Los ataques de intercambio de SIM son más fáciles de desencadenar de lo que la mayoría de la gente cree. Aquí tienes cinco medidas prácticas que pueden ayudarte a blindar tu número de teléfono antes de que lo haga un delincuente.
Una sola barra de señal perdida puede ser fácil de ignorar. Luego los mensajes dejan de llegar, las llamadas fallan y tu banco empieza a enviarte correos sobre restablecimientos de contraseña que nunca solicitaste. Así es como muchos Ataques de intercambio de SIM comienzan, de forma silenciosa y rápida. Un estafador persuade a una operadora móvil para que traslade tu número a una tarjeta SIM que él controla, y luego usa ese acceso para interceptar códigos SMS, restablecer contraseñas y acceder a tus cuentas más sensibles.
Esto importa ahora porque los números de teléfono siguen estando en el centro de la recuperación de cuentas, incluso mientras los reguladores presionan a las operadoras para reforzar la seguridad. Las normas de la FCC que entraron en vigor en 2024 siguen marcando las prácticas de las operadoras, y ofrecen a los consumidores una protección más sólida, al menos sobre el papel. Tu mejor defensa, sin embargo, sigue empezando por unas cuantas medidas que puedes tomar hoy mismo.
Los ataques de intercambio de SIM empiezan con una debilidad sencilla
A Ataque de intercambio de SIM, también llamado SIM jacking o fraude de portabilidad, ocurre cuando un delincuente convence a un proveedor de servicios inalámbricos para transferir tu número a otra SIM o eSIM bajo su control. Una vez que ese cambio se completa, las llamadas y los mensajes destinados a ti terminan en el dispositivo del atacante.
Eso desencadena una reacción en cadena. Las cuentas de correo electrónico, los bancos, las firmas de inversión, las plataformas sociales y las casas de intercambio de criptomonedas suelen seguir usando la verificación por SMS o la recuperación mediante teléfono. Si tu número se convierte en la herramienta del atacante, tu identidad puede ir detrás.
La FTC lleva años advirtiendo a los consumidores de que los estafadores utilizan la apropiación de cuentas por teléfono para eludir una autenticación débil. Más recientemente, los datos de denuncias del IC3 del FBI han mantenido en el punto de mira el fraude habilitado por medios informáticos, aunque los organismos no siempre desglosan el intercambio de SIM como una categoría independiente en los resúmenes públicos. Esta es una inferencia basada en múltiples avisos al consumidor y patrones de respuesta a incidentes informados durante el último año.
Cómo los delincuentes llevan a cabo los ataques de intercambio de SIM
La estrategia suele ser de baja tecnología. Los atacantes recopilan datos personales de filtraciones antiguas, redes sociales, mensajes de phishing o bases de datos de búsqueda de personas. Luego contactan con la operadora, afirman que el teléfono se ha perdido o ha sufrido daños e intentan responder a las preguntas de seguridad lo bastante bien como para activar la sustitución de la SIM.
A veces eso basta. En otros casos, los informes y escritos judiciales han mostrado que la ayuda interna en tiendas físicas o centros de atención telefónica puede desempeñar un papel, especialmente en casos de robo de alto valor que implican criptomonedas. Un ejemplo muy citado llegó de procesos judiciales en EE. UU. vinculados a esquemas de robo de criptomonedas que utilizaron el secuestro del número para acceder a cuentas de intercambio.
Si observas la secuencia con atención, el patrón se vuelve obvio. El delincuente no está hackeando la tarjeta SIM en el sentido cinematográfico. Está hackeando el proceso humano que la rodea.
Por eso también importa eliminar los datos personales expuestos. Si tu dirección, fecha de nacimiento, familiares y número de teléfono son fáciles de encontrar en Internet, la verificación de la operadora resulta mucho más fácil de falsear. Los lectores que quieran pasos más amplios de higiene digital también pueden ver la guía de DualMedia para proteger tu vida digital.
Cinco pasos para proteger tu número de teléfono hoy mismo
La forma más rápida de reducir el riesgo es tratar tu número de teléfono como una llave maestra. Si alguien se hace con él, puede que no se detenga en los mensajes. Puede ir directamente a por tu correo electrónico y luego a por tus finanzas.
Estas cinco medidas son las defensas más prácticas disponibles ahora mismo:
- Activa un bloqueo de la cuenta de la operadora o congelación del puerto para bloquear transferencias de número sin aprobación adicional.
- Establece un PIN de operador único que no esté vinculado a tu fecha de nacimiento, dirección ni a los últimos cuatro dígitos de tu número de la Seguridad Social.
- Saca las cuentas críticas del SMS y pásalas a una app de autenticación como Google Authenticator, Authy, Microsoft Authenticator o una clave de seguridad física como YubiKey.
- Reduce los datos personales expuestos en sitios de intermediarios de datos y perfiles públicos, porque la ingeniería social funciona mejor cuando tus antecedentes son fáciles de trazar.
- Estate atento a señales de alerta, como la pérdida repentina del servicio, mensajes de cambio de cuenta o correos de restablecimiento de contraseña que no hayas solicitado.
Los principales operadores de EE. UU. ahora promocionan alguna versión de bloqueo de cuenta o protección del número, aunque los nombres varían. AT&T, Verizon y T-Mobile han introducido controles más sólidos en los últimos años, y los requisitos de la FCC que entraron en vigor en 2024 impulsaron aún más esto al exigir autenticación segura y notificaciones al cliente sobre cambios de SIM y portabilidades.
| Detalles clave | Por qué es importante |
|---|---|
| Bloqueo del operador o congelación del puerto | Detiene muchas transferencias no autorizadas de número antes de que se produzcan |
| PIN aleatorio de 6 a 8 dígitos | Dificulta aprobar cambios en la cuenta mediante ingeniería social |
| App de autenticación o clave física de seguridad | Elimina la ventaja del atacante si secuestra tu número de teléfono |
| Limpieza de intermediarios de datos | Limita los datos personales que usan los estafadores para hacerse pasar por ti |
| Respuesta rápida ante la pérdida de servicio | Puede cortar los secuestros de cuentas antes de que salga el dinero |
Por qué las cuentas de criptomonedas y bancarias son objetivos frecuentes
Los ataques de SIM swap suelen afectar allí donde el dinero se mueve rápido. Las plataformas de intercambio de criptomonedas resultan especialmente atractivas porque, una vez que los activos salen de una wallet o de una cuenta de exchange, la recuperación puede ser difícil. Las cuentas bancarias y de corretaje se enfrentan a un riesgo similar cuando sigue activada la recuperación por SMS.
Por eso, el correo electrónico debe protegerse primero. Si un atacante consigue tu número de teléfono y luego restablece la contraseña de tu correo, a menudo puede ir saltando de una cuenta a otra en cuestión de minutos. El número en sí no es el objetivo final, sino el puente.
DualMedia ha explicado con qué rapidez pueden acumularse las pérdidas en incidentes relacionados con las criptomonedas, desde el riesgo en los exchanges hasta la exposición de wallets. Para los lectores activos en activos digitales, estas piezas sobre seguridad de los monederos criptográficos y evolución reciente de los exchanges de criptomonedas aportan un contexto útil.
A la vista de los patrones de ataque denunciados y del diseño de los sistemas de recuperación por SMS, las cuentas de mayor valor deberían apartarse primero de los códigos por mensaje de texto. Eso suele significar el correo electrónico, los gestores de contraseñas, los bancos, las plataformas de corretaje y las plataformas de criptomonedas.
Qué hacer en el momento en que tu móvil se queda sin servicio
Si tu móvil muestra de repente que no tiene servicio y no has cambiado de operador, no esperes. Usa otro dispositivo y llama de inmediato a tu operador de telefonía móvil. Pídeles que congelen la cuenta, reviertan cualquier cambio de SIM no autorizado y documenten cada paso.
Después, protege tu correo electrónico, porque la mayoría de los procesos de recuperación de cuentas empiezan ahí. Cambia las contraseñas de tu cuenta principal de correo, de las apps bancarias, del gestor de contraseñas y de cualquier servicio vinculado al dinero o a tu identidad. Revoca las sesiones activas donde exista esa opción.
A continuación, ponte en contacto con tus entidades financieras y revisa la actividad reciente. Si hay indicios de fraude, presenta denuncias ante IC3.gov y el portal de fraude de la FTC, y considera activar una alerta de fraude o un bloqueo de crédito con Equifax, Experian y TransUnion. La rapidez importa más que la perfección durante la primera hora.
Preguntas frecuentes
¿Puede producirse un SIM swap sin robar el teléfono físico?
Sí. En la mayoría de los casos, el atacante nunca toca el dispositivo de la víctima. El fraude se produce a través del proceso de cambio de cuenta del operador, a menudo mediante ingeniería social o el uso de datos personales robados.
¿Siguen siendo un riesgo los ataques de SIM swap si la autenticación de dos factores está activada?
Sí, si ese segundo factor es por SMS. Los códigos basados en mensajes de texto son mejores que no tener protección, pero son vulnerables cuando alguien toma el control de tu número. Las apps de autenticación y las claves de hardware son opciones mucho más seguras.
¿Garantizan las normas de la FCC el reembolso si un operador comete un error?
No existe una garantía automática. Pero los requisitos de la FCC que entraron en vigor en 2024 dieron a los consumidores una base más sólida para impugnar unas malas prácticas de seguridad de los operadores y llevar las disputas más lejos cuando no se aplicaron las salvaguardas adecuadas.
¿Qué cuentas deberían actualizarse primero tras una sospecha de SIM swap?
Empieza por el correo electrónico, luego la banca, la correduría, las criptomonedas y tu gestor de contraseñas. Esas cuentas pueden desbloquear casi todo lo demás, así que protegerlas primero reduce la probabilidad de una toma de control más amplia.
Qué observar a continuación
Las operadoras están sometidas a más presión que hace unos años, y eso supone un cambio significativo. Pero el número de teléfono sigue siendo un punto débil en toda la economía digital, especialmente cuando el SMS todavía se trata como una herramienta de identidad de confianza.
La jugada inteligente no es complicada. Bloquea la cuenta de la operadora, establece un PIN fuerte, sustituye la autenticación por SMS siempre que sea posible y reacciona rápido ante cualquier pérdida de servicio sin explicación. En la práctica, Ataques de intercambio de SIM se pueden prevenir con más frecuencia de la que son inevitables.
¿Quieres más cobertura como esta sobre tecnología e innovación? DualMedia Innovation News sigue los cambios tecnológicos que realmente importan, desde la IA hasta el hardware plegable, pasando por la próxima ola de productos de consumo.