¿El intercambio de SIM seguirá siendo común en 2026?

Sí. El informe IC3 del FBI sigue mostrando que el intercambio de SIM es una de las categorías de fraude de mayor crecimiento. Las defensas de los portaaviones han mejorado, pero los atacantes decididos aún tienen éxito, particularmente a través de personas internas sobornadas o mediante ingeniería social.

¿Puede un intercambio de SIM apuntar a una eSIM?

Con menos facilidad que una SIM física, pero sí. El intercambio de eSIM requiere acceder a su cuenta y proporcionar un nuevo perfil de eSIM; El flujo de verificación varía según el transportista. Algunas implementaciones son más seguras que los intercambios de SIM físicas; otros son equivalentes.

¿El PIN de mi operador impide el cambio de SIM?

Reduce sustancialmente el riesgo. Sin el PIN, el atacante tiene que adivinarlo, realizar ingeniería social para superarlo o conseguir que un experto lo anule. Colocar uno es el paso de higiene más importante. Elija un PIN que no esté relacionado con información pública sobre usted.

¿Por qué mi banco todavía me permite restablecer la contraseña mediante SMS?

La mayoría de los bancos no han migrado completamente a una autenticación más sólida. Algunos ofrecen 2FA basado en aplicaciones como opción de suscripción; algunos requieren una llamada telefónica o una visita para habilitar las claves de hardware. Las instituciones que se toman esto en serio ofrecen soporte para claves de hardware/FIDO2; muchos todavía dependen de los SMS. Presiona a tu banco si todavía es solo SMS.

¿Puede una VPN proteger contra el intercambio de SIM?

No, el intercambio de SIM es un ataque del lado del operador, no relacionado con su IP o red. Las defensas son los PIN del operador, 2FA sólida en cuentas dependientes y OPSEC sobre su número de teléfono.

Explicación de los ataques de intercambio de SIM: cómo se roba su número de teléfono

El intercambio de SIM es el ataque en el que alguien convence a su operador de telefonía móvil para que transfiera su número de teléfono a una SIM que controla. Desde la perspectiva del atacante, su número ahora suena en su teléfono, incluidos los códigos 2FA basados en SMS para su banco, correo electrónico y criptografía. Las pérdidas multimillonarias lo han convertido en uno de los ataques a los consumidores más importantes de la última década.

El cuerpo completo del artículo se proporciona en inglés a continuación.

SIM swap (también llamado SIM jacking o SIM secuestro) es el ataque en el que una persona no autorizada convence a un operador de telefonía móvil para que emita una nueva tarjeta SIM vinculada al número de teléfono de la víctima. Una vez que se completa el intercambio, el teléfono del usuario legítimo pierde el servicio y el teléfono del atacante recibe todas las llamadas y SMS, incluidos los códigos de autenticación para cualquier cuenta que utilice 2FA.

Cómo se desarrolla normalmente el ataque

La ruta del atacante:

Recon. Reúna información de la víctima: nombre completo, fecha de nacimiento, dirección, SSN parcial, números de cuenta. Procedente de violaciones de datos, redes sociales y OSINT.
Comuníquese con el operador. Ya sea por teléfono, chat en línea o en persona en una tienda minorista. Finge ser la víctima, afirma que se perdió el teléfono o que necesita una nueva SIM.
Omitir verificación. Las preguntas basadas en conocimientos se responden desde el reconocimiento. En algunos casos, los empleados sobornados o mediante ingeniería social se saltan la verificación por completo.
Activar la nueva tarjeta SIM. El operador transfiere el número; el teléfono de la víctima pierde la señal.
Adquisición de cuenta. El atacante solicita restablecimiento de contraseña en el correo electrónico, el banco y el intercambio de cifrado. Los códigos de reinicio llegan vía SMS al teléfono del atacante. En cuestión de horas, el atacante cambió las contraseñas y bloqueó a la víctima.
Drenar cuentas. Una vez en el correo electrónico y en el banco/criptomoneda, el atacante mueve fondos, vende activos o extrae valor.

La secuencia completa puede completarse en menos de una hora para un atacante preparado. La víctima a menudo solo se da cuenta cuando su teléfono deja de funcionar.

El motivo por el que la 2FA basada en SMS habilita esta 2FA basada en SMS

depende de la suposición de que el usuario controla el número de teléfono. El intercambio de SIM rompe la suposición directamente. Una vez que el atacante tiene el número, tiene su segundo factor para cada cuenta protegida por SMS. Esta es la razón central por la que los profesionales de seguridad advierten constantemente contra los SMS como método principal de 2FA. La 2FA basada en

SMS sigue siendo mejor que ninguna 2FA: detiene el relleno oportunista de credenciales. Pero para cualquier cuenta que tenga un valor significativo, los SMS son el segundo factor aceptable más débil y cada vez más inaceptable.

Casos famosos

Michael Terpin perdió 24 millones de dólares en criptomonedas debido a un intercambio de SIM en 2018; un litigio posterior contra AT&T exploró la responsabilidad del operador.
Joel Ortiz recibió 10 años en 2019 por intercambiar SIM más de $7 millones en criptomonedas de las víctimas.
El grupo de intercambio de SIM COMM fue acusado en 2020 de intercambios dirigidos a criptomonedas, robo de identidad y fraude de tarjetas de crédito en todo cientos de víctimas.
Tel director ejecutivo de Twitter, Jack Dorsey, vio su cuenta comprometida a través del intercambio de SIM en 2019.

Defensas del operador (y sus límites)

Todos los principales operadores en los EE. UU., la UE y otros lugares ahora oferta:

Cuenta PIN: se requiere una contraseña separada para realizar cambios. Defensa crítica; habilitar en cada línea.
Bloqueo de SIM: el operador no procesará un intercambio de SIM sin una verificación secundaria.
Bloqueo de transferencia: deshabilita la transferencia de números sin un desbloqueo explícito.
Verificación de identidad: mayor escrutinio en el intercambio de SIM solicitudes, especialmente después de una actividad sospechosa reciente.

El problema: estas defensas se pueden eludir mediante ingeniería social o soborno a los empleados de primera línea. T-Mobile, AT&T, Verizon, Vodafone y otros han tenido incidentes de intercambio de SIM con asistencia interna. Las defensas suben el listón pero no eliminan el ataque.

Qué puedes hacer

Configura un PIN de operador inmediatamente. Cada cuenta debe tener uno. El primer paso.
Utilice 2FA basado en aplicaciones o hardware, no SMS. Para correo electrónico, banca, criptografía y redes sociales. SMS solo como último recurso cuando no se admite nada más.
Claves de hardware para cuentas de mayor valor. Una YubiKey o similar hace que el intercambio de SIM sea inútil para la cuenta que protege.
Cuenta de correo electrónico 2FA sin SMS. Su correo electrónico principal controla los restablecimientos de contraseña para todo lo demás. Protéjalo con TOTP o clave de hardware, no con SMS.
Esté atento a las señales. La pérdida repentina del servicio celular mientras está en cobertura, especialmente sin una causa obvia, puede ser la primera señal de cambio de SIM. Comuníquese con su operador desde otro teléfono inmediatamente.
eSIM donde sea compatible. Más difícil de intercambiar de forma remota que la tarjeta SIM física en las implementaciones de algunos operadores.
Número de teléfono de autenticación independiente. Algunos usuarios de alto patrimonio neto tienen un número separado que nunca se asocia públicamente con ellos, y se usa solo para 2FA.

Si sospecha de un intercambio de SIM

Llame a su operador desde otro teléfono. Verifique el estado de su línea.
Si se intercambia, exija la reversión inmediata y el restablecimiento del PIN de la cuenta.
Lbloquee sus cuentas bancarias y de corretaje (llame a las instituciones).
Cambie las contraseñas de correo electrónico y otras cuentas críticas desde un dispositivo diferente.
Presente un informe policial. Para las víctimas estadounidenses, también presente una solicitud ante el IC3.
del FBI. Si se produjo una pérdida financiera, comuníquese con las instituciones de inmediato; los límites de tiempo para informar el fraude son importantes. Los reguladores de la UE han implementado requisitos similares. La aplicación de la ley es desigual; Las regulaciones han reducido los intentos casuales de intercambio de SIM, pero los atacantes motivados aún tienen éxito con regularidad.

Preguntas frecuentes

¿El intercambio de SIM seguirá siendo común en 2026?: Sí. El informe IC3 del FBI sigue mostrando que el intercambio de SIM es una de las categorías de fraude de mayor crecimiento. Las defensas de los portaaviones han mejorado, pero los atacantes decididos aún tienen éxito, particularmente a través de personas internas sobornadas o mediante ingeniería social.
¿Puede un intercambio de SIM apuntar a una eSIM?: Con menos facilidad que una SIM física, pero sí. El intercambio de eSIM requiere acceder a su cuenta y proporcionar un nuevo perfil de eSIM; El flujo de verificación varía según el transportista. Algunas implementaciones son más seguras que los intercambios de SIM físicas; otros son equivalentes.
¿El PIN de mi operador impide el cambio de SIM?: Reduce sustancialmente el riesgo. Sin el PIN, el atacante tiene que adivinarlo, realizar ingeniería social para superarlo o conseguir que un experto lo anule. Colocar uno es el paso de higiene más importante. Elija un PIN que no esté relacionado con información pública sobre usted.
¿Por qué mi banco todavía me permite restablecer la contraseña mediante SMS?: La mayoría de los bancos no han migrado completamente a una autenticación más sólida. Algunos ofrecen 2FA basado en aplicaciones como opción de suscripción; algunos requieren una llamada telefónica o una visita para habilitar las claves de hardware. Las instituciones que se toman esto en serio ofrecen soporte para claves de hardware/FIDO2; muchos todavía dependen de los SMS. Presiona a tu banco si todavía es solo SMS.
¿Puede una VPN proteger contra el intercambio de SIM?: No, el intercambio de SIM es un ataque del lado del operador, no relacionado con su IP o red. Las defensas son los PIN del operador, 2FA sólida en cuentas dependientes y OPSEC sobre su número de teléfono.