El SIM-swapping constituye una modalidad de ciberataque que explota vulnerabilidades en los protocolos de verificación de identidad de las operadoras telefónicas para obtener el control del número móvil de una víctima. Esta técnica, que combina ingeniería social con aprovechamiento de procesos operativos deficientes, permite a los atacantes interceptar comunicaciones sensibles, especialmente códigos de autenticación de dos factores enviados mediante SMS. La particularidad del ataque radica en que compromete un elemento considerado tradicionalmente como factor de seguridad: la posesión física del dispositivo móvil.
Fundamentos Técnicos
El SIM-swapping aprovecha el proceso legítimo de duplicación de tarjetas SIM para subvertir los mecanismos de autenticación basados en telefonía móvil. Este método ha experimentado un crecimiento significativo en los últimos años, con el FBI documentando un incremento sustancial en las denuncias: de apenas 320 casos entre 2018 y 2020 a más de 1611 denuncias solo en 2021 en Estados Unidos.
Arquitectura del Ataque
El proceso técnico del SIM-swapping requiere modificar la asociación entre el identificador único de la tarjeta SIM (IMSI – International Mobile Subscriber Identity) y el número de teléfono (MSISDN – Mobile Station International Subscriber Directory Number) en las bases de datos de la red del operador. Cuando se solicita un duplicado legítimo de una SIM, se genera una nueva tarjeta con un IMSI diferente que se vincula al mismo MSISDN, desactivando automáticamente la SIM original. Los ciberdelincuentes explotan este procedimiento mediante cuatro modalidades principales identificadas en la práctica forense: presentación de documentación falsificada en tiendas físicas, manipulación del empleado mediante técnicas de ingeniería social, connivencia con empleados de la operadora (método residual), y la modalidad más habitual, solicitud telemática de duplicado sin presencia física.
Metodología de Ejecución
El ataque se estructura en dos fases claramente diferenciadas, precedidas por una etapa de recopilación de información. En la fase preliminar, los atacantes obtienen datos personales sensibles de la víctima mediante técnicas como phishing (correos electrónicos fraudulentos), smishing (SMS maliciosos) o vishing (llamadas telefónicas engañosas). También pueden adquirir paquetes de datos en la dark web procedentes de brechas de seguridad en instituciones financieras, como los casos documentados de JP Morgan, Home Depot o Korea Credit Bureau. La primera fase ejecutiva consiste en suplantar la identidad del titular ante la operadora telefónica para obtener el duplicado de la SIM, momento en el cual el dispositivo legítimo pierde cobertura. La segunda fase, caracterizada por su extrema rapidez (entre una y dos horas típicamente), implica recibir los códigos de verificación SMS para restablecer contraseñas de servicios bancarios online y ejecutar transferencias fraudulentas o solicitar créditos preconcedidos.
Casos Documentados
La proliferación del SIM swapping ha generado numerosas operaciones policiales en territorio español y latinoamericano, con pérdidas económicas que se cuentan en millones de euros.
1. Operaciones Policiales en Territorio Español
En noviembre de 2025, la Policía Nacional detuvo a siete individuos en Sant Adriá de Besós (Barcelona) acusados de estafar miles de euros a dieciséis víctimas localizadas en más de diez ciudades españolas, incluyendo A Coruña, Ferrol, Marín, Ávila, Arrecife, Madrid, Valladolid, Alcobendas, Jerez de la Frontera, Cáceres, Melilla y Zaragoza. En diciembre de 2024, una operación conjunta de Policía Nacional y Guardia Civil desarticuló una organización criminal vinculada a la banda de los Trinitarios, con veinte detenidos (dieciséis en España) y un centenar de víctimas contabilizadas, logrando apropiarse de 429.000 euros mediante transferencias bancarias fraudulentas. En octubre de 2023, la Policía Nacional desmanteló un grupo criminal en Toledo que combinaba SIM-swapping con técnicas de phishing y smishing, causando perjuicios superiores a 300.000 euros en víctimas de España, Marruecos y Lituania. La operación más significativa ocurrió en marzo de 2020, cuando la Guardia Civil y la Policía Nacional desarticularon una organización criminal internacional con doce detenidos en Benidorm, Granada y Valladolid, que había cometido más de cien estafas obteniendo más de tres millones de euros de beneficio ilícito.
2. Impacto en Latinoamérica
En Latinoamérica, el SIM-swapping se ha identificado como una variante del delito de violación a la intimidad que integra múltiples infracciones penales. La investigación académica ecuatoriana ha planteado la interrogante sobre si la falta de tipificación específica del SIM-swapping vulnera la seguridad jurídica de los ciudadanos. En México, la Secretaría de Seguridad Ciudadana y la CONDUSEF han documentado esta modalidad de fraude, mientras que el Instituto Federal de Telecomunicaciones ha elaborado guías específicas sobre el fenómeno. La Fundación Sadosky en Argentina describe el SIM-swapping como una modalidad de ataque que requiere el uso de ingeniería social para recolectar información personal del titular que posteriormente se emplea cuando la operadora verifica la identidad de quien solicita el nuevo chip.
Marco Legal y Responsabilidad
El SIM-swapping ha generado un complejo entramado de responsabilidades legales que involucra a operadoras telefónicas, entidades bancarias y usuarios, requiriendo una respuesta coordinada desde múltiples jurisdicciones.
I. Regulación Española y Europea
El Real Decreto-ley 19/2018, de 23 de noviembre, que traspone la Directiva (UE) 2015/2366 sobre servicios de pago (PSD2), establece el marco normativo fundamental para abordar el SIM-swapping en el ámbito bancario. El artículo 44 del Real Decreto-ley dispone que cuando un usuario niega haber autorizado una operación de pago, corresponde al proveedor de servicios de pago demostrar que la operación fue autenticada, registrada con exactitud y no se vio afectada por fallos técnicos. El artículo 45.1 establece que en caso de operaciones no autorizadas, el proveedor debe devolver el importe inmediatamente, a más tardar al final del día hábil siguiente. En materia de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales regulan las obligaciones de las operadoras telefónicas respecto a la verificación de identidad en procesos de duplicación de SIM.
II. Jurisprudencia y Sentencias
Los tribunales españoles han desarrollado una línea jurisprudencial consistente estableciendo la responsabilidad de las entidades financieras en casos de SIM-swapping. La Sentencia del Juzgado de Primera Instancia nº 3 de Avilés (33/2023, de 21 de febrero) condenó a una entidad bancaria al abono de 2.000 euros por no implementar mecanismos de protección adecuados, estableciendo que las entidades que potencian la banca digital deben implementar todas las medidas de seguridad necesarias para evitar fraudes. La Sentencia de la Audiencia Provincial de Zaragoza (996/2022, de 17 de noviembre) confirmó la condena a una entidad bancaria por 56.474,63 euros, estableciendo un sistema de responsabilidad cuasi-objetiva que solo encuentra límites en la actuación fraudulenta, incumplimiento deliberado o negligencia grave del ordenante. La Sentencia de la Audiencia Provincial de Oviedo (170/2023, de 20 de abril) rechazó como negligencia grave la demora en comunicar el fraude, argumentando que la inoperatividad de la señal telefónica puede deberse a múltiples causas y no suscita inicialmente sospecha de fraude. En diciembre de 2025, una sentencia pionera obligó a Vodafone y WiZink a indemnizar a una víctima de SIM-swapping, reconociendo que constituyen operaciones de pago no autorizadas.
III. Sanciones a Operadoras
La Agencia Española de Protección de Datos ha impuesto sanciones millonarias a las operadoras telefónicas por vulneración del principio de confidencialidad de los datos establecido en el artículo 5.1.f) del RGPD. En 2022, la AEPD impuso multas por valor de 5,82 millones de euros a varias operadoras por duplicados fraudulentos de tarjetas SIM, considerando que sus políticas de seguridad eran insuficientes para evitar estos fraudes. La Sentencia de la Audiencia Nacional de 9 de febrero de 2023 confirmó una sanción de 200.000 euros a una operadora por facilitar a terceros duplicados de SIM sin contar con medidas adecuadas para comprobar que quien solicitaba el duplicado era el titular legítimo. La sentencia establece que las operadoras, como responsables del tratamiento de datos, deben cumplir con los principios del artículo 5 del RGPD y aplicar las medidas técnicas y organizativas de los artículos 24.1, 25 y 32.1 del mismo cuerpo legal.
Medidas de Prevención y Defensa
La mitigación efectiva del riesgo de SIM-swapping requiere una estrategia multidimensional que combine soluciones tecnológicas avanzadas con protocolos organizativos robustos.
I. Soluciones Biométricas
La biometría se ha identificado como una herramienta fundamental en la lucha contra el SIM-swapping, ofreciendo factores de autenticación más seguros que los métodos tradicionales. Eduardo Azanza, CEO de Veridas, sostiene que al utilizar rasgos únicos como huellas dactilares, reconocimiento facial o de voz, se pueden establecer sistemas de autenticación más seguros y difíciles de manipular por los ciberdelincuentes. La biometría ofrece tres características relevantes: privacidad (los datos biométricos pertenecen exclusivamente a cada individuo y no pueden ser suplantados ni clonados), seguridad (permite pasar de la presunción a la certeza en cuanto a la identidad del usuario), y voluntariedad (el usuario decide utilizar los factores biométricos como capa adicional de seguridad). Operadoras como Ventocom, Deutsche Telekom y Euskaltel han incorporado la biometría en sus procesos de alta y autenticación de clientes, utilizándola para dar altas online, autenticar clientes y verificar documentos con tecnología anti-spoofing para evitar casos de fraude.
II. Protocolos de Autenticación Reforzada
La autenticación reforzada de clientes contemplada en el Reglamento Delegado (UE) 2018/389 establece estándares de comunicación seguros que las entidades deben implementar. Las recomendaciones técnicas incluyen añadir un PIN de seguridad para desbloquear la tarjeta SIM del teléfono, evitar guardar información confidencial en la SIM, utilizar aplicaciones de autenticación en lugar de SMS cuando sea posible, y emplear redes virtuales privadas para navegar desde dispositivos móviles. La detección en tiempo real de cambios de SIM mediante comprobación directa con la base de datos del operador permite activar autenticación escalonada solo cuando sea necesario, equilibrando seguridad con experiencia de usuario. Los usuarios deben cambiar claves periódicamente, minimizar los datos personales compartidos en Internet, y tener disponible el número IMEI (marcando *#06# desde el teclado telefónico) para bloquear el dispositivo en caso de fraude. La Agencia Española de Protección de Datos ha emitido consultas específicas sobre el tratamiento de datos en procesos de duplicación de SIM, estableciendo que la solicitud del DNI con toma de copia constituiría un tratamiento excesivo que debe analizarse caso por caso considerando el principio de minimización y proporcionalidad.
Conclusión
El SIM-swapping representa una convergencia crítica entre vulnerabilidades humanas y deficiencias en protocolos de verificación que desafía los fundamentos de la autenticación basada en SMS. La respuesta efectiva requiere una articulación coordinada entre soluciones biométricas, marcos normativos robustos y protocolos organizativos que distribuyan adecuadamente la responsabilidad entre operadoras, entidades financieras y usuarios, reconociendo que la seguridad digital no puede descansar exclusivamente en factores de posesión física susceptibles de manipulación.
