SIM swapping: cuando pierdes la cobertura y pierdes tu banco
El SIM swapping (duplicado de SIM) es uno de los fraudes más sofisticados y más dañinos que existen. En cuestión de minutos, los atacantes pueden vaciar cuentas bancarias completas. Lo peor: lo detectas demasiado tarde porque la señal de alerta (perder cobertura) parece un simple problema técnico.
🔴 Si tu móvil ha perdido cobertura sin motivo y detectas operaciones bancarias sospechosas: Llama al banco y a tu operadora AHORA desde otro teléfono.
Qué es el SIM swapping y cómo funciona
El SIM swapping consiste en convencer a tu operadora de que eres tú para que transfieran tu número a una SIM que controlan los atacantes. Una vez que tienen tu número, reciben todos tus SMS, incluyendo los códigos de verificación de tu banco (OTP).
El proceso paso a paso:
- El atacante recopila tus datos personales (nombre, DNI, dirección) mediante phishing, redes sociales o filtraciones
- Llama a tu operadora haciéndose pasar por ti
- Solicita un duplicado de SIM alegando pérdida o robo
- Tu SIM original se desactiva (pierdes cobertura)
- Ellos reciben todos tus SMS, incluyendo los OTP bancarios
- Acceden a tu banca online y hacen transferencias con los códigos que reciben en “tu” número
La señal de alarma que la mayoría ignora
🟡 Si tu móvil pierde la señal de forma repentina y no hay problemas de red en tu zona: Llama a tu operadora desde otro teléfono inmediatamente. No esperes a ver si “se arregla solo”.
Muchas víctimas asumen que es un problema técnico del operador y esperan horas. Esas horas son las que usan los atacantes para vaciar las cuentas.
Cómo se obtienen tus datos para el ataque
| Fuente | Qué obtienen | Cómo defenderte |
|---|---|---|
| Redes sociales públicas | Nombre, fecha de nacimiento, ciudad | Limita la información pública |
| Phishing previo | DNI, dirección, teléfono | No respondas a emails no solicitados |
| Filtraciones de datos | Email, teléfono, contraseñas | Revisa en haveibeenpwned.com |
| Ingeniería social directa | Datos que tú les das por teléfono | Desconfía de llamadas pidiendo “verificar datos” |
Pasos urgentes si crees que te han hecho SIM swapping
- Llama a tu operadora desde otro teléfono — informa de que tu SIM puede haber sido duplicada y pide bloqueo inmediato
- Llama a tu banco para bloquear operaciones — específicamente las validadas por SMS
- Cambia la contraseña de banca online desde un dispositivo y red seguros
- Revisa todos los movimientos de las últimas horas
- Denuncia en comisaría con todo el historial
Cómo protegerte del SIM swapping
- Activa un PIN de seguridad en tu operadora para cambios de SIM (todos los operadores españoles lo permiten)
- Usa autenticación por app (Google Authenticator, Authy) en lugar de SMS cuando sea posible
- Limita los datos personales que publicas en redes sociales
- Activa alertas de cambio de SIM en tu operadora si están disponibles
- Nunca compartas datos personales por teléfono con llamadas entrantes no solicitadas
Portabilidad fraudulenta: la variante más silenciosa
En la portabilidad fraudulenta, el atacante transfiere tu número a otra compañía. El resultado es el mismo: pierdes el número, ellos interceptan los SMS. La diferencia es que puede pasar más gradualmente y hay un período de transición donde aún recibes llamadas pero no SMS.
Preguntas frecuentes
¿El operador tiene responsabilidad? Sí. Los operadores están obligados a verificar la identidad antes de duplicar una SIM. Si no lo hicieron correctamente, tienen responsabilidad. Puedes reclamar a la CNMC (Comisión Nacional de Mercados y la Competencia).
¿El banco tiene responsabilidad si el código SMS fue interceptado? La normativa PSD2 obliga a los bancos a implementar autenticación robusta. Si el único factor era el SMS y este fue interceptado, el banco puede tener responsabilidad parcial.
¿Puedo recuperar mi número? Sí, contactando con tu operadora y acreditando tu identidad presencialmente. El proceso suele resolverse en horas o días.
Cuánto tiempo tienen los atacantes una vez que activan tu SIM duplicada
El tiempo entre la activación de la SIM duplicada y la detección por parte de la víctima suele ser de entre 1 y 6 horas. Durante ese tiempo, los atacantes actúan de forma sistemática:
| Tiempo tras activación | Acción típica del atacante |
|---|---|
| 0-5 minutos | Verifican que reciben SMS en la SIM duplicada |
| 5-20 minutos | Inician reseteo de contraseña de banca online |
| 20-60 minutos | Realizan transferencias usando OTPs interceptados |
| 1-3 horas | Solicitan créditos o tarjetas si tienen tiempo |
| 3-6 horas | La víctima detecta la pérdida de cobertura |
Este es el motivo por el que la detección temprana es tan crítica y por qué la señal de “pérdida de cobertura sin motivo” nunca debe ignorarse.
Alternativas al SMS como segundo factor de autenticación
El SMS como método de verificación bancaria tiene un punto débil estructural: depende de la red telefónica y puede ser interceptado. Existen alternativas más seguras que deberías activar si tu banco las ofrece:
| Método | Seguridad | Disponibilidad en bancos españoles |
|---|---|---|
| App de autenticación (TOTP) | Alta | Creciente (Santander, BBVA, CaixaBank) |
| Notificación push en app oficial | Alta | Mayoría de bancos |
| SMS | Media | Universal |
| Clave de coordenadas | Media | En desuso progresivo |
| Llamada de voz | Media-baja | Algunos bancos |
💡 Pregunta a tu banco si puedes cambiar la verificación SMS por la app de autenticación o notificación push. Es más seguro y más cómodo.
Reclamación al operador por SIM swapping: tus derechos
Los operadores de telecomunicaciones están obligados a verificar la identidad antes de duplicar una SIM o autorizar una portabilidad. Si no lo hicieron correctamente, tienen responsabilidad. La reclamación sigue este proceso:
- Reclamación al operador por escrito
- Si no resuelven en 1 mes, reclamación a la CNMC (gratuita)
- La CNMC puede sancionar al operador y exigir compensación
En paralelo, la responsabilidad bancaria sigue su propio proceso independiente.