que es el sim swapping
Intercambio de tarjeta SIM.

¿Qué Es El SIM Swapping?

El SIM Swapping representa actualmente una de las técnicas de fraude más preocupantes en el ámbito de la ciberseguridad, permitiendo a los delincuentes tomar control total de nuestras líneas telefónicas y, con ello, acceder a información personal altamente sensible. Este artículo profundiza en los mecanismos, riesgos y medidas preventivas asociadas a esta modalidad de ciberataque que ha ganado notoriedad recientemente, según alertas emitidas por autoridades como la Policía Nacional. Según informes recientes, el número de ataques de intercambio de SIM ha aumentado hasta un 400% en los últimos años, convirtiéndose en una amenaza creciente para usuarios, empresas y entidades financieras.

Explicación

El SIM Swapping, también conocido como duplicación de SIM o suplantación de la tarjeta SIM, constituye un tipo de fraude que explota vulnerabilidades en los procesos de verificación de identidad de las operadoras telefónicas. Este ataque no surge de fallos técnicos en nuestros dispositivos, sino de la manipulación de los protocolos de seguridad establecidos por las compañías de telecomunicaciones. Esencialmente, consiste en obtener un duplicado o clon de una tarjeta SIM asociada a una línea telefónica para suplantar la identidad del titular y poder acceder a sus cuentas bancarias a través del envío de un mensaje SMS (código OTP) utilizado como doble factor de autenticación.

Funcionamiento Por Fases

Se lleva a cabo en 4 fases:

1. Recopilación De Datos Personales

La primera fase del ataque involucra la obtención de información personal sobre la víctima. Los ciberdelincuentes recopilan datos como nombre completo, número telefónico, fecha de nacimiento, DNI y otros detalles identificativos. Para conseguir esta información, suelen emplear técnicas de ingeniería social, correos electrónicos de phishing, comprarlos a organizaciones criminales o extraerlos directamente de redes sociales y plataformas públicas donde los usuarios comparten información personal. Los estafadores necesitan estos datos para posteriormente hacerse pasar por la víctima ante la operadora telefónica.

Como señalan los expertos, estos delincuentes pueden obtener información sensible cuando las víctimas descargan aplicaciones fraudulentas diseñadas específicamente para robar datos, o cuando se conectan a redes WiFi falsas creadas con el mismo propósito. En este sentido, las comunidades cibercriminales de SIM Swapping se han especializado en recopilar información de fuentes abiertas, siendo las redes sociales particularmente valiosas para elaborar estafas creíbles con las que iniciar sus campañas.

2. Contacto Con La Operadora Telefónica

Una vez recopilada la información necesaria, los atacantes contactan con el proveedor de servicios telefónicos haciéndose pasar por el usuario legítimo. Durante esta comunicación, utilizan técnicas de persuasión y manipulación psicológica para convencer al agente de atención al cliente de que están ante una situación de emergencia, como la pérdida o daño de la tarjeta SIM original. La Policía Nacional ha advertido sobre esta fase del proceso, señalando que los estafadores suelen ser muy convincentes al suplantar la identidad de los clientes.

Cabe destacar que, en algunos países, particularmente en India y Nigeria, los estafadores llegan incluso a manipular a la víctima para que apruebe el intercambio de SIM presionando alguna tecla durante una llamada telefónica. En casos más graves, se han documentado situaciones donde empleados de las propias compañías telefónicas colaboran con los delincuentes a cambio de sobornos.

El principal riesgo en esta fase radica en que cuando la solicitud de duplicado se realiza a través de una llamada telefónica, no se efectúa una verificación de la identidad física del solicitante. Este punto débil ha sido identificado por expertos en seguridad, quienes señalan que “la parte más débil en el SIM Swapping es el empleado que nos ofrece el duplicado de la tarjeta”. Esta vulnerabilidad ha llevado a que la Agencia Española de Protección de Datos (AEPD) imponga multas que van desde los 70.000 euros hasta los 3,94 millones de euros a las principales operadoras de España (Vodafone, Orange, MásMóvil, Simyo, Telefónica o Xfera) por incumplir con la protección de datos y no proteger adecuadamente la confidencialidad y datos de sus clientes.

3. Control De La Tarjeta SIM

Cuando la operadora telefónica realiza el cambio o duplicado de la tarjeta SIM, el teléfono de la víctima pierde instantáneamente la conexión a la red móvil, siendo esta una de las primeras señales de alarma. Este es el momento crítico donde la línea telefónica queda bajo control del ciberdelincuente, quien comienza a recibir todas las llamadas y mensajes dirigidos al número de la víctima.

La evidencia más clara de que se está siendo víctima de un ataque de SIM Swapping es la pérdida repentina de servicio telefónico sin explicación aparente. Si experimentas la imposibilidad de realizar llamadas o enviar mensajes sin estar conectado a WiFi, esto puede ser un indicio grave de que tu línea ha sido comprometida. En esta fase, la víctima se queda sin cobertura y no puede hacer llamadas, ni recibirlas, mientras el atacante toma el control total de la línea telefónica.

4. Robo De Identidad & Acceso A Cuentas Sensibles

El objetivo principal de los ciberdelincuentes al realizar SIM Swapping es interceptar los códigos de verificación enviados por SMS como parte de los sistemas de autenticación de dos factores (2FA). Estos códigos son utilizados por entidades bancarias, plataformas de correo electrónico, redes sociales y servicios digitales para confirmar la identidad del usuario durante inicios de sesión o transacciones.

Con estos códigos en su poder, los atacantes pueden:

  • Restablecer contraseñas de múltiples servicios digitales
  • Acceder a cuentas de correo electrónico para realizar cambios en otras plataformas
  • Realizar transferencias bancarias no autorizadas
  • Suplantar la identidad de la víctima en redes sociales y servicios de mensajería
  • Cambiar contraseñas para bloquear el acceso del propietario legítimo a sus propias cuentas.

Según el INCIBE (Instituto Nacional de Ciberseguridad), una vez que la víctima queda sin servicio telefónico, el ciberdelincuente puede tomar control completo de aplicaciones, suplantar identidades en redes sociales, acceder a cuentas de correo y banca digital, utilizando los SMS de verificación que llegan al número comprometido.

En España, se han registrado casos concretos que demuestran la efectividad de esta técnica. En agosto de 2022, la Policía Nacional detuvo a un joven de 20 años en Melilla por ser el presunto autor de robar casi 72.000 euros con el método SIM Swapping. Ese mismo mes, la Guardia Civil de la Región de Murcia estaba investigando a tres personas detenidas en Valladolid y Barcelona por haberse hecho con más de 20.000 euros mediante esta misma estafa.

Cómo Detectarlo

Identificar a tiempo que se está siendo víctima de un ataque de SIM Swapping puede marcar la diferencia entre una pérdida catastrófica y una resolución rápida del problema. Estos son los principales indicadores que deben generar alarma:

  • Pérdida repentina de cobertura móvil: si tu teléfono muestra “sin servicio” de forma inesperada y persiste aun cambiando de ubicación, podría ser un indicio de que tu línea ha sido transferida a otra SIM.
  • Imposibilidad de realizar llamadas o enviar mensajes: cuando solo puedes utilizar funciones que requieren WiFi pero no servicios de telefonía básica.
  • Notificaciones de tu operador: muchas compañías telefónicas envían alertas automáticas cuando tu número se activa en otro dispositivo. Estas notificaciones pueden llegar a través de correo electrónico o mensajes a dispositivos vinculados.
  • Alertas de seguridad sobre cambios en tus cuentas: notificaciones de modificaciones en contraseñas o datos de perfil que tú no has realizado.
  • Actividad extraña en cuentas bancarias o servicios digitales: transacciones no reconocidas o inicios de sesión en ubicaciones desconocidas son señales de que tus cuentas podrían estar comprometidas.

Generalmente, cuando se solicita duplicar una SIM, el propietario del móvil recibe un correo, SMS o aviso en la app de la compañía para que quede registro de que has dado permiso para ello. Si te llega algo similar, lo recomendable es llamar cuanto antes a la operadora para corroborar si se ha duplicado tu tarjeta.

El SIM Swapping Y El Robo De Criptomonedas

El SIM Swapping ha encontrado un terreno especialmente lucrativo en el ámbito de las criptomonedas, debido a que muchas plataformas de intercambio y billeteras digitales utilizan la verificación por SMS como capa de seguridad para proteger las transacciones y accesos.

Este método de estafa alcanzó notoriedad precisamente por su uso en el robo masivo de criptoactivos. Las estadísticas revelan que aproximadamente el 20% de los ingresos totales en Latinoamérica se pierden por fraude, convirtiendo a la región en la segunda con mayor incidencia de este tipo de delitos después del Sudeste Asiático.

Los atacantes aprovechan que las plataformas de criptomonedas suelen enviar códigos de verificación por SMS para autorizar transacciones o accesos a billeteras. Al controlar la línea telefónica, pueden autorizar transferencias de fondos a cuentas bajo su control sin que la víctima pueda impedirlo hasta que sea demasiado tarde.

Ver también

El caso del primer arrestado por SIM Swapping, mencionado en el artículo original, marcó un precedente importante para las autoridades al poner de manifiesto la gravedad de este tipo de estafas y sus consecuencias económicas. Este estudiante se había especializado en atacar específicamente a poseedores de criptomonedas, logrando sustraer cantidades significativas antes de ser capturado.

Medidas De Protección

  • Contacta con tu operadora telefónica: solicita explícitamente que establezcan restricciones especiales para cualquier cambio relacionado con tu línea telefónica. Exige que cualquier duplicado o transferencia de SIM se realice exclusivamente con tu presencia física y documentación verificable.
  • Protege tu información personal: limita la cantidad de datos personales que compartes en redes sociales y plataformas públicas. Información como fecha de nacimiento, número de documento, dirección o datos de contacto pueden ser utilizados por los estafadores para suplantar tu identidad.
  • Implementa un PIN para tu tarjeta SIM: configura un código de acceso directo en tu tarjeta SIM, diferente del que usas para desbloquear el teléfono. Este PIN funciona como una capa adicional de seguridad que dificulta el uso de la SIM en caso de robo físico del dispositivo. En dispositivos Android, puedes configurarlo desde Configuración > Seguridad > Más configuraciones de seguridad > Bloqueo de tarjeta SIM. En iPhone, ve a Configuración > Datos móviles > PIN de SIM. Es importante evitar códigos de acceso sencillos como 1111 o 1234 porque los operadores de telefonía móvil suelen utilizarlos como predeterminados.
  • Utiliza aplicaciones de autenticación: reemplaza cuando sea posible la verificación por SMS con aplicaciones específicas de autenticación. Herramientas como Google Authenticator, Authy, Microsoft Authenticator o similares generan códigos temporales vinculados al dispositivo físico y no al número telefónico, evitando así las vulnerabilidades del SIM Swapping.
  • Combina métodos de autenticación: para niveles máximos de seguridad, utiliza diferentes mecanismos de verificación para distintas cuentas. No dependas exclusivamente de una sola tecnología de autenticación. Combina SMS 2FA con aplicaciones de autenticación para diferentes cuentas y evita la fricción que este tipo de aplicación pueda generar en las personas.
  • Configura preguntas de seguridad robustas: establece respuestas complejas y no evidentes para las preguntas de recuperación de cuentas. Evita información que pueda obtenerse fácilmente de redes sociales o registros públicos.
  • Mantente alerta ante intentos de phishing: desconfía de correos electrónicos, mensajes o llamadas que soliciten información personal o credenciales. Las entidades legítimas nunca solicitan datos sensibles por estos medios.
  • Solicita confirmación por llamada: pide a tu banco y servicios críticos que implementen verificación mediante llamada a tu número registrado antes de autorizar cambios importantes en tus cuentas. Cuando los bancos o proveedores de servicios móviles lo ofrezcan, puede ser útil pedirles que llamen siempre al número registrado en la cuenta para hacer cambios, lo que podría impedir que se lleve a cabo un fraude por intercambio de SIM.
  • Evita vincular servicios sensibles a tu número telefónico: en la medida de lo posible, utiliza métodos alternativos de verificación para tus cuentas más importantes.

Rol De Las Empresas En La Prevención

Las compañías telefónicas tienen una responsabilidad fundamental en la prevención del SIM Swapping. Según expertos en seguridad, estas organizaciones deberían:

  • Implementar procesos de verificación de identidad más robustos
  • Requerir múltiples factores de autenticación antes de autorizar cambios de SIM
  • Establecer sistemas de notificación inmediata ante solicitudes de duplicado
  • Formar adecuadamente al personal de atención al cliente para identificar intentos de manipulación
  • Introducir periodos de espera obligatorios antes de activar nuevas tarjetas SIM
  • Desarrollar tecnologías que detecten patrones sospechosos en solicitudes de cambio de SIM.

En este sentido, cabe destacar las iniciativas como el modelo Sectrabank, desarrollado para mitigar el fraude informático en operaciones electrónicas a través de aplicaciones bancarias en dispositivos Android. Este modelo incorpora medidas de seguridad como el uso del código IMEI, autenticación por huella digital y geolocalización para combatir ataques de SIM Swapping. Los resultados de investigaciones han demostrado que SectraBank logró mitigar el 98% de los ataques de SIM Swapping en pruebas controladas.

Qué Hacer Si Eres Víctima De Ello

Si sospechas que estás siendo víctima de un ataque de SIM Swapping, es crucial actuar con rapidez:

  • Contacta inmediatamente con tu operadora: reporta la situación y solicita el bloqueo urgente de la línea comprometida.
  • Cambia todas tus contraseñas: utiliza un dispositivo seguro para cambiar las claves de acceso de tus cuentas más sensibles, comenzando por el correo electrónico y servicios bancarios.
  • Revisa actividad sospechosa: verifica detalladamente los movimientos recientes en tus cuentas bancarias y servicios digitales para identificar transacciones fraudulentas.
  • Denuncia el incidente: presenta una denuncia formal ante las autoridades competentes, proporcionando toda la información disponible sobre el ataque.
  • Solicita un nuevo número o recupera el anterior: evalúa con tu operadora la posibilidad de obtener un nuevo número telefónico o recuperar el control del anterior con medidas de seguridad reforzadas.
  • Notifica a tus contactos: informa a familiares, amigos y compañeros sobre la situación para evitar que respondan a posibles intentos de suplantación.

En caso de verse afectado, es importante guardar todas las evidencias de las que se disponga para interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad. Para incidentes relacionados con entidades bancarias, muchas instituciones tienen canales específicos de atención, como BBVA con su teléfono 900 102 801 para estos y otros incidentes de seguridad.

Evolución De La Amenaza Y Casos Célebres

En 2019, Twitter tomó la decisión de abandonar el SMS como método de segundo factor de autenticación, estableciendo un precedente importante que cuestionó la idoneidad de esta tecnología para garantizar la seguridad de las cuentas. Esta decisión corporativa refleja la creciente preocupación por las vulnerabilidades asociadas al uso de mensajes de texto como mecanismo de verificación.

La Policía Nacional española ha intensificado sus campañas informativas sobre este tipo de fraude, publicando videos explicativos en redes sociales para alertar a la población. En estas comunicaciones, las autoridades destacan cómo los ciberdelincuentes pueden controlar líneas telefónicas y acceder a códigos de verificación bancaria para realizar operaciones fraudulentas.

Entre los casos más célebres de SIM Swapping a nivel internacional destaca el del CEO de Twitter, Jack Dorsey, quien en 2019 fue víctima de este tipo de ataque, lo que dio a los atacantes el control de su cuenta en la plataforma. Entre 2021 y 2022, el grupo de hackers Lapsus$ utilizó el intercambio de SIM para acceder a empresas tan importantes como Microsoft, Samsung y Uber. Estos casos de alto perfil demuestran que nadie está completamente a salvo de esta amenaza.

Conclusión

El SIM Swapping constituye una amenaza creciente en el panorama de la ciberseguridad actual, evolucionando constantemente y adaptándose a las medidas de protección implementadas tanto por usuarios como por empresas. La educación sobre este tipo de fraude, combinada con la implementación de medidas preventivas robustas y el compromiso de las compañías de telecomunicaciones con procesos de verificación más seguros, resulta fundamental para mitigar los riesgos asociados a esta modalidad de ataque.