Qué es el ‘SIM Swapping’ y cómo opera esta modalidad de fraude

El “intercambio de SIM” o “SIM swapping” es un tipo de fraude en el que los atacantes toman el control del número de teléfono de una víctima El objetivo principal es interceptar mensajes y llamadas, particularmente aquellos utilizados para la autenticación de dos factores (2FA), permitiendo el acceso no autorizado a cuentas bancarias, redes sociales y correo electrónico.

​La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF, 2024) de México explica que este ataque no es un hackeo técnico al teléfono en sí, sino un fraude basado en la ingeniería social.

​El proceso generalmente sigue varios pasos. Primero, el atacante recopila información personal de la víctima, a menudo obtenida a través de phishing, malware o de violaciones de datos anteriores (Europol, 2024).

​Posteriormente, el atacante contacta al proveedor de telefonía móvil de la víctima. Utilizando la información personal recopilada, se hacen pasar por el titular legítimo de la línea (FTC, 2024). Solicitan al proveedor que “intercambie” o active el número de teléfono en una nueva tarjeta SIM que está en posesión del atacante. En algunos casos, esto se logra mediante la persuasión del personal de servicio al cliente o, en ocasiones, a través de contactos internos en la compañía telefónica (Europol, 2024).

​Una vez que el proveedor realiza el cambio, la tarjeta SIM de la víctima pierde la conexión a la red, mostrando mensajes como “Solo emergencias” o “Sin servicio” (CONDUSEF, 2024). En ese momento, el atacante tiene control total sobre el número, recibiendo todas las llamadas y mensajes de texto.

Con este control, el atacante puede iniciar procesos de “restablecimiento de contraseña” en las cuentas bancarias o de redes sociales de la víctima. Los códigos de seguridad de un solo uso (OTP), comúnmente enviados por SMS como segunda capa de seguridad, llegan directamente al atacante, permitiéndole autorizar transacciones o tomar control de las cuentas.

​Agencias de ciberseguridad, como el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST, 2024), diferencian este ataque de la “clonación de SIM” pura. La clonación física, que requiere hardware especializado para copiar los identificadores únicos de una SIM, es técnicamente más compleja y menos común que el “SIM swapping” basado en ingeniería social.

Las autoridades recomiendan a los usuarios proteger su información personal y no compartirla en respuesta a correos o mensajes no solicitados. Además, sugieren utilizar métodos de autenticación de dos factores que no dependan de SMS, como aplicaciones de autenticación o llaves de seguridad físicas, siempre que sea posible (FTC, 2024).

​Fuentes Verificables Utilizadas:

• ​Comisión Federal de Comercio (FTC) de EE. UU. (2024). Estafas de intercambio de SIM. Disponible en: https://consumer.ftc.gov/articles/sim-swap-scams
• ​Europol. (2024). SIM Swapping. Disponible en: https://www.europol.europa.eu/crime-areas-and-trends/crime-areas/payment-fraud/sim-swapping
• ​CONDUSEF (México). (2024). ¡Que no te pase a ti! Conoce el SIM Swapping. Disponible en: https://www.condusef.gob.mx/?p=contenido&idc=1646&idcat=1
• ​Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. (2024). Glosario del Centro de Recursos de Seguridad Informática. Disponible en: https://csrc.nist.gov/glossary

​[mizitacuaro]