SHIELD

Conectividad

eSIM de viaje: el pasaporte digital discreto

Usar una eSIM de datos local para viajar sin exponer su número nacional, comparar las opciones, gestionar los riesgos residuales.

Publicado el 16 min de lectura Exposed

Última revisión:

Cables de red conectados a un switch

Un directivo me tiende su teléfono en el hall de un hotel en Ciudad Ho Chi Minh, molesto. Su banco acaba de bloquear una conexión «desde un dispositivo inhabitual». Miro su pantalla: ha dado el número de la eSIM local que acaba de comprar como número de contacto a tres interlocutores, y se extraña de que sus códigos de validación ya no lleguen. El número vietnamita no recibe SMS internacionales de forma fiable, y caduca en nueve días. Mientras tanto, su número español, por su parte, ha seguido en roaming activo en su bolsillo —visible para su operador, facturado al megabyte, y todavía capaz de recibir los códigos que creía haber trasladado—. Lo había invertido todo.

Angle de lecture

La trampa habitual

El discurso dominante sobre la conectividad en viaje se resume en dos frases, y las dos le salen caras. La primera: «activo el roaming, funciona en todas partes». Es cierto, técnicamente. Es también la opción más cara, más rastreable y menos controlada que existe. Fuera de la Unión Europea, el roaming se factura a veces entre 5 y 15 euros el megabyte en ciertas redes, y las tarifas «viaje» de su operador topan rápido o ralentizan más allá de unos cientos de megabytes. Una eSIM local de 10 GB en Asia cuesta de 8 a 20 euros. La diferencia se cuenta en un factor de 10 a 50. Pero la factura no es más que la parte visible.

La segunda frase, más moderna, viene de la gente que ha entendido la primera trampa: «compro una eSIM de datos, y me vuelvo invisible». Falso. Una eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador. cambia el operador que ve su tráfico, no su dispositivo. Su IMEIIdentificador único de 15 dígitos de un terminal móvil, vinculado al hardware. —el identificador material de quince cifras soldado a su teléfono— sigue siendo rigurosamente el mismo sea cual sea el perfil que cargue. La eSIM resuelve un problema de coste y de visibilidad de operador. No resuelve el problema de identidad del dispositivo, y no le hace anónimo. Confundir ambos lleva a decisiones absurdas, como comprar una eSIM «por la discreción» mientras se mantiene el número principal en roaming activo, lo que anula el efecto buscado.

El verdadero asunto no es ni el precio ni el anonimato fantaseado. Es la separación de los usos. Una eSIM de datos bien empleada le da una conectividad local rápida, barata, y que no informa a su operador habitual de sus desplazamientos minuto a minuto. Pero solo tiene sentido en una arquitectura pensada: quién recibe sus códigos de autenticación, qué número da como contacto, qué línea sigue localizable en caso de urgencia, y qué acepta dejar visible en qué país. Sin esa reflexión, compra un gadget de ocho euros y cree haber resuelto una cuestión de seguridad.

Cómo funciona, y lo que expone de verdad

La SIM física es una tarjeta extraíble que porta un perfil de operador único. La eSIM es un chip integrado y reprogramable: el perfil —la configuración que autentica el dispositivo en una red— se convierte en un archivo que se descarga. En concreto, usted compra una tarifa de datos a un proveedor, recibe un código QR, lo escanea en los ajustes, y el perfil se activa en menos de dos minutos. Los iPhone XS y posteriores, los Pixel 3 y siguientes, los Galaxy S20 y posteriores gestionan todos la eSIM. Los iPhone recientes almacenan varios perfiles (de cinco a ocho), pero solo uno permanece activo para los datos a la vez, salvo en los modelos dual-eSIM simultáneos como los iPhone vendidos en Estados Unidos desde el 14.

Lo que la eSIM cambia realmente para usted es la visibilidad del lado del operador. Cuando activa el roaming, su operador español —Movistar, Vodafone, Orange, Yoigo— se entera en tiempo real de que está en tal país, en tal red asociada, a tal hora, con qué volumen agregado. Ese dato existe, se conserva, y en ciertas jurisdicciones es accesible. Con una eSIM local, su operador habitual solo sabe que usted no usa su red. La red local, por su parte, ve su tráfico —pero es un actor diferente, sin vínculo con su historial de doce años de facturas, sus datos bancarios y su agenda de operador—.

Lo que no cambia es todo el resto de la capa material. El IMEI sigue siendo visible para la red local, y es más persistente que cualquier número: cambiar de SIM o de perfil eSIM en la misma carcasa no lo modifica jamás. Si su modelo de amenaza incluye una disociación completa entre su identidad conocida y su actividad sobre el terreno —y para la mayoría de los viajeros, no es el caso— hace falta un dispositivo dedicado, no un perfil eSIM distinto en su teléfono habitual. Del mismo modo, en las zonas donde hay IMSI catchersFalsa estación base móvil que fuerza a los teléfonos a conectarse para interceptar tráfico e identificadores. desplegados, la eSIM no le protege: esos falsos relés captan el dispositivo independientemente del perfil de operador cargado. La eSIM es una herramienta de gestión de conectividad y de coste, no una herramienta de contravigilancia.

Hay un tercer nivel de exposición que casi nadie menciona, y que sin embargo es el más pernicioso: el perfil eSIM de datos no trata el comportamiento del resto de su teléfono. Sus aplicaciones siguen funcionando exactamente igual que en casa. Su cliente de correo sincroniza, su nube respalda, sus mensajerías reciben, sus aplicaciones de cartografía remontan su posición, y cada una habla con sus servidores habituales —a menudo en Estados Unidos o en Europa— desde una dirección IP local del país donde está. Para un observador de red local, esta acumulación dibuja un retrato: un dispositivo extranjero que habla con Microsoft 365, con un banco español, con una VPN de empresa, con servicios profesionales identificables. La eSIM ha borrado a su operador español de la ecuación, pero no ha cambiado nada de lo que sus aplicaciones cuentan sobre usted a la red que las transporta. Es precisamente por eso que la eSIM se piensa en capa baja, y que la confidencialidad del tránsito —VPN, DNS cifrado, criba de las aplicaciones antes de la salida— se trata por separado, por encima.

Último punto técnico que pilla a la gente apresurada: la eSIM es menos ágil que una SIM física en caso de compromiso. Una tarjeta de plástico se retira y se tira en diez segundos. Un perfil eSIM se suprime por los ajustes, lo que supone que el dispositivo funcione, esté desbloqueado, y no esté bajo el control de otra persona. Si su escenario incluye la confiscación del dispositivo —paso de frontera duro, control policial— la eSIM no le ofrece ningún gesto rápido de puesta fuera de servicio. También aquí, la respuesta no está en el perfil, sino en la arquitectura: lo que el dispositivo contiene, lo que puede alcanzar, y si tiene derecho a viajar siquiera.

El enfoque correcto: separar los usos antes de partir

El giro pragmático cabe en una regla: la eSIM local porta los datos, su línea nacional porta la identidad y la urgencia. Usted compra y descarga el perfil eSIM antes de la salida, en Wi-Fi de confianza —en casa o en la oficina, jamás en el Wi-Fi del aeropuerto ni en el roaming del avión—. A la llegada, activa el perfil de datos local, corta el roaming de datos en la línea principal, y decide conscientemente qué sigue haciendo esa línea principal.

Pruebe la activación antes del día clave, y no la víspera por la noche con prisas. Algunos perfiles solo aceptan instalarse en un dispositivo no bloqueado por el operador, o exigen que el soporte eSIM esté activado del lado del operador de origen —dos verificaciones que llevan cinco minutos en casa y que se vuelven una pesadilla en el aeropuerto si se descubren demasiado tarde—. Verifique también la regla de activación de la tarifa: algunas arrancan en la compra, otras en la primera conexión a la red de destino. Comprar tres días antes y ver fundirse el crédito cuando todavía se está en casa es un error banal y evitable. La disciplina no está en la sofisticación del montaje, está en el hecho de haberlo probado una vez, con calma, antes de que cuente de verdad.

El punto que hace descarrilar la mayoría de los viajes es el MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión. por SMS. Si sus códigos de validación llegan a su número español y corta todo el roaming, ya no los recibe, y se encuentra bloqueado fuera de sus propias cuentas en el peor momento. La defensa no es mantener el roaming completo por unos cuantos SMS carísimos. Es migrar sus cuentas críticas hacia una aplicación de autenticación TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.). antes de partir —un generador de códigos que funciona sin conexión, sin red alguna, y que vuelve su número de teléfono irrelevante para la autenticación—. Es la única medida que suprime de verdad el problema en lugar de desplazarlo. Si algunos servicios se resisten y solo aceptan el SMS, mantiene activa la recepción de SMS de la línea principal (a menudo gratuita o barata, a diferencia del roaming de datos) únicamente para esos casos, y deja el teléfono en modo avión con la eSIM de datos reactivada manualmente.

La elección del proveedor cuenta menos de lo que se cree, pero aquí está la rejilla. Airalo es el punto de partida universal: cobertura en más de 200 países, precios competitivos, solo datos en la mayoría de los casos, registro por email —use un alias desechable si la trazabilidad le molesta—. Holafly vende datos «ilimitados» a precio fijo, práctico para las estancias largas, pero lea las condiciones: casi siempre hay un throttling tras un volumen diario, y el compartir conexión está a veces capado. Saily (editado por NordVPN) ofrece una buena relación calidad-precio y una interfaz limpia. La eSIM directamente con el operador local da la mejor calidad de red, a veces el mejor precio, pero exige a menudo una verificación de identidad con pasaporte —dato que entra en los registros del Estado local—. A evitar salvo necesidad: las eSIM vendidas en tienda de aeropuerto o por revendedores sin reputación, de dos a tres veces más caras. Sea cual sea el proveedor, tenga en cuenta que la eSIM no sustituye a una VPNTúnel cifrado entre tu dispositivo y un servidor, que oculta tu IP y tu tráfico a tu ISP. ni a un DNSSistema que resuelve los nombres de dominio en direcciones IP. Vector de vigilancia y censura muy subestimado. cifrado: la red local sigue viendo sus metadatos de conexión, y en los países con filtrado, necesitará esas capas adicionales.

Las realidades país y la estrategia multi-eSIM

No todos los destinos valen lo mismo, y el reflejo «una eSIM de datos en todas partes» choca rápido con el terreno. En la Unión Europea, la cuestión casi no se plantea: el roaming se factura a tarifa nacional desde 2017, su tarifa española funciona sin sobrecoste, y una eSIM local solo aporta una ganancia marginal. Es fuera de la UE donde todo se juega, y fuera de la UE, el filtrado de red cambia las reglas tanto como el precio. En China, el Gran Cortafuegos bloquea la mayoría de los servicios occidentales; una eSIM de datos local china le da un acceso rápido, pero a internet chino, no al suyo —sin VPN preconfigurada antes de la llegada, no alcanzará ni su mensajería de empresa ni sus herramientas habituales—. Ciertas eSIM internacionales que se apoyan en una red asociada fuera de la China continental esquivan parcialmente ese filtrado, porque su tráfico sale por un punto de interconexión en Hong Kong o en otro lugar. Es un detalle que decide el éxito o el fracaso de una misión, y se verifica antes de partir, no sobre el terreno.

El segundo eje país es el registro. En una parte significativa del mundo —China, Rusia, Arabia Saudí, Pakistán, y otros— obtener una SIM o una eSIM local exige una verificación de identidad con pasaporte, dato que entra en un registro de Estado. Las eSIM internacionales compradas antes de la salida, en Airalo o equivalente, escapan a menudo a esa obligación porque se apoyan en un acuerdo mayorista y no en una suscripción local nominal —es una de sus ventajas operativas reales—. Pero no generalice: la regla depende del país y del proveedor, y evoluciona. La buena práctica consiste en saber, antes de comprar, si su conectividad sobre el terreno será nominal o no, y decidir si es aceptable a la luz de quién es usted y de lo que va a hacer.

Para los viajeros frecuentes, la respuesta no es una compra puntual sino una estrategia multi-eSIM permanente. Usted mantiene en su sitio un perfil principal —su línea profesional o personal, presente permanentemente en el dispositivo, las más de las veces en modo avión o con los datos desactivados según el contexto—. Le añade un perfil de datos local por destino, comprado antes de cada salida, que porta todo el tráfico y no expone nada a su operador habitual. En los dispositivos dual-eSIM activos simultáneamente, puede incluso enrutar las llamadas y SMS por la línea principal y los datos por la eSIM local: sus interlocutores ven su número habitual, su tráfico pasa por la red del país. Esta separación, pensada una vez y reproducida en cada viaje, transforma una tarea de aeropuerto en una rutina de diez minutos la víspera de la salida. Y sienta las bases del nivel superior —el número de viaje dedicado, incluso el dispositivo desechable— sin tener que reaprenderlo todo cada vez.

Lo que implica en concreto

Para usted, como particular

Tres gestos, realizables esta semana, por menos de 200 euros —en realidad por el precio de una tarifa de datos—.

  1. Compre y pruebe una eSIM Airalo antes del día clave — contrate la tarifa de su destino desde su Wi-Fi doméstico, descargue el perfil, y verifique que se instala sin error. No lo active de inmediato si la tarifa arranca en la primera conexión; lea la regla de activación. Cuente con 8 a 15 euros según el país. Verifique también que su teléfono no está bloqueado por operador («SIM lock»), si no el perfil se negará a instalarse.

  2. Migre sus cuentas sensibles hacia una app TOTP antes de partir — banco, mensajería, cuentas en la nube. Una aplicación de autenticación genera sus códigos sin conexión: ya no necesita recibir SMS, por tanto ya no necesita mantener una línea localizable solo para eso. Es el gesto que transforma su viaje. Hágalo con calma en casa, no con prisas en el aeropuerto.

  3. No dé jamás el número de la eSIM como contacto — es efímero y no recibe SMS internacionales de forma fiable. Mantenga su número español como número de contacto, en modo avión la mayor parte del tiempo, reactivado puntualmente para verificar llamadas y mensajes de urgencia. Corte el roaming de datos en él desde la llegada para evitar la factura sorpresa.

Para usted, CISO / Dirección de TI / dirección general

1. El número corporativo no viaja a zona tier 3. Un número profesional es un identificador fuerte: está ligado al directorio de la empresa, a las cuentas MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión. por SMS, a las firmas. Pasearlo por un país con interceptación fuerte lo expone a la correlación, al SIM-swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia. dirigido y al alistamiento en registros locales. Consecuencia directa: un número dedicado de viaje, separado del número corporativo, se convierte en una medida de higiene básica para los viajeros frecuentes a zona de riesgo, y el número corporativo se queda en España, idealmente desviado.

2. La eSIM gestiona el coste y la visibilidad de operador, no la disociación material. El perfil cambia, el IMEIIdentificador único de 15 dígitos de un terminal móvil, vinculado al hardware. no. Para una misión realmente sensible, es un burner phoneTeléfono de prepago desechable utilizado para un objetivo puntual, luego abandonado. —dispositivo dedicado, par IMEI + número nuevo— lo que hay que presupuestar, no una eSIM más en el teléfono del directivo. Consecuencia directa: su política de viaje debe distinguir tres niveles —eSIM de datos en el dispositivo habitual (caso corriente), número de viaje dedicado (viajero frecuente a zona de riesgo), dispositivo dedicado desechable (misión sensible)— y precisar quién decide el nivel.

3. El MFA por SMS es un punto único de fallo en movilidad. Si el acceso a los sistemas de la empresa depende de códigos enviados a un número que ya no recibe nada en el extranjero, usted fabrica incidentes de acceso y empuja a los colaboradores a sortearlos. Consecuencia directa: bascule la autenticación crítica a TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.). o claves materiales antes de cualquier despliegue de política eSIM, si no la medida de seguridad crea una de bloqueo.

Errores que se ven todo el tiempo

  • Mantener el roaming de datos activo «por si acaso» en paralelo a la eSIM local. Paga dos veces, anula la ganancia de discreción, y ciertos dispositivos vuelven automáticamente al roaming en cuanto la señal eSIM flaquea, generando gastos que nadie vigila.
  • Dar el número de la eSIM como número de contacto. Es solo datos o efímero, no recibe SMS internacionales, y será reciclado tras la caducidad. Sus interlocutores —y sus servicios bancarios— se encuentran escribiendo al vacío, o peor, a otra persona.
  • Activar o descargar la eSIM en el Wi-Fi del aeropuerto. La instalación de un perfil exige red; hacerla en un Wi-Fi público a la llegada es confiar la operación al entorno menos fiable del viaje. Compre y cargue el perfil en casa, antes.
  • Creer que la eSIM sustituye a una VPN. La red local ve sus metadatos, y en los países con filtrado bloquea o inspecciona. La eSIM resuelve la conectividad, no la confidencialidad del tránsito ni el sorteo de la censura.
  • Olvidar la obligación de registro local. En China, en Rusia, en Arabia Saudí y en otros lugares, la obtención de una SIM o eSIM local pasa por una verificación de pasaporte. No es eliminatorio, pero es un dato de Estado a integrar en el modelo de amenaza, no a descubrir en la ventanilla.

Checklist accionable

  • N1 Verificar la compatibilidad eSIM y la ausencia de bloqueo por operador antes de la salida
  • N1 Contratar y descargar el perfil eSIM de datos en Wi-Fi de confianza, antes de la llegada
  • N1 Migrar las cuentas críticas (banco, mensajería, nube) hacia una app TOTP antes de partir
  • N2 Cortar el roaming de datos en la línea principal en cuanto se active la eSIM local
  • N2 No difundir jamás el número de la eSIM como número de contacto
  • N2 Usar un alias de email desechable para el registro con el proveedor eSIM
  • N2 Verificar las obligaciones de registro con pasaporte en los países afectados
  • N3 Aprovisionar un número de viaje dedicado, separado del número corporativo, para los desplazamientos frecuentes a zona de riesgo
  • N3 Para misión sensible: dispositivo dedicado (burner) con par IMEI + número nuevo, sin vínculo con la identidad habitual

Para profundizar

Las especificaciones eSIM de la GSMA describen el mecanismo de aprovisionamiento remoto y sus garantías —útil para comprender lo que el perfil porta y lo que no porta—. Las recomendaciones de INCIBE sobre dispositivos móviles y viajes encuadran la separación de usos y la doctrina de dispositivo dedicado, más allá del único asunto de la conectividad. Y la cobertura de red real de un proveedor como Airalo se verifica destino por destino antes de la compra: la lista de redes asociadas varía mucho de un país a otro, y es ella la que determina la calidad de su conexión, no la marca en la aplicación. Para el apartado de autenticación, lea como complemento la ficha sobre el SIM-swap: explica por qué desplazar las cuentas fuera del SMS es el verdadero asunto detrás de la elección de un número de viaje.

Fuentes y lecturas complementarias

Artículos relacionados