Qué es el SIM swapping - anatomía completa de un ataque que secuestra tu número de teléfono

El SIM swapping (fraude de intercambio de SIM) es una técnica de ataque en la que un atacante engaña a un operador de telefonía móvil para transferir el número de teléfono de la víctima a una tarjeta SIM controlada por el atacante. Al tomar el control del número de teléfono, el atacante puede eludir la autenticación por SMS y obtener acceso no autorizado a cualquier servicio vinculado al número: cuentas bancarias, billeteras de criptomonedas, cuentas de correo electrónico y más.

Según informes del Internet Crime Complaint Center (IC3) del FBI, las pérdidas por SIM swapping alcanzan decenas de millones de dólares anuales. Este artículo explica de forma sistemática desde los mecanismos técnicos del ataque hasta las medidas de defensa concretas.

Mecanismo del ataque - 4 fases

Un ataque de SIM swapping progresa por etapas, desde la recopilación de información hasta la ejecución. Comprender cada fase es el primer paso para la defensa.

Fase 1: Recopilación de información del objetivo

El atacante primero recopila información personal del objetivo. Combina múltiples vías como ingeniería social, phishing, compra a intermediarios de datos e información filtrada en brechas de datos anteriores para obtener lo siguiente:

  • Nombre completo, fecha de nacimiento, dirección
  • Número de teléfono, dirección de correo electrónico
  • Información del contrato con el operador (número de cuenta, código PIN)
  • Respuestas a preguntas de seguridad utilizadas para la verificación de identidad (apellido de soltera de la madre, nombre de la mascota, etc.)

Fase 2: Suplantación ante el operador

Armado con la información recopilada, el atacante contacta al servicio de atención al cliente del operador. Con pretextos como "perdí mi smartphone" o "mi tarjeta SIM está dañada", solicita la transferencia del número de teléfono a una nueva tarjeta SIM. Como puede responder correctamente a las preguntas de verificación de identidad, el operador cree que se trata de un cliente legítimo.

En algunos casos, los atacantes sobornan a empleados internos del operador para ejecutar el cambio de SIM sin pasar por los procedimientos regulares. En un caso descubierto en Estados Unidos en 2023, se reveló que empleados del operador participaban en intercambios de SIM a cambio de unos cientos de dólares por caso.

Fase 3: Secuestro del número de teléfono

Una vez completado el cambio de SIM, el smartphone de la víctima pierde señal inmediatamente. Todas las llamadas y SMS se redirigen al dispositivo del atacante. Los minutos u horas hasta que la víctima nota la anomalía son el "tiempo dorado" del atacante.

Fase 4: Toma de control de cuentas

Con el número de teléfono bajo su control, el atacante elude la autenticación de dos factores (2FA) basada en SMS para infiltrarse en las cuentas. Un escenario de ataque típico es el siguiente:

  1. Usa la función "olvidé mi contraseña" de la cuenta de correo electrónico para recibir un código de verificación por SMS
  2. Toma el control de la cuenta de correo y desde allí ejecuta restablecimientos de contraseña en cadena para bancos, exchanges de criptomonedas y redes sociales
  3. Transfiere criptomonedas a la billetera del atacante o mueve fondos de cuentas bancarias

Por qué la autenticación por SMS es vulnerable

La 2FA basada en SMS es un mecanismo que demuestra la posesión de un número de teléfono como "segundo factor" de autenticación. Sin embargo, dado que los números de teléfono pueden transferirse fácilmente mediante SIM swapping, no funcionan como prueba de posesión.

El NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) clasificó en 2016, en su publicación SP 800-63B, el uso de SMS como medio de autenticación como "restringido", recomendando la migración a alternativas más seguras. Las razones son claras:

  • Los SMS se transmiten en texto plano sin cifrar. Explotando vulnerabilidades del protocolo SS7, pueden interceptarse en la ruta de comunicación
  • Un número de teléfono no es un identificador permanentemente vinculado a una persona, sino una asignación temporal que puede transferirse mediante procedimientos del operador
  • Además del SIM swapping, existen múltiples métodos para eludir los SMS: ataques SS7, interceptación de SMS mediante malware, vishing, entre otros

La autenticación por SMS es "mejor que nada", pero es insuficiente para proteger cuentas de alto valor (financieras, criptomonedas, correo electrónico).

Señales de que has sido víctima de SIM swapping

Si aparece aunque sea una de las siguientes señales, sospecha de SIM swapping e inicia la respuesta de inmediato:

  • Tu smartphone pierde señal repentinamente y no puedes recibir llamadas ni SMS
  • Recibes una notificación del operador diciendo "el cambio de tarjeta SIM se ha completado" (verificado por correo electrónico u otro dispositivo)
  • No puedes iniciar sesión en tus cuentas de correo electrónico o redes sociales
  • Recibes notificaciones de transferencias no reconocidas desde tu cuenta bancaria o billetera de criptomonedas
  • Conocidos te informan que "recibieron mensajes sospechosos desde tu cuenta"

Si detectas que has sido víctima, primero llama a tu operador para solicitar la desactivación de la SIM, luego contacta a tus instituciones financieras y cambia tus contraseñas como máxima prioridad.

Medidas de defensa - abandonar la autenticación por SMS y defensa en profundidad

1. Adoptar llaves de seguridad de hardware

Las llaves de seguridad de hardware compatibles con FIDO2/WebAuthn (YubiKey, Google Titan Security Key, etc.) son la defensa más robusta contra el SIM swapping. La autenticación se basa en la posesión del dispositivo físico y una prueba criptográfica, por lo que no puede eludirse mediante el secuestro de un número de teléfono.

Las passkeys también se basan en criptografía de clave pública y no dependen de SMS. Considera migrar activamente a passkeys en los servicios compatibles.

2. Migrar a aplicaciones de autenticación

Las aplicaciones TOTP (Time-based One-Time Password) como Google Authenticator, Microsoft Authenticator y Authy son medios de 2FA más seguros que los SMS. Los códigos de autenticación se generan dentro del dispositivo, por lo que no pueden obtenerse mediante el secuestro del número de teléfono.

Sin embargo, es necesario tener cuidado con la gestión de los códigos de respaldo de la aplicación de autenticación. Si los códigos de respaldo se filtran, la protección de la aplicación de autenticación también queda anulada.

3. Configurar el bloqueo de SIM (port freeze) del operador

Muchos operadores de telefonía móvil ofrecen funciones que requieren autenticación adicional para cambios de SIM o portabilidad numérica.

  • PIN de bloqueo de SIM: requiere un código PIN dedicado al cambiar la SIM
  • Port freeze: congela temporalmente la portabilidad numérica (MNP)
  • PIN de cuenta: requiere autenticación adicional al contactar con atención al cliente

Estas configuraciones pueden activarse desde el portal web del operador o en tienda. Si no las has configurado, actívalas ahora mismo.

4. Minimizar la exposición de información personal

El punto de partida del SIM swapping es la recopilación de información personal. Reducir la información que llega al atacante es la defensa fundamental.

  • No publicar fecha de nacimiento, dirección ni número de teléfono en redes sociales
  • Revisar la configuración de privacidad en redes sociales y minimizar el alcance de lo que es público
  • Eliminar tu información de sitios de intermediarios de datos (procedimiento de opt-out)
  • Verificar periódicamente tu huella digital y detectar exposiciones innecesarias de información
  • Comprobar en IP Check-san cuánta información de tu dirección IP y red está expuesta públicamente

5. Separar el número de teléfono de las cuentas importantes

También es efectivo usar un número de teléfono diferente al de uso diario para registrarse en instituciones financieras y exchanges de criptomonedas. Usando Google Voice o una tarjeta SIM dedicada y manteniendo ese número en privado, se dificulta que el atacante identifique el número objetivo.

¿Puede la eSIM prevenir el SIM swapping?

La eSIM (SIM integrada) no requiere el reemplazo físico de una tarjeta SIM, por lo que a veces se dice que es "resistente al SIM swapping". Sin embargo, incluso con eSIM, es posible reemitir el perfil a través del servicio de atención al cliente del operador.

La ventaja de la eSIM radica en prevenir el robo o reemplazo físico de la tarjeta SIM. Sin embargo, dado que la esencia del SIM swapping es la vulnerabilidad del proceso de verificación de identidad del operador, la eSIM por sí sola no es una solución fundamental. Es importante combinar la adopción de eSIM con la configuración de bloqueo de SIM del operador y el abandono de la autenticación por SMS.

Conclusión - hacia un sistema de seguridad que no dependa del número de teléfono

El SIM swapping es un ataque que explota el "eslabón débil" que es el número de teléfono. Mientras dependas de la autenticación por SMS, por muy robusta que sea tu contraseña, todo se derrumba con un solo secuestro del número de teléfono.

El núcleo de la defensa es migrar la base de autenticación del número de teléfono a medios criptográficos (llaves de hardware, passkeys, aplicaciones de autenticación). Al mismo tiempo, construye una defensa en profundidad combinando la configuración de bloqueo de SIM del operador y la gestión de la exposición de información personal.

Comienza verificando tu información de red en IP Check-san para comprender cuánta información está expuesta al exterior.

Términos del glosario relacionados

Autenticación de dos factores (2FA) Método de seguridad que verifica la identidad mediante un segundo factor como un dispositivo físico o información biométrica, además de la contraseña. Existen múltiples métodos: SMS, aplicaciones de autenticación, llaves de hardware. Ingeniería social Técnica de ataque que explota debilidades psicológicas humanas en lugar de medios técnicos para extraer información confidencial. Incluye suplantación de identidad, phishing y fabricación de pretextos. Phishing Técnica de ataque que utiliza correos electrónicos y sitios web falsos que se hacen pasar por servicios u organizaciones legítimas para robar información confidencial como contraseñas y datos de tarjetas de crédito. Passkey Método de autenticación sin contraseña basado en el estándar FIDO2/WebAuthn. Utiliza criptografía de clave pública y ofrece alta resistencia contra phishing y SIM swapping. Dirección IP Dirección numérica que identifica dispositivos en internet. Existen dos tipos, IPv4 e IPv6, y se utiliza para especificar el origen y destino de las comunicaciones.