Ataque de intercambio de SIM: cómo los hackers secuestran tu número de teléfono
Tu número de teléfono es, en secreto, la clave maestra de tu dinero. Tu banco, tu correo electrónico y tu plataforma de intercambio de criptomonedas confían en él para verificar tu identidad, generalmente mediante el envío de un código por SMS. Un ataque de suplantación de SIM roba esa clave y se la entrega a un desconocido, a menudo en el tiempo que tardas en darte cuenta de que la señal en tu pantalla ha desaparecido. Para cuando te reconectes, el atacante puede haber restablecido tus contraseñas y vaciado tus cuentas. Para los poseedores de criptomonedas, el daño es aún mayor: una vez que las monedas salen de una billetera, nadie puede recuperarlas.
Esta guía explica qué es un ataque de intercambio de SIM, cómo funciona paso a paso, por qué se ha convertido en la herramienta favorita para robar criptomonedas y los pocos cambios que realmente lo detienen.
Qué es un ataque de intercambio de SIM y por qué funciona
Un ataque de intercambio de SIM es un fraude de robo de cuenta que aprovecha una vulnerabilidad en la autenticación de dos factores: los mensajes de texto . Tu SIM (módulo de identidad del suscriptor) es el pequeño chip que vincula tu número de teléfono móvil con tu dispositivo. En un intercambio de SIM, el atacante nunca toca tu teléfono. En cambio, convence a tu operador de telefonía móvil para que transfiera tu número a una nueva tarjeta SIM que posee. En el momento en que se completa el intercambio, todas las llamadas y mensajes de texto destinados a ti, incluidos los códigos de seguridad, llegan a su teléfono.
Aquí es donde la gente malinterpreta. No se trata de un hackeo telefónico ni de un algoritmo de cifrado vulnerado. Se trata de un ataque al servicio de atención al cliente. La vulnerabilidad que se explota reside en el empleado de la operadora y en la falsa creencia de que controlar un número de teléfono prueba la identidad. Si dejamos de lado la jerga técnica, un intercambio de SIM consiste simplemente en que alguien persuade a una empresa para que ceda tu número y luego lo utiliza para acceder a todo lo que ese número protege. Los investigadores de seguridad clasifican las estafas de intercambio de SIM como robo de identidad, y con razón. El atacante no solo busca tu dinero; durante un tiempo, posee toda tu identidad digital, que pasa por una cuenta de teléfono móvil común que creías que era solo tuya.
Cómo funciona un ataque de intercambio de SIM, paso a paso.
Casi todos los casos siguen los mismos tres pasos, y ninguno requiere técnicas avanzadas de pirateo informático. Solo requieren paciencia y una historia convincente.
Paso 1: Recopilación de su información personal
Primero, el atacante crea un perfil tuyo. Extrae información personal de antiguas filtraciones de datos vendidas en la dark web, de correos electrónicos de phishing que te engañan para que introduzcas tus datos y de tus propias redes sociales. Un cumpleaños por aquí, el nombre de una mascota por allá, los últimos cuatro dígitos de una tarjeta de una base de datos filtrada, y ya tienen suficientes datos personales para hacerse pasar por ti en una llamada telefónica. Cuanto más hayas publicado públicamente, más barato resulta este paso. La mayor parte de estos datos personales no son recientes. Se filtraron hace años en alguna brecha olvidada, y el atacante simplemente está recomponiendo fragmentos dispersos para crear un perfil convincente.
Paso 2: Suplantar su identidad ante la compañía de transporte.
A continuación, se hacen pasar por ti ante tu proveedor de telefonía móvil. A veces, se trata de una llamada telefónica con una historia ensayada sobre un teléfono perdido o averiado. Otras veces, se presentan en una tienda con una identificación falsa. En los peores casos, el atacante simplemente soborna o recluta a un empleado de la compañía, lo que convierte toda la defensa en una operación encubierta. Esto es ingeniería social, no programación, y funciona porque el personal de soporte está capacitado para ser útil y atender las llamadas pendientes.
Paso 3: El intercambio y la adquisición
Una vez que el operador activa la nueva tarjeta SIM —el momento clave del ataque— tu teléfono se queda sin señal. El atacante toma el control del número. Accede a tu correo electrónico o cuenta bancaria, hace clic en "olvidé mi contraseña" y espera a que el código de restablecimiento llegue como un mensaje de texto legible. Intercepta ese SMS, restablece la contraseña y obtiene acceso. Una vez que tu correo electrónico está comprometido, el ataque se extiende a todas las demás cuentas vinculadas. El control total de la cuenta puede ocurrir en minutos, mucho antes de que la mayoría de las personas se den cuenta de por qué su teléfono se quedó sin señal.
Por qué los intercambios de SIM son una máquina de robo de criptomonedas
Muchos ataques pueden vaciar una cuenta bancaria, pero los bancos pueden revertir las transferencias fraudulentas. Con las criptomonedas es diferente, y esa diferencia es precisamente la razón por la que el intercambio de tarjetas SIM resulta tan devastador en este sector financiero.
La autenticación de dos factores por SMS es el único punto de fallo.
La mayoría de las plataformas de intercambio aún permiten a los usuarios proteger sus cuentas con un código enviado por SMS. Esto da una sensación de seguridad hasta que te das cuenta de que toda la protección se basa en una premisa: que solo tú recibes tus mensajes. Un intercambio de SIM rompe por completo esta premisa. Un código interceptado restablece el inicio de sesión, y la autenticación de dos factores por SMS, que se supone que es tu red de seguridad, se convierte en una puerta abierta. El atacante no necesita tu contraseña si puede restablecerla a través de tu número. Peor aún, este mismo truco anula la propia contraseña, ya que muchas plataformas permiten recuperar una contraseña olvidada por SMS. El código SMS no es una segunda medida de seguridad; es la única, y el intercambio de SIM tiene la llave. Incluso las instituciones caen en la trampa: en 2024, la propia cuenta X de la SEC fue secuestrada mediante un intercambio de SIM y utilizada para publicar una aprobación falsa de un ETF de Bitcoin que sacudió brevemente el mercado.
Irreversible por diseño
Un banco puede congelar una transferencia bancaria y revertir un cargo. Una cadena de bloques no. Una vez que un atacante transfiere tus criptomonedas a una billetera que controla, la transferencia es definitiva, sin posibilidad de reembolso ni de contactar con soporte técnico. Esta irreversibilidad es una característica de las criptomonedas, pero convierte un simple susto en una pérdida permanente, razón por la cual los atacantes buscan específicamente a los poseedores de criptomonedas conocidos. Las cifras en dólares demuestran lo mucho que está en juego.
| Caso | Año | Cantidad | Cómo sucedió |
|---|---|---|---|
| Michael Terpin contra AT&T | 2018 | 24 millones de dólares | Número transferido, cuentas de criptomonedas vacías. |
| El atraco del día de la bancarrota de FTX | 2022 | unos 400 millones de dólares | Cambio de tarjeta SIM durante el colapso de la bolsa |
| Robo de bitcoins en Washington D.C. | 2024 | 4.100 BTC, unos 263 millones de dólares | Ingeniería social más intercambio de tarjetas SIM, 9 condenas. |
| víctima de arbitraje de T-Mobile | 2020 | Se otorgaron 33 millones de dólares. | Fallo de seguridad del operador, intercambios repetidos |
| Secuestro de cuenta SEC X | 2024 | publicación falsa que mueve el mercado | Intercambio de SIM de la cuenta de la agencia |
¿Con qué frecuencia ocurren realmente los ataques de intercambio de SIM?
La respuesta sincera es una paradoja. En términos absolutos, estos ataques son raros, pero por víctima son catastróficos, y las cifras oficiales subestiman enormemente las pérdidas en criptomonedas.
Primero, analicemos las cifras reportadas. El Centro de Denuncias de Delitos en Internet del FBI registró 982 denuncias por intercambio de SIM en 2024, con pérdidas de aproximadamente 26 millones de dólares, una cifra inferior al pico de casi 72,6 millones de dólares alcanzado en 2022. Microsoft ha señalado que menos del 0,3 % de los ataques de identidad utilizan el intercambio de SIM, una cifra insignificante comparada con el phishing común. Si nos basamos solo en estas cifras, podríamos encogernos de hombros.
| Año | Pérdidas reportadas por intercambio de tarjetas SIM (FBI IC3) |
|---|---|
| 2022 | 72,6 millones de dólares |
| 2023 | 48,8 millones de dólares |
| 2024 | 26 millones de dólares (982 quejas) |
Analicemos con más detalle. El mismo año en que las pérdidas oficiales por intercambio de SIM rondaron los 26 millones de dólares, un único caso en Washington D.C. movió aproximadamente 263 millones de dólares en bitcoin, y el robo de FTX se llevó unos 400 millones de dólares. Ninguno de estos casos se incluye en la columna de intercambio de SIM, ya que los investigadores los clasifican dentro de categorías más amplias de fraude o robo. La conclusión no es que el ataque sea inofensivo, sino que es poco común, preciso y dirigido a personas con dinero real, especialmente criptomonedas, donde un éxito compensa mil fracasos. En promedio, cada estafa de intercambio de SIM reportada en 2024 le costó a su víctima alrededor de 26.000 dólares, y estos son solo los casos lo suficientemente pequeños como para ser clasificados como tales. Los robos de criptomonedas más sonados, los que ascienden a decenas o cientos de millones, se encuentran en registros completamente diferentes.
Señales de alerta de un ataque de intercambio de SIM
Normalmente, recibes una sola advertencia de que se está realizando un cambio de tarjeta SIM, y el cronómetro empieza a contar desde el momento en que se activa. Aquí importan los minutos, no las horas.
La señal más evidente es muy sencilla: tu teléfono pierde la señal sin motivo aparente. Batería llena, sin problemas de cobertura, todos a tu alrededor con señal, y tú sin ella. En el centro de la ciudad, esto no es un fallo técnico. Trátalo como la alarma que probablemente sea. Las demás señales aparecen en cualquier dispositivo que aún funcione. Te bloquean una cuenta que usaste ayer. Recibes un mensaje de texto para restablecer la contraseña que nunca solicitaste. Tu operador te envía correos electrónicos para "confirmar" una nueva tarjeta SIM que no solicitaste. Si detectas cualquiera de estas señales en tus otros dispositivos móviles, asume que alguien está intentando tomar el control de tu número de teléfono en este preciso instante. Sea lo que sea que hagas a continuación, hazlo rápido, porque el atacante ya lo está haciendo.
Cómo evitar el intercambio de tarjetas SIM y protegerse
No puedes impedir que un delincuente decidido manipule un centro de llamadas mediante ingeniería social, pero sí puedes lograr que tu número sea inútil para él. Un cambio en particular marca la diferencia.
Obtén dinero en SMS
Una medida es crucial. Deja de usar mensajes de texto como segundo factor para cualquier información importante. Transfiere el acceso a todas tus cuentas de intercambio, bancarias y de correo electrónico a una aplicación de autenticación o, mejor aún, a una clave de seguridad física que un atacante tendría que robar personalmente. Esto ya no es una paranoia marginal. A finales de 2024, el FBI y la CISA recomendaron abandonar por completo los códigos SMS, y las nuevas normas federales de identidad del NIST ya no consideran los SMS como una seguridad suficiente para cuentas confidenciales. Si un servicio solo ofrece mensajes de texto, invierte tu dinero en una plataforma que admita una aplicación o una clave. La razón es simple: un código de autenticación reside únicamente en tu dispositivo. Una clave física no se puede copiar ni obtener por teléfono. Ninguno de los dos se conserva cuando te roban el número, por lo que el intercambio termina resultando en un número que no desbloquea nada.
Bloquea el transportista y tu huella digital.
Luego, refuerza la seguridad de tu número. Agrega un PIN de SIM o un bloqueo de transferencia de número con tu operador para evitar cualquier intercambio sin él. Muchos proveedores ofrecen este servicio gratis, como la Protección SIM de Verizon, que bloquea los cambios hasta que la desactives. Usa una contraseña segura y única, y un gestor de contraseñas para que una sola filtración de datos no desbloquee todo. Y deja de publicar tus criptomonedas, ya que los atacantes suelen elegir a sus objetivos precisamente por alardear públicamente. Las carteras discretas son robadas con mucha menos frecuencia que las que hacen alarde de ellas.
Qué hacer si te roban la tarjeta SIM
La rapidez determina la gravedad de un fraude de intercambio de SIM, así que siga estos pasos. Primero, llame a su operador desde otro teléfono para reportar el secuestro de la SIM y recuperar su número. Luego, desde un dispositivo que aún sea de confianza, restablezca las contraseñas de su correo electrónico y sus cuentas de intercambio, y desactive la autenticación de dos factores por SMS en todas ellas. Si posee criptomonedas, congele los retiros en su plataforma de intercambio y transfiera los fondos si aún puede. Finalmente, documente todo y presente denuncias ante el Centro de Denuncias de Delitos en Internet del FBI y la FTC. Si bien esto no deshace un robo ya consumado, puede detener un ataque en curso y frenar el acceso no autorizado a la cuenta antes de que se propague.
Un ataque de intercambio de SIM apunta al eslabón más débil.
Un ataque de intercambio de SIM no vence tu seguridad; la elude, a través de una compañía telefónica que nunca se diseñó para proteger tus ahorros. Tu número nunca fue concebido como un documento de identidad, sin embargo, lo hemos integrado en todo lo que importa. Para cualquier sistema que contenga dinero, la suposición más segura es simple: considera que la autenticación de dos factores por SMS ya está rota y cambia a una aplicación o una llave de hardware hoy mismo, en lugar de esperar a que se te corte la señal una tarde cualquiera. La solución es sencilla, completa y solo toma unos diez minutos. Así que aquí está la única pregunta que importa: si tu teléfono se apagara ahora mismo, ¿cuánto podría acceder un desconocido antes de que lo recuperaras?
