Seguridad móvil e IoT

Ataque de SIM swapping

Se lee en aproximadamente 4 minutos

Última actualización: 2026-03-22

Qué es un ataque de SIM swapping

Un ataque de SIM swapping (SIM Swap Attack / secuestro de SIM) es una técnica de ataque en la que el atacante engaña a la compañía telefónica para transferir el número de teléfono de la víctima a una tarjeta SIM controlada por el atacante. Al tomar el control del número de teléfono, intercepta los códigos de autenticación de dos factores enviados por SMS para acceder de forma no autorizada a cuentas bancarias, billeteras de criptomonedas, cuentas de correo electrónico, etc.

Este ataque no es un hacking técnicamente avanzado, sino que utiliza la ingeniería social como medio principal. El atacante contacta al servicio de atención al cliente de la compañía telefónica utilizando información personal obtenida previamente mediante phishing o filtraciones de datos (nombre, dirección, fecha de nacimiento, número de cuenta, etc.), y solicita la transferencia del número alegando "He perdido mi tarjeta SIM" o "Quiero cambiar de dispositivo".

En Japón también se han reportado casos de transferencias fraudulentas por ataques de SIM swapping desde 2022, y el Ministerio de Asuntos Internos y Comunicaciones ha solicitado a las compañías telefónicas que refuercen la verificación de identidad.

Métodos concretos del ataque de SIM swapping

  1. Recopilación de información personal: El atacante recopila nombre, dirección, fecha de nacimiento, número de teléfono e información de cuenta del objetivo a partir de correos de phishing, información pública en redes sociales, información filtrada en filtraciones de datos anteriores e información personal vendida en la dark web.
  2. Contacto con la compañía telefónica: Contacta al servicio de atención al cliente de la compañía telefónica utilizando la información personal recopilada, suplantando la identidad de la víctima. Declara "He perdido mi SIM" o "Quiero cambiar a un nuevo dispositivo" y solicita la transferencia del número a una nueva SIM.
  3. Cambio de SIM: Cuando la compañía telefónica aprueba la verificación de identidad, el número de teléfono de la víctima se transfiere a la SIM del atacante. En este punto, el smartphone de la víctima queda sin señal y no puede recibir llamadas ni SMS.
  4. Toma de control de cuentas: El atacante recibe códigos de autenticación SMS con el número de teléfono de la víctima e inicia sesión en cuentas bancarias, cuentas de correo electrónico, exchanges de criptomonedas, etc. Como el restablecimiento de contraseña también se puede ejecutar vía SMS, puede tomar el control de cuentas sin conocer la contraseña.

Todo el proceso del ataque se completa frecuentemente en pocas horas, y cuando la víctima nota la anomalía, los fondos ya han sido transferidos.

Medidas de defensa contra ataques de SIM swapping

Medidas concretas para protegerse de los ataques de SIM swapping.

  • Abandonar la autenticación SMS: La medida más efectiva es no usar la autenticación de dos factores basada en SMS. Al cambiar a TOTP (aplicaciones de autenticación como Google Authenticator, Authy) o passkeys, los códigos de autenticación no se interceptan aunque se robe el número de teléfono.
  • Configurar PIN / contraseña en la compañía telefónica: Muchas compañías telefónicas permiten configurar un PIN o contraseña adicional para cambios de SIM o portabilidad numérica. NTT Docomo, au y SoftBank verifican el PIN en los procedimientos en tienda.
  • Minimizar la publicación de información personal: Evitar publicar fecha de nacimiento, dirección y número de teléfono en redes sociales. Reducir la información que los atacantes pueden usar para la verificación de identidad disminuye la tasa de éxito de la ingeniería social.
  • Detección temprana de anomalías: Si el smartphone pierde señal repentinamente o deja de recibir SMS, sospechar de un ataque de SIM swapping y contactar inmediatamente a la compañía telefónica. Cuanto más tiempo pase, más se expande el daño.
  • Notificaciones por correo de cuentas importantes: Configurar notificaciones por correo electrónico para inicios de sesión y transferencias de cuentas bancarias y exchanges de criptomonedas. Contribuye a la detección temprana de accesos no autorizados.

Riesgos de la autenticación SMS y alternativas

El problema fundamental del ataque de SIM swapping es que el SMS es vulnerable como medio de autenticación. El NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) clasificó la autenticación basada en SMS como "no recomendada" ya en 2016.

Las razones por las que la autenticación SMS es vulnerable no se limitan al SIM swapping.

  • Vulnerabilidades del protocolo SS7: El protocolo base de la red telefónica SS7 tiene vulnerabilidades de diseño que hacen técnicamente posible la interceptación de SMS.
  • Interceptación de SMS por malware: Malware instalado en dispositivos Android puede leer SMS y reenviarlos al atacante.

El orden de prioridad recomendado de alternativas es el siguiente.

  1. Passkeys: Resistentes al phishing y las más seguras. Se integran con la autenticación biométrica del dispositivo, con alta comodidad también.
  2. Aplicaciones de autenticación TOTP: Contraseñas de un solo uso generadas en el dispositivo. No dependen de la ruta de comunicación, por lo que no se ven afectadas por el SIM swapping.
  3. Llaves de seguridad de hardware: Dispositivos físicos como YubiKey. Resistentes al phishing y ampliamente adoptados en entornos empresariales.

No todos los servicios son compatibles con autenticación distinta a SMS, pero se recomienda encarecidamente migrar prioritariamente las cuentas importantes como banca, correo electrónico y criptomonedas.

Conceptos erróneos comunes

Los ataques de SIM swapping solo apuntan a famosos o personas adineradas
Los usuarios comunes que poseen criptomonedas o los usuarios de banca en línea que dependen de la autenticación SMS también son objetivos. Los atacantes pueden obtener grandes cantidades de información personal a bajo costo en la dark web y atacar múltiples objetivos simultáneamente con herramientas automatizadas.
Las compañías telefónicas japonesas tienen verificación de identidad estricta, así que el SIM swapping no ocurre
En Japón también se han reportado múltiples casos de daños por ataques de SIM swapping desde 2022. Se han confirmado métodos que utilizan documentos de identidad falsificados para reemitir SIM en tiendas, y aunque las compañías telefónicas están reforzando las medidas, el riesgo no es cero.

Términos relacionados

Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Ingeniería social Una metodología de ataque que explota las debilidades psicológicas humanas en lu… Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… TOTP (Contraseña de un solo uso basada en tiempo) Un algoritmo definido en RFC 6238 que genera una nueva contraseña de un solo uso… Passkey Una tecnología de autenticación sin contraseña basada en el estándar FIDO2/WebAu…

Artículos relacionados

Autenticación de dos factores (2FA) - La mejor defensa para tus cuentas Comprende cómo funciona 2FA, los diferentes tipos (SMS, TOTP, FIDO2), cómo configurarla y por qué la… Configuración de privacidad del smartphone - 8 ajustes que suelen pasarse por alto Descubre la información personal que tu smartphone puede estar filtrando y los ajustes de privacidad…
← Glosario