SMS como segundo factor y como método principal de recuperación. Cambie a una aplicación autenticadora (TOTP), a una llave de hardware FIDO2/Passkey y a códigos de reserva. Donde sea posible active inicios con MFA resistente al phishing. Revise todos los servicios importantes: correo, nube, pagos, exchanges, redes sociales, plataformas de código, paneles de administración. Cuantos menos servicios vinculados al SMS, menor la ganancia para el atacante.
Fortalecer la cuenta en el operador
Establezca un PIN/contraseña independiente en la cuenta del operador y, si está disponible, active el «bloqueo del número» (port-out/SIM-change lock). La idea es simple: sin introducir ese PIN y/o sin levantar el bloqueo, los empleados no podrán reemitir la SIM ni trasladar el número. En EE. UU. esto ahora cuenta con respaldo regulatorio: la FCC exige métodos seguros de autenticación y notificaciones antes de ejecutar operaciones.
Reducir el efecto de la pérdida repentina del número
Cree contactos de recuperación en forma de direcciones de correo alternativas, no de números telefónicos. Guarde fuera de línea un juego de códigos de recuperación para servicios clave. Para operaciones bancarias prefiera confirmaciones en la aplicación en lugar de SMS y active notificaciones instantáneas de pagos. Si es una persona pública o trabaja con dinero/infraestructura, puede tener un «número discreto» que no esté difundido y se use solo para tareas poco vinculadas (pero no para 2FA).
Higiene de datos y reacción al phishing
Minimice la exposición de información personal en acceso público, no facilite el número a contratistas y sitios por costumbre. Use un gestor de contraseñas, active la comprobación de filtraciones en el navegador y practique reconocer el phishing por el estilo: la mayoría de los SIM swaps comienzan con ingeniería social y robo de identificadores. Las guías de ENISA organizan bien las señales y pasos preventivos.
Cómo protegerse las empresas
Primero y básico —elimine SMS/voz como segundo factor allí donde haya algún acceso a datos o administración. Active FIDO/WebAuthn y llaves de hardware, proporcione a empleados instrucciones claras para códigos de reserva y reemplazo de llaves en emergencia. Ese conjunto es el que recomiendan los organismos especializados, porque resiste el phishing, el bombardeo de notificaciones y la interceptación del número.
Segundo —señales de riesgo. Reaccione ante un «cambio reciente» de SIM o un port-out como un disparador de riesgo elevado: intensifique las verificaciones en cambio de contraseña, inicio desde un dispositivo nuevo, transferencias de dinero o modificación de datos de pago. Esto coincide con la lógica de NIST 800-63B, que indica considerar señales de «cambio de dispositivo/SIM» antes de usar la PSTN como canal para enviar secretos. Para integraciones con operadores móviles será útil la GSMA Open Gateway SIM Swap API —permite comprobar la «recencia» del cambio de SIM para un MSISDN concreto y reforzar verificaciones al vuelo en operaciones riesgosas.
Tercero —procesos de soporte. Elimine las verificaciones «flexibles» de identidad en back office, que se sortean con conocimiento de hechos públicos. Introduzca «contraintegería social»: prohibir acciones críticas por teléfono o chat sin confirmación criptográfica desde un dispositivo registrado. Forme a los especialistas con casos concretos, incluidas intentos de «pedir» el código 2FA o iniciar un cambio de número sobre un empleado que esté de viaje.
Qué hacer si le quitaron el número: plan de recuperación
-
Contactar inmediatamente al operador desde cualquier línea disponible (otro teléfono, fijo, eSIM en un segundo dispositivo). Informe la sustitución o traslado no autorizado y exija el bloqueo urgente de operaciones con el número. Pida abrir una investigación interna y obtener un certificado de la actuación —esto será útil para el banco y la policía. Las exigencias de la FCC prevén que los proveedores ayuden con documentación para las víctimas.
-
Recuperar cuentas críticas. Empiece por correo y nube —restablezca acceso sin SMS (con códigos de reserva, aplicaciones 2FA, llaves de hardware). Cambie contraseñas de inmediato y cierre sesiones. Verifique reglas de reenvío de correo y accesos desde aplicaciones.
-
Bancos y exchanges. Llame al número que figura en el reverso de la tarjeta o en la web y solicite límites temporales en transferencias, o active confirmaciones en la aplicación. Restaure 2FA a un método seguro y elimine la vinculación del número en la configuración.
-
Mensajería y redes sociales. Active protección con contraseña para el acceso, desactive inicios por SMS. En Telegram configure inmediatamente un código de acceso y la verificación en dos pasos con contraseña, y luego active llave de hardware/Passkey donde esté disponible.
-
Denuncia ante las autoridades. En EE. UU. además presente una queja en IC3; eso ayuda a correlacionar incidentes y acelera la gestión del banco/aseguradora. Fuera de EE. UU. acuda a la policía cibernética local y a los reguladores de telecomunicaciones.
Preguntas frecuentes
¿Ayuda el PIN de la SIM?
El PIN de la SIM protege contra el acceso físico al chip si pierde el teléfono o se lo roban. Pero en un SIM swapping clásico el número se traslada a otra SIM en la infraestructura del operador, y el PIN local no interviene. Poner PIN es recomendable, pero es otra capa de protección.
¿Y si tengo eSIM —me salva?
No. Los operadores pueden emitir perfiles eSIM de forma remota. Sin bloqueo en la cuenta y sin controles de identidad estrictos, el atacante podrá «atar» su número a su eSIM. Por eso son necesarios el PIN de cuenta en el operador, la prohibición de traslados y, sobre todo, dejar de usar SMS como segundo factor allí donde sea posible.
¿Por qué los reguladores presionan para dejar de usar códigos SMS?
Porque la red telefónica no fue diseñada como canal de autenticación de confianza. La interceptación es posible por SIM swapping, por phishing al operador y por vulnerabilidades en protocolos de señalización. Los documentos NIST 800-63B y materiales de CISA respaldan este enfoque y recomiendan FIDO/WebAuthn.
Breve lista de verificación de seguridad
-
Revise dónde está activado el SMS-2FA. Active aplicaciones autenticadoras o llaves de hardware en correo, nube, banca, servicios cripto y herramientas laborales.
-
Configure en el operador un PIN/contraseña independiente y active la prohibición de port-out/cambio de SIM. Guarde el número del centro de contacto para incidentes.
-
Retire el número de las opciones de «recuperación» donde no sea imprescindible. Configure códigos de reserva y un correo secundario.
-
Vigile filtraciones. Si su número o correo «aparecen» en una filtración, refuerce inmediatamente la autenticación y el monitoreo de operaciones.
-
Para empresas —active la verificación de «recencia de cambio de SIM» mediante APIs sectoriales o servicios antifraude y aplique reglas de riesgo elevado en operaciones sensibles.
Conclusión
El SIM swapping no trata de «hackear smartphones». Trata de procesos vulnerables y a veces demasiado «humanos» en operadores de telecomunicaciones y de la costumbre de los servicios de confiar en códigos SMS. La buena noticia es que la protección no exige magia: basta con eliminar SMS de puntos críticos, activar bloqueos en el operador, no divulgar el número «por cualquier motivo» y tener un plan de acción ante la «silenciación» del teléfono. Los reguladores ya están ajustando normas, la industria ofrece señales API para antifraude y, por tanto, las probabilidades para los atacantes disminuirán si no les facilitamos el trabajo.
