SIM swapping: 4 horas para convertirse en usted

Martes, 14:07. La llamada llega al servicio de atención al cliente de un operador. Voz tranquila, ligeramente molesta: «He perdido el teléfono en el aeropuerto esta mañana, necesito una SIM nueva antes de mi vuelo de las 18 h.» Nombre, fecha de nacimiento, dirección —recitados sin titubear. El agente, presionado por su tiempo de gestión, valida. A las 14:22, el número bascula. A las 16:40, la cuenta profesional del objetivo —un director financiero al que asesoraba— estaba vaciada de 47 000 €. El objetivo dormía a pierna suelta: pensaba que «eso solo le pasa a la gente famosa».

La trampa habitual

«Eso solo les pasa a los famosos y a los cripto-bros.» Es la idea preconcebida número uno sobre el SIM swappingAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia.Ver el glosario, y es falsa en dos planos simultáneamente. El perfil de las víctimas, primero: sí, los casos mediáticos afectan a influencers de cripto y a algunas personalidades, porque los importes son espectaculares y los juicios hacen titulares. Pero los expedientes que aterrizan en mi mesa no se parecen a eso. Son directivos de pymes, directores financieros, abogados de empresa, notarios, socios de despachos. El punto en común nunca es la notoriedad —es la existencia de al menos una cuenta sensible (banco, mensajería profesional, espacio de firma electrónica) protegida por un código recibido por SMS.

La sofisticación requerida, después. Imaginamos a un atacante que piratea la red del operador, rompe cifrado, explota un fallo. Nada de eso. El SIM swapping no es un ataque técnico: es ingeniería socialManipulación humana para obtener información o acciones, eludiendo las defensas técnicas.Ver el glosario. Hace falta un teléfono, tres datos que son públicos para el 90 % de la población activa, y la capacidad de mentir con aplomo durante cuatro minutos. El listón de entrada es tan bajo que explica la industrialización del fenómeno: el FBI catalogó a través de su centro IC3 más de 2 000 denuncias en 2021 por un perjuicio declarado superior a 68 millones de dólares, en alza de varios cientos por ciento respecto a los tres años anteriores acumulados.

La segunda trampa, más perniciosa, es la falsa defensa. «He activado la doble autenticación, estoy tranquilo.» Salvo que si ese segundo factor es un código SMS, no ha añadido una cerradura: ha delegado la llave de todas sus cuentas a un agente de centro de llamadas pagado por tiempo de gestión, al que nunca ha visto, y que puede transferir su número a un desconocido en menos de cinco minutos. El NISTInstituto americano que publica los estándares de referencia en ciberseguridad (CSF, SP 800-*).Ver el glosario lo escribió negro sobre blanco ya en 2017, clasificando el SMS como factor «desaconsejado» (restricted) en su publicación SP 800-63B. Nueve años más tarde, sigue siendo el factor por defecto de la mayoría de los bancos españoles.

El modelo de amenaza real: la mecánica, hora a hora

Comprender la cronología de un ataque cambia la forma de combatirlo. El SIM swapping no es un acontecimiento instantáneo, es una cascada que se extiende sobre dos a cuatro horas, y cada eslabón depende del anterior. Romper un solo eslabón basta para hacer fracasar toda la cadena.

Lo que el atacante debe saber antes de llamar. Nombre completo, fecha de nacimiento, dirección postal. En la inmensa mayoría de los casos, estos tres datos son accesibles gratuitamente: LinkedIn da el nombre y el empleador, los cumpleaños circulan por Facebook e Instagram, los directorios inversos y los censos electorales agregados proporcionan la dirección. Una hora de búsqueda OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos.Ver el glosario metódica basta para constituir el expediente de un objetivo identificado. Para los operadores que exigen un identificador adicional —número de cliente, últimos dígitos de un medio de pago— el atacante pesca en las bases de fugas revendidas por unos euros, o reconstruye la información a partir de un falso SMS de phishing enviado la víspera («Su factura está disponible, confirme su número de cliente»).

T+0 — La llamada o la visita a la tienda. El canal clásico es el servicio de atención telefónica. El pretexto es siempre el mismo: teléfono perdido o robado, pantalla rota, viaje inminente. El tono es apremiante pero cortés, nunca agresivo —la agresividad activa los procedimientos de verificación reforzada. Variante cada vez más frecuente: la tienda física, donde el atacante presenta un documento de identidad falso. El vendedor en tienda tiene aún menos salvaguardas que el centro de llamadas.

T+15 min — El cambio (la portabilidad). Si el agente queda convencido, desencadena o bien una reemisión de SIM interna, o bien una portabilidad —la transferencia del número a otro operador, procedimiento legalmente regulado para favorecer la competencia, y por tanto rápido por diseño. Su teléfono pierde la red. La SIM nueva, en manos del atacante, empieza a recibir sus llamadas y sus SMS. Usted cree en una avería de antena.

T+30 min — La toma del correo. El atacante lanza un «contraseña olvidada» sobre su mensajería principal. El código de restablecimiento llega por SMS… a su SIM. Define una nueva contraseña. Su buzón de correo, que es la llave maestra de toda su vida digital, le pertenece.

T+45 min — La cascada. Desde su correo, encadena los restablecimientos sobre el banco, el gestor de contraseñas, las redes sociales profesionales, los espacios de firma electrónica. ¿Los bancos que confirman las transferencias por SMS? Intercepta cada código. El MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión.Ver el glosario por SMS, supuestamente protector, se convierte en el acelerador del compromiso.

T+2h a T+4h — La extracción. Transferencias, vaciado de carteras cripto si las hay, exfiltración de documentos confidenciales desde el correo y la nube, y —para los objetivos de alto valor— reventa del acceso a un actor especializado que explotará el resto. A estas alturas, la víctima media sigue sin haber comprendido que estaba siendo atacada.

Dos señales débiles permiten acortar esta ventana, a condición de haberlas integrado de antemano. La primera: una pérdida de red que dura más de quince minutos cuando las demás líneas a su alrededor funcionan. Una verdadera avería de antena afecta a todo el mundo en la zona; un SIM swapping solo corta su línea. Si su cónyuge tiene cobertura y usted no, trátelo como un incidente hasta que se demuestre lo contrario. La segunda: un correo o una notificación «su contraseña ha sido modificada» que usted no ha desencadenado. Suele ser el único artefacto visible del lado de la víctima, y llega a un buzón secundario o a una app aún conectada. Quien espera a «ver si vuelve» ofrece al atacante la totalidad de la ventana de extracción.

Un matiz técnico que cuenta en las redes recientes: el SMS clásico no es el único canal vulnerable. El RCSRegistro público español de sociedades, accesible vía el portal oficial.Ver el glosario, que reemplaza progresivamente al SMS en Android, sigue ligado a la misma línea y bascula por tanto con el número durante una portabilidad. Y más allá del SIM swapping propiamente dicho, la red de señalización SS7 que enruta los SMS a nivel mundial presenta fallos conocidos desde los años 2000: un actor con acceso de operador puede interceptar SMS sin tocar su SIM. Dicho de otro modo, incluso un PIN de portabilidad perfectamente configurado no asegura el canal SMS en sí mismo —razón de más para retirarlo de sus cuentas críticas en lugar de intentar blindarlo.

Por qué los operadores son el eslabón débil

El estudio de Princeton publicado en 2020 probó en condiciones reales los procedimientos de autenticación de cinco grandes operadores estadounidenses. El resultado es abrumador: con técnicas de ingeniería social elementales, los investigadores obtuvieron un cambio de SIM en la mayoría de los intentos, cediendo algunos operadores en la práctica totalidad de los casos. Los operadores europeos no han sido objeto de un estudio público equivalente, pero los retornos de campo en España no son mejores: los centros de llamadas externalizados, con centenares de agentes evaluados por su tiempo de gestión, crean una presión estructural inversa a la verificación rigurosa.

El verdadero punto débil nunca es el procedimiento escrito —generalmente es correcto sobre el papel. Es el humano al final de la línea, frente a alguien que simula angustia porque «tiene que localizar a sus hijos con urgencia» o «corre el riesgo de perder un vuelo». Ningún guion resiste la presión emocional bien interpretada, sobre todo cuando el agente sabe que una llamada demasiado larga penaliza sus indicadores.

Se añade el factor insider, subestimado y sin embargo documentado en una parte significativa de los expedientes judiciales: un empleado del operador corrompido o coaccionado realiza el cambio directamente desde los sistemas internos. Ahí, ninguna verificación del lado del cliente tiene la menor influencia —el insider ya tiene todos los permisos. Es la vía predilecta para los objetivos de muy alto valor, donde el atacante dispone de presupuesto para comprar una complicidad puntual. Ninguna medida que usted tome sobre su cuenta neutraliza este vector. Es precisamente por eso por lo que la defensa no puede reposar sobre la seguridad del operador.

En Estados Unidos, la situación fue lo bastante grave como para que la FCC adoptara en 2023 normas vinculantes que imponen una autenticación reforzada antes de cualquier cambio de SIM o portabilidad. AT&T, Verizon y T-Mobile habían sido citados en decenas de procedimientos, y T-Mobile sufrió varias fugas masivas que exponían precisamente los datos necesarios para un SIM swapping. En Europa, el marco sigue siendo más laxo, en parte porque la portabilidad del número —un derecho del consumidor— está diseñada para ser rápida, lo que juega mecánicamente en contra de la seguridad.

El buen enfoque: hacer que su número sea inútil

He aquí el cambio mental que lo cambia todo: no busque primero asegurar a su operador —haga que comprometer su número no sirva de nada. Es contraintuitivo, porque el instinto empuja a blindar el eslabón débil. Pero el eslabón débil, aquí, no le pertenece: está en manos de agentes e insiders sobre los que usted no tiene ningún control. La única variable que domina de verdad es lo que ocurre después del cambio.

Si su mensajería principal, su banco y su gestor de contraseñas no usan ni el SMS como segundo factor, ni el SMS como canal de recuperación, entonces un SIM swapping con éxito le da al atacante… su número de teléfono. Útil para una suplantación, molesto, pero no catastrófico: ya no abre ninguna puerta. La cascada descrita más arriba se detiene en seco en el eslabón T+30. De eso se trata.

Etapa 1 — Migrar fuera del SMS, por orden de criticidad. Correo principal primero: es la raíz. Luego el banco, el gestor de contraseñas, la nube, las redes profesionales. El objetivo: TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.).Ver el glosario almacenado localmente (Aegis en Android, Ente Auth multiplataforma) para las cuentas corrientes, y FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing.Ver el glosario físico (YubiKey, Nitrokey) para las cuentas más críticas. El FIDO2 tiene una ventaja estructural: resiste de forma nativa al phishing, porque la llave verifica criptográficamente el dominio. Un atacante que tiene su número y su contraseña sigue sin poder hacer nada sin la llave física.

Etapa 2 — Poner un PIN de portabilidad en su operador. Los operadores españoles ofrecen, con denominaciones variables, un código de seguridad o una contraseña en la cuenta, supuestamente exigido para toda manipulación sensible, incluidos los cambios de SIM y las portabilidades. Está mal documentado, a menudo enterrado en los ajustes de cuenta, pero existe. No es una protección suficiente —un PIN se elude vía la tienda física, el procedimiento de urgencia «PIN olvidado», o un insider— pero es una fricción adicional que elimina al atacante oportunista. Elija un código no adivinable (jamás su fecha de nacimiento ni los últimos dígitos de su número), almacénelo en su gestor de contraseñas, y no lo considere jamás su línea de defensa principal.

Etapa 3 — Reducir la exposición de su número. Cada lugar donde aparece su número es un punto de pivote para el OSINT: firmas de correo, perfil de LinkedIn, anuncios en portales de compraventa, formularios de coche compartido. Para los perfiles de alto riesgo, la medida radical es un número dedicado, no público, conocido únicamente por sus servicios críticos —una eSIM secundaria basta. El ataque apunta al número que conoce; si sus cuentas sensibles están ligadas a un número que ignora, la superficie se desploma.

Una palabra sobre la eSIM, a menudo presentada como la solución milagrosa: no lo es. La eSIMSIM integrada y reprogramable, compatible con varios perfiles de operador.Ver el glosario elimina la clonación física de una tarjeta y añade una ligera fricción a la transferencia hacia un nuevo terminal. Pero el vector principal —la ingeniería social ante el servicio de atención al cliente para desencadenar una portabilidad— funciona exactamente igual sobre una línea eSIM. Es una mejora marginal, no una defensa.

Etapa 4 — Escribir el plan de respuesta, antes de necesitarlo. La defensa no se detiene en la prevención: un SIM swapping con éxito se gestiona, y el orden de las acciones determina la magnitud de los daños. El plan cabe en una página, y debe ser consultable desde un dispositivo distinto del teléfono potencialmente comprometido. Cuando pierda la red y sospeche el ataque, el encadenamiento es el siguiente. Primero, llamar al operador desde otra línea (fijo, teléfono de un allegado, línea profesional) para exigir el bloqueo inmediato del número y la anulación de la portabilidad. Luego, cambiar las contraseñas de las cuentas críticas desde un dispositivo sano, empezando por la mensajería principal —la raíz. Después verificar la actividad reciente en el banco y el correo para detectar lo que se ha hecho durante la ventana. Notificar explícitamente al banco del compromiso del número asociado a la cuenta, lo que compromete su responsabilidad sobre las operaciones fraudulentas. Presentar denuncia, útil para el seguro y para todo litigio bancario posterior. Por último, no reutilizar el número comprometido para el MFA mientras no se haya hecho la migración a TOTP o FIDO2. Un punto de vigilancia: mientras el operador no haya confirmado que ha recuperado el control de la línea, considere que cada acción realizada desde el teléfono o vía el número puede ser observada por el atacante.

Este plan parece evidente leído en frío. Ya no lo es a las 3 de la madrugada, en pánico, sin red, buscando el número de su operador en un dispositivo ajeno. Es precisamente por eso por lo que se escribe de antemano y se guarda allí donde se encontrará sin el teléfono —un documento cifrado en el gestor de contraseñas accesible en otro dispositivo, o una ficha de papel en un lugar conocido.

Lo que esto implica en concreto

Errores que se ven constantemente

• Mantener el SMS en la mensajería principal. Es la combinación fatal: su correo es la raíz de todos los restablecimientos, protegerlo por SMS equivale a cerrar una caja fuerte con un candado de bicicleta.
• Creer que un PIN de portabilidad basta. Complica la vida del atacante oportunista, no protege ni de la tienda física, ni del procedimiento «PIN olvidado», ni del insider. Es una capa, no una muralla.
• Confundir la eSIM con una protección. Impide la clonación física pero deja intacto el vector de ingeniería social, que es el verdadero problema.
• No tener un plan de incidente accesible sin el teléfono. Cuando pierda la red a las 3 de la madrugada, no querrá buscar el número de su operador. El plan debe estar escrito y ser consultable desde otro dispositivo.
• Dejar su número por todas partes. Firma de correo, LinkedIn, anuncios: cada aparición es un punto de partida para el OSINT que alimenta el ataque.
• Migrar sin validar. Desactivar el SMS antes de haber confirmado que el TOTP o la llave FIDO2 funcionan, y quedarse encerrado fuera.

Checklist accionable

• N1 Identificar todas las cuentas críticas que usan el SMS como MFA o como canal de recuperación
• N1 Suprimir el SMS del correo principal: activar TOTP local y luego desactivar el SMS de respaldo
• N1 Poner un PIN de portabilidad / contraseña de cuenta en su operador móvil
• N2 Migrar el banco y el gestor de contraseñas a TOTP local (Aegis, Ente Auth)
• N2 Retirar su número de teléfono de los perfiles públicos (LinkedIn, firma de correo, anuncios)
• N2 Documentar un plan de incidente de SIM swapping: a quién llamar, en qué orden bloquear, accesible sin el teléfono
• N3 Desplegar dos llaves FIDO2 en el correo principal y el gestor de contraseñas (una principal, una de respaldo separada)
• N3 Abrir un número dedicado no público (eSIM secundaria) reservado a las cuentas críticas
• N3 Para una organización: auditar la tasa de cuentas sensibles aún en SMS y apuntar a 0 % en los accesos críticos

Para profundizar

La referencia a citar internamente para justificar una migración es el NIST SP 800-63B, que desaconseja el SMS como factor de autenticación desde 2017 —un punto de apoyo regulatorio sólido. El estudio de Princeton (2020) documenta experimentalmente el fallo de los procedimientos de los operadores, y la alerta IC3 del FBI (2022) cuantifica la explosión del fenómeno. En el plano nacional, el INCIBE y la AEPD publican avisos y guías específicas sobre el fraude de duplicado de SIM en España. Todas estas fuentes figuran en el frontmatter de este artículo.

Para la continuación lógica, consulte MFA: por qué su app Google Authenticator le traiciona sobre la jerarquía real de los factores, y OSINT defensivo para reducir la huella pública que alimenta estos ataques.