Login Probar gratis
SIM swapping: cómo roban tu número de móvil y vacían tus cuentas

SIM swapping: cómo roban tu número de móvil y vacían tus cuentas

por MataSpam Estafas Actuales

SIM swapping es el fraude en que un atacante consigue un duplicado SIM de tu número y, con él, se cuela en tus cuentas. No te roban el móvil físico. Roban tu identidad telefónica. El delincuente convence a tu operadora de que él eres tú, pide un robo número móvil camuflado de "he perdido la tarjeta", y a partir de ahí recibe tus SMS, tus llamadas y, lo importante, los códigos de verificación de tu banco. La estafa SIM funciona porque el eslabón débil no eres tú: es el teleoperador que aprueba el cambio. Saber cómo proteger tu SIM swap empieza por entender que tu número es una llave maestra mal protegida. Aquí va el manual completo, sin paños calientes.

Qué es el SIM swapping y por qué deberías preocuparte

El SIM swapping (o "SIM swap", literalmente intercambio de SIM) es el secuestro de tu línea móvil. El atacante solicita un duplicado de tu tarjeta a la operadora haciéndose pasar por ti. Cuando lo activa, tu SIM legítima queda fuera de servicio. Tu móvil se queda sin cobertura de golpe.

Ese momento de "no tengo señal" es la señal de alarma número uno. Mientras tú crees que es un fallo de red, el delincuente ya está recibiendo tus mensajes. La técnica lleva años circulando y en España la Guardia Civil y la Policía Nacional han desarticulado varias redes dedicadas a ello. No es ciencia ficción: es ingeniería social aplicada con descaro.

El objetivo final casi siempre es el dinero. El segundo factor de autenticación (2FA) por SMS es el blanco. Con tu número en su poder, el atacante restablece contraseñas de banca, exchanges de criptomonedas, correo y redes sociales. Todo lo que dependa de un código enviado por mensaje de texto.

Cómo te roban el número paso a paso

El proceso es más artesanal de lo que parece. No hace falta hackear a nadie. Basta con datos personales y una buena historia. Estos son los pasos habituales:

  1. Recopilación de datos. El atacante reúne tu nombre, DNI, fecha de nacimiento y número de móvil. Lo consigue en filtraciones, phishing previo o comprando paquetes de datos robados en foros clandestinos.
  2. Suplantación ante la operadora. Llama o se presenta en tienda fingiendo ser tú. Alega rotura, pérdida o robo de la tarjeta y pide un duplicado SIM.
  3. Activación del duplicado. La operadora emite la nueva SIM. Tu tarjeta original deja de funcionar.
  4. Asalto a las cuentas. Con tu número activo, el atacante pide códigos 2FA por SMS y vacía cuentas bancarias, monederos cripto y servicios sensibles.

La parte incómoda: muchos de esos datos personales ya están circulando por ahí. Comprueba si tu correo o teléfono aparecen en filtraciones conocidas con Have I Been Pwned. Si tu información se filtró en alguna brecha, asume que un atacante podría tenerla. Esa misma lógica de "da por hecho lo peor" la aplicamos a los emails sospechosos, igual que explicamos en nuestra guía sobre cuentas falsas de soporte que estafan en redes sociales.

Señales de alerta: cómo detectar que te están atacando

El SIM swapping deja rastro. El problema es que la gente confunde esas pistas con fallos técnicos normales. Presta atención a estas señales:

  • Pérdida repentina de cobertura sin motivo aparente, especialmente si dura más de unos minutos y tu pareja o compañeros de al lado sí tienen señal.
  • SMS o emails inesperados de tu operadora confirmando un cambio de SIM o un duplicado que tú no pediste.
  • No puedes acceder a tus cuentas porque las contraseñas "ya no funcionan".
  • Notificaciones de inicio de sesión desde dispositivos o ubicaciones desconocidas.
  • Movimientos bancarios extraños o alertas de transferencias que no autorizaste.

Regla de oro: si te quedas sin línea de forma rara, no lo dejes para mañana. Llama a tu operadora desde otro teléfono inmediatamente. Cada minuto cuenta cuando alguien está restableciendo tus contraseñas.

Cómo proteger tu SIM del swapping

Aquí está la buena noticia: defenderte de la estafa SIM es relativamente sencillo y la mayoría de medidas son gratuitas. Reducir el riesgo de un sim swap pasa por blindar dos frentes: tu operadora y tus métodos de verificación.

Medida Qué hace Dificultad
PIN o clave en tu cuenta de operadora Exige una contraseña para cualquier gestión, incluido el duplicado SIM Baja
2FA por app, no por SMS Usa Google Authenticator, Authy o similar: el código no viaja por la red móvil Baja
Llaves de seguridad físicas YubiKey u otras FIDO2: el atacante necesita el dispositivo físico Media
Reducir tu huella de datos Menos datos públicos = menos munición para la ingeniería social Media

El paso más importante es dejar de usar el SMS como segundo factor siempre que puedas. Migra a aplicaciones de autenticación basadas en TOTP (códigos temporales) o, mejor aún, a llaves físicas FIDO2. Si el banco te recibe los códigos por SMS y no ofrece alternativa, presiona para que active otro método o plantéate cambiar de entidad.

Llama también a tu operadora y pide que añadan un PIN de seguridad o una palabra clave a tu cuenta. Sin ese PIN, nadie debería poder pedir un duplicado SIM en tu nombre. Las grandes operadoras en España (Movistar, Vodafone, Orange y sus marcas low cost) ofrecen este tipo de protección, aunque rara vez te lo cuentan si no preguntas.

Por último, mima tu correo electrónico. Es el centro de mando de tu vida digital: quien controla tu email controla casi todo lo demás. Filtrar bien la bandeja de entrada y no exponer tu dirección principal por ahí reduce el phishing previo que alimenta estos ataques. Para eso van de lujo los correos temporales o desechables en registros poco fiables, y un buen sistema antispam con IA que descarte los señuelos antes de que los veas.

Qué hacer si ya has picado

Si sospechas que te han hecho un SIM swap, actúa en este orden, rápido y sin dramatizar:

  1. Contacta con tu operadora desde otro teléfono y exige bloquear la SIM fraudulenta y reactivar la tuya.
  2. Llama a tu banco para congelar cuentas y tarjetas. Pide revisar movimientos recientes.
  3. Cambia contraseñas de correo, banca y servicios críticos, empezando por el email principal.
  4. Revisa el 2FA de todas tus cuentas y migra del SMS a una app de autenticación.
  5. Denuncia. Presenta denuncia en la Policía Nacional o la Guardia Civil. Aporta capturas, SMS y cualquier prueba.
  6. Reclama al INCIBE. La línea de ayuda en ciberseguridad 017 del Instituto Nacional de Ciberseguridad orienta a víctimas de forma gratuita.

Guarda todo: mensajes, correos de la operadora, horas exactas. Esa documentación es oro para la denuncia y para reclamar a tu banco bajo la normativa de servicios de pago, que en determinados casos obliga a la entidad a devolver el importe de operaciones no autorizadas.

SIM swapping y empresas: un riesgo que se multiplica

Para autónomos y pymes el robo de número móvil es especialmente peligroso. Una sola línea comprometida puede dar acceso al correo corporativo, a la banca de empresa y a los accesos de clientes. La protección de la línea del responsable financiero debería estar en cualquier política de seguridad básica.

Si gestionas un negocio, integra esto en tu plan general de protección. Tenemos una guía de ciberseguridad para pymes con presupuesto limitado que cubre los mínimos sin arruinarte. Y si manejas datos sensibles de clientes, conviene combinarlo con medidas de prevención de fuga de datos (DLP) para que un acceso indebido no se traduzca en una brecha de las que acaban en sanción del RGPD.

Preguntas frecuentes

¿Cómo sé si me han hecho un SIM swapping?

La señal más clara es perder cobertura de repente sin motivo, mientras la gente a tu alrededor sí tiene línea. Si además recibes avisos de cambio de SIM que no pediste o no puedes entrar en tus cuentas, llama a tu operadora desde otro teléfono de inmediato.

¿Puedo evitar el SIM swapping del todo?

Eliminar el riesgo al 100% no es realista porque depende en parte de tu operadora, pero puedes reducirlo muchísimo. Pon un PIN de seguridad en tu cuenta de operadora y deja de usar el SMS como segundo factor: pásate a una app de autenticación o a llaves físicas.

¿El SMS para verificación es seguro?

Es mejor que nada, pero es el método 2FA más vulnerable porque viaja por la red móvil que el atacante secuestra con el duplicado SIM. Las apps de códigos temporales (TOTP) y las llaves FIDO2 son alternativas mucho más robustas.

¿Quién paga si me vacían la cuenta por un SIM swap?

Depende del caso, pero la normativa europea de servicios de pago protege al usuario frente a operaciones no autorizadas en muchos supuestos. Denuncia, reclama al banco por escrito y, si no responde, acude al Banco de España y a las vías de consumo.

¿A quién denuncio un caso de SIM swapping en España?

Presenta denuncia ante la Policía Nacional o la Guardia Civil con todas las pruebas. Para orientación gratuita, llama al 017 del INCIBE, la línea de ayuda en ciberseguridad.

El siguiente paso

Coge el móvil ahora mismo, entra en la configuración de seguridad de tu correo y tu banco, y cambia el segundo factor de SMS a una app de autenticación como Authy o Google Authenticator. Cinco minutos hoy te ahorran un disgusto que puede costarte la cuenta entera. Y si quieres seguir blindando tu vida digital, date una vuelta por el resto de guías del blog de MataSpam: el spam de hoy es el fraude de mañana.

sim swapping robo número móvil duplicado sim estafa sim sim swap proteger
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Estafa romántica online (catfishing): señales y cómo protegerte
Estafas Actuales

Estafa romántica online (catfishing): señales y cómo protegerte

Tiendas online falsas: cómo detectarlas antes de comprar
Estafas Actuales

Tiendas online falsas: cómo detectarlas antes de comprar

Estafa Wangiri: la llamada perdida que te puede costar dinero
Estafas Actuales

Estafa Wangiri: la llamada perdida que te puede costar dinero

← Volver al blog