Login Probar gratis
SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas

SIM swapping: cómo roban tu número de teléfono para vaciar tus cuentas

por MataSpam Ciberataques

El SIM swapping es una técnica de fraude en la que un atacante consigue un duplicado de tu SIM para recibir tus llamadas y SMS, incluidos los códigos de verificación bancarios. No necesita malware, ni hackear tu WiFi, ni mandarte un enlace sospechoso. Le basta con convencer a tu operadora de que él es tú. Con ese robo de número de teléfono, el atacante accede a tus cuentas bancarias, redes sociales y correo. El SIM swap fraude ha crecido de forma alarmante en España y Europa, y lo peor es que la víctima suele darse cuenta cuando ya es tarde: su móvil se queda sin cobertura y sus cuentas están vacías. Hablemos de cómo funciona y, sobre todo, cómo puedes protegerte antes de que alguien intente clonar tu tarjeta SIM.

Cómo funciona un ataque de SIM swapping paso a paso

El proceso es más sencillo de lo que parece, y eso lo hace peligroso. El atacante no necesita ser un genio técnico. Necesita información personal tuya y algo de ingeniería social.

  1. Recopilación de datos: El atacante obtiene tu nombre completo, DNI, dirección, número de teléfono y otros datos personales. Los consigue mediante filtraciones de datos, phishing o simplemente comprándolos en foros de la dark web. Si alguna vez tus datos aparecieron en una brecha de seguridad (compruébalo en Have I Been Pwned), ya tiene material de sobra.
  2. Contacto con la operadora: Llama al servicio de atención al cliente de tu compañía telefónica (Movistar, Vodafone, Orange, MásMóvil…) haciéndose pasar por ti. Alega que ha perdido el móvil o que la SIM está dañada y solicita un duplicado de SIM.
  3. Verificación fraudulenta: Responde a las preguntas de seguridad con los datos que ya tiene. En algunos casos, los atacantes tienen cómplices dentro de las propias tiendas de telefonía que procesan el cambio directamente.
  4. Activación de la nueva SIM: En cuanto la nueva tarjeta se activa, tu SIM original queda desactivada. Tu móvil pierde la cobertura. Mientras tú miras la pantalla sin entender qué pasa, el atacante ya está recibiendo tus SMS.
  5. Acceso a cuentas: Con tu número operativo, solicita recuperación de contraseñas por SMS en tu banco, email o redes sociales. Los códigos de verificación en dos pasos (2FA por SMS) llegan directamente a su terminal.

Todo el proceso puede completarse en menos de dos horas. La ventana de reacción para la víctima es mínima, especialmente si el ataque ocurre de madrugada o en fin de semana, cuando el soporte técnico de las operadoras funciona a medio gas.

Casos reales: cuando el SIM swap fraude vacía cuentas

Esto no es un escenario teórico. En 2022, Europol desmanteló una red que había robado más de 100 millones de euros mediante SIM swapping en toda Europa, con víctimas en España, Austria, Bélgica e Italia. Los arrestos fueron coordinados, pero el daño ya estaba hecho.

En España, la Policía Nacional ha alertado repetidamente sobre oleadas de duplicados de SIM fraudulentos. Un caso conocido afectó a un empresario de Barcelona al que le vaciaron dos cuentas bancarias en una sola noche — más de 50.000 euros transferidos a cuentas mula antes de que pudiera reaccionar. El fraude del CEO utiliza técnicas similares de suplantación, pero el SIM swap va directamente contra particulares.

En Estados Unidos, el caso de Michael Terpin contra AT&T estableció precedente judicial. Terpin, un inversor en criptomonedas, perdió aproximadamente 24 millones de dólares en un ataque de SIM swap y demandó a la operadora por negligencia. El caso evidenció lo frágil que es la seguridad de las telcos cuando un atacante conoce los datos básicos del titular.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a operadoras españolas por emitir duplicados de SIM sin verificación suficiente. Según resoluciones publicadas entre 2021 y 2024, varias compañías procesaron cambios de titularidad y duplicados sin exigir presencia física ni documentación válida. Esto ha presionado al sector para endurecer sus protocolos, aunque la implementación sigue siendo desigual.

Señales de que estás siendo víctima de un duplicado de SIM

Tu primera línea de defensa es detectar el ataque a tiempo. Estas son las señales claras:

  • Pérdida repentina de cobertura: Tu móvil muestra "Sin servicio" o "Solo llamadas de emergencia" sin motivo aparente. No es un fallo de red si dura más de unos minutos y reiniciar no lo soluciona.
  • Notificaciones de cambio de SIM: Algunos operadores envían un SMS antes de procesar el duplicado. Si recibes un mensaje que no esperabas sobre tu línea, actúa inmediatamente.
  • Emails de cambio de contraseña no solicitados: Si empiezas a recibir correos de "restablecimiento de contraseña" de servicios que no has pedido, alguien está usando tu número para acceder.
  • Imposibilidad de acceder a tus cuentas: Tus contraseñas habituales dejan de funcionar. El atacante ya las cambió.
  • Movimientos bancarios desconocidos: Transferencias, Bizum o compras que no reconoces.

Si tu móvil pierde la cobertura de forma inesperada y no la recupera en cinco minutos, no asumas que es un problema técnico. Llama a tu operadora desde otro teléfono inmediatamente. Cada minuto cuenta cuando alguien intenta clonar tu tarjeta SIM.

Cómo protegerte del SIM swapping

La autenticación por SMS es el eslabón débil. Mientras sigas dependiendo de ella, eres vulnerable a un robo de número de teléfono. Aquí va lo que puedes hacer de forma práctica:

Elimina el 2FA por SMS siempre que puedas. Sustituye la verificación por SMS por una app de autenticación como Google Authenticator, Authy o Microsoft Authenticator. Estas apps generan códigos en tu dispositivo y no dependen de tu número de teléfono. Para cuentas críticas (email principal, banca), usa llaves de seguridad físicas como YubiKey (protocolo FIDO2/WebAuthn).

Establece un PIN de seguridad con tu operadora. Movistar, Vodafone y Orange permiten configurar un código o contraseña adicional que deben pedirte antes de procesar cualquier cambio en tu línea. Llama y actívalo. Este PIN frena el ataque de ingeniería social contra el operador.

Minimiza tu huella digital. Cuanta menos información personal haya sobre ti en internet, más difícil será que un atacante pase la verificación de tu operadora. Revisa qué datos tuyos son públicos en redes sociales. Datos como tu fecha de nacimiento, dirección o nombre completo son munición para un SIM swap fraude. Si quieres profundizar, el tema del anonimato en internet te dará más contexto sobre qué se puede y qué no se puede ocultar.

Activa alertas bancarias. Configura notificaciones push (no por SMS) para cada movimiento en tus cuentas. Si el atacante intenta una transferencia, lo sabrás al instante por otra vía.

Usa un email seguro como método de recuperación. Tu email principal debería tener 2FA con app o llave física, no con SMS. Si el atacante controla tu número y tu email usa SMS como segundo factor, tiene acceso a todo el ecosistema.

Qué hacer si ya te han hecho un SIM swap

Si sospechas que alguien ha conseguido un duplicado de tu SIM, la velocidad de reacción marca la diferencia entre perder unos datos y perder tus ahorros.

  1. Contacta con tu operadora inmediatamente desde otro teléfono. Pide que bloqueen la línea y anulen el duplicado fraudulento. Exige que quede constancia escrita de la incidencia.
  2. Cambia las contraseñas de tus cuentas críticas desde un dispositivo seguro: email principal, banca online, redes sociales. Empieza por el email, porque es la llave maestra de recuperación del resto.
  3. Contacta con tu banco. Informa del incidente y pide que bloqueen temporalmente las transferencias y operaciones online. Muchos bancos tienen protocolos específicos para fraudes de SIM swapping.
  4. Denuncia ante la Policía Nacional o Guardia Civil. Necesitas el número de denuncia para reclamar al banco y a la operadora. Aporta toda la información que tengas: hora de la pérdida de cobertura, movimientos sospechosos, emails recibidos.
  5. Reclama a la AEPD si la operadora fue negligente. Si emitieron el duplicado sin verificación adecuada, puedes presentar una reclamación. El Reglamento General de Protección de Datos (RGPD) y la normativa española obligan a las operadoras a verificar la identidad del solicitante.

El phishing en redes sociales suele ser el paso previo: los atacantes roban tus datos personales mediante ingeniería social y luego los usan para el SIM swap. Proteger tus cuentas sociales es proteger tu línea telefónica.

La normativa que te protege (y sus límites)

Desde mayo de 2024, el Reglamento europeo eIDAS 2.0 refuerza los requisitos de identificación digital, lo que afecta indirectamente a cómo las operadoras deben verificar la identidad antes de emitir duplicados. En España, la CNMC y la AEPD han multado a varias operadoras por procesar cambios de SIM sin documentación presencial.

El Real Decreto-ley 19/2018 de servicios de pago (transposición de la PSD2 europea) establece que la autenticación reforzada de cliente (SCA) debe usar al menos dos factores independientes. Si tu banco solo usa SMS como segundo factor y sufres un SIM swap fraude, la entidad financiera podría tener responsabilidad. Varios tribunales españoles han fallado a favor de víctimas de SIM swapping al considerar que la banca debería ofrecer alternativas más seguras que el SMS.

Dicho esto, demostrar la negligencia requiere tiempo y recursos. La mejor defensa sigue siendo la prevención. Si además quieres proteger los dispositivos IoT de tu hogar, que también pueden ser puerta de entrada a datos personales, echa un vistazo a las recomendaciones de seguridad en domótica.

Preguntas frecuentes

¿Pueden hacer un duplicado de mi SIM sin que me entere?

Sí, al menos durante un rato. Cuando el atacante activa la nueva SIM, tu teléfono pierde la cobertura. Esa es la señal más evidente. Si ocurre de noche mientras duermes, pueden pasar horas antes de que lo notes. Configura alertas bancarias por push (no por SMS) para tener una segunda vía de aviso.

¿Es lo mismo SIM swapping que clonar una tarjeta SIM?

No exactamente. Clonar una tarjeta SIM implica copiar físicamente los datos criptográficos de la tarjeta, algo técnicamente muy difícil con las SIM modernas (que usan cifrado AES). El SIM swapping es más sutil: el atacante convence a la operadora de emitir una SIM nueva con tu número, sin tocar la original. El resultado práctico es similar, pero el método es ingeniería social, no fuerza bruta técnica.

¿El eSIM me protege del SIM swapping?

Parcialmente. La eSIM elimina el vector del duplicado físico en tienda, pero el atacante aún puede intentar transferir tu línea a un eSIM de otro dispositivo contactando al operador. La ventaja es que el proceso con eSIM suele requerir verificaciones adicionales (como escanear un QR desde la app oficial). No es inmune, pero sí añade fricción al atacante.

¿Mi banco me devolverá el dinero si me roban con SIM swap?

Depende. Según la PSD2, el banco debe devolver operaciones no autorizadas salvo que demuestre negligencia grave del cliente. Varios juzgados españoles han obligado a bancos a restituir el dinero por considerar que el SMS no es un segundo factor suficientemente seguro. Pero cada caso es distinto. Presenta denuncia policial y reclamación formal al banco lo antes posible.

¿Cómo sé si mis datos ya están filtrados y pueden usarlos para un SIM swap?

Introduce tu email en Have I Been Pwned (haveibeenpwned.com). Si aparece en alguna filtración, asume que tu nombre, teléfono y otros datos pueden estar circulando. Cambia las contraseñas de los servicios afectados y activa 2FA con app en todos ellos.

El siguiente paso

Ahora mismo, coge tu móvil y llama al número de atención al cliente de tu operadora. Pide que activen un PIN de seguridad o contraseña verbal para cualquier gestión sobre tu línea, incluida la emisión de duplicados de SIM. Es una llamada de cinco minutos que puede ahorrarte meses de problemas. Mientras lo haces, revisa qué cuentas bancarias y servicios siguen usando SMS como segundo factor y migra a una app de autenticación. Tu número de teléfono no debería ser la llave maestra de tu vida digital.

sim swapping duplicado sim robo número teléfono sim swap fraude clonar tarjeta sim
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware
Ciberataques

Ataques de canal lateral: Spectre, Meltdown y la explotación del hardware

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira
Ciberataques

Ciberataques a infraestructura crítica: hospitales, eléctricas y transporte en el punto de mira

Doble extorsión ransomware: cifran tus archivos y amenazan con publicarlos
Ciberataques

Doble extorsión ransomware: cifran tus archivos y amenazan con publicarlos

← Volver al blog