Te quedaste sin señal 5 minutos. Pensaste que era la red. Le diste la vuelta al celular. Reiniciaste. Nada. «Ya volverá,» pensaste.
Tu cuenta ya estaba vacía.
No te robaron el celular. No hackearon tu computadora. No te mandaron un link falso. No hiciste clic en nada. No descargaste nada. No le diste tu contraseña a nadie.
Alguien fue a una tienda de tu compañía telefónica, dijo que era tú, pidió un duplicado de tu SIM, y se lo dieron. En ese momento, tu línea telefónica dejó de ser tuya. Todos los mensajes que iban para ti empezaron a llegar al celular del estafador. Incluyendo los códigos de verificación de tu banco. Incluyendo los SMS de confirmación de transferencias. Incluyendo los tokens de un solo uso de tu banca en línea.
Cinco minutos sin señal. Una transferencia a una cuenta que nunca viste. Tu dinero, desaparecido.
Esto se llama SIM swapping. Y es la estafa más silenciosa, más invisible y más devastadora que existe en México hoy.
Llevo 17 años haciendo informática forense. He investigado casos de SIM swapping desde antes de que tuviera nombre popular. He analizado cómo operan, desde dónde operan, y qué herramientas usan. Y lo que me quita el sueño no es la sofisticación del ataque — que es relativamente simple — sino la facilidad con la que se ejecuta y la absoluta falta de protección de los usuarios.
Este artículo te va a explicar qué es, cómo funciona, cómo saber si te está pasando, y cómo protegerte. Léelo completo. Porque la próxima vez que tu celular se quede sin señal, quiero que sepas exactamente qué hacer.
Qué es el SIM swapping (y por qué tu número de celular es la llave de todo)
Tu tarjeta SIM — esa pieza de plástico diminuta que está dentro de tu celular — es tu identidad en la red de telefonía. Es lo que le dice a Telcel, AT&T o Movistar: «este celular es el de esta persona, con este número, y todo lo que llegue a este número debe llegar aquí.»
El SIM swapping es cuando alguien logra que la compañía telefónica transfiera tu número a otra tarjeta SIM. A la de él. En ese momento, tu SIM deja de funcionar (te quedas sin señal) y la nueva SIM empieza a recibir todo lo que va a tu número: llamadas, mensajes, SMS.
Hasta aquí podría parecer que lo único que pierde es tu línea telefónica. Incómodo, pero no catastrófico.
El problema es lo que tu número de celular representa en el mundo digital moderno.
Tu número de celular es la llave de:
Tu banco. Cuando haces una transferencia por banca en línea, el banco te manda un SMS con un código de confirmación. Ese SMS llega a tu número. Si tu número ahora está en el celular del estafador, el código le llega a él.
Tu correo electrónico. Si olvidaste tu contraseña de Gmail, Google te manda un código a tu número. Si el estafador tiene tu número, puede cambiar la contraseña de tu correo.
Tus redes sociales. Facebook, Instagram, WhatsApp, Twitter — todos usan tu número de celular como método de recuperación de cuenta. Si el estafador tiene tu número, puede tomar el control de tus redes.
Tus aplicaciones financieras. Mercado Pago, PayPal, aplicaciones de criptomonedas, carteras digitales. Muchas usan SMS como segundo factor de autenticación. Si el estafador tiene tu número, tiene acceso.
Tu número de celular es, para efectos prácticos, la llave maestra de tu vida digital. Y el SIM swapping es la copia de esa llave.
Cómo funciona el ataque: Paso a paso
Voy a desmontarlo como lo desmontaría en mi laboratorio. Paso por paso. Para que entiendas cada eslabón de la cadena.
Paso 1: El estafador recopila tu información personal
Antes de ir a la tienda de telefonía, el estafador necesita tus datos. Nombre completo, fecha de nacimiento, dirección, CURP, y en algunos casos los últimos dígitos de tu INE. Esos datos los obtiene de:
Filtraciones de datos. Bases de datos de empresas, de bancos, de tiendas en línea, de servicios gubernamentales que fueron hackeadas. Tu nombre, tu CURP, tu dirección, todo eso se vende en foros del mercado negro por pesos. No por miles. Por pesos.
Redes sociales. Tu perfil de Facebook dice tu nombre completo, tu cumpleaños, tu ciudad. Tu INE la subiste a un trámite en línea. Tu CURP está en un grupo de WhatsApp del trabajo.
Ingeniería social. A veces el estafador te llama haciéndose pasar por tu compañía telefónica: «Le llamamos de Telcel para verificar su cuenta. ¿Me puede confirmar su nombre completo, su fecha de nacimiento y los últimos cuatro dígitos de su INE?» Tú se los das pensando que es un proceso normal. Acabas de darle la llave.
Paso 2: El estafador obtiene el duplicado de tu SIM
Con tus datos en mano, el estafador va a una tienda de tu compañía telefónica — o llama al call center — y dice: «Perdí mi celular. Necesito un duplicado de mi SIM.» O: «Mi SIM se dañó. Necesito que me activen una nueva.»
El proceso de verificación que la compañía le pide es, en muchos casos, absurdamente simple: nombre completo, fecha de nacimiento, los últimos dígitos de la INE, y a veces responder una «pregunta de seguridad» que el estafador ya sabe.
En algunos casos — y esto es lo más perturbador — el estafador no necesita ir a una tienda. Tiene un cómplice adentro. Un empleado de la compañía telefónica que, a cambio de unos miles de pesos, realiza el cambio de SIM desde el sistema. Sin verificación. Sin preguntas. Sin dejar rastro (o creyendo que no deja rastro, porque sí lo deja — y ahí es donde entra la informática forense).
El duplicado se activa. Tu SIM muere. La de él cobra vida con tu número.
Paso 3: El estafador accede a tu banco
Ya tiene tu número. Ahora necesita entrar a tu banca en línea.
Si ya tiene tu usuario y contraseña (que pudo obtener de una filtración de datos, de un correo de phishing previo, o de ingeniería social), va directo al portal del banco, ingresa tus credenciales, y cuando el banco le pide el código de verificación por SMS, lo recibe en su celular. Tu celular. Tu número. Su SIM.
Si no tiene tu contraseña, usa la opción de «Olvidé mi contraseña» del banco. El banco le manda un código de recuperación a tu número. Él lo recibe. Cambia la contraseña. Entra. Transfiere.
Si no tiene tu usuario de banca en línea, a veces puede registrarse como si fuera usuario nuevo usando tu número de cuenta y tu número telefónico. El banco manda verificación por SMS. Él la recibe. Se registra. Entra. Transfiere.
Todo esto puede pasar en 5 minutos. Mientras tú estás mirando tu celular preguntándote por qué no tienes señal.
Paso 4: La transferencia y la dispersión
El dinero sale de tu cuenta a una cuenta de un prestanombres. De ahí se dispersa inmediatamente a otras cuentas, a recargas telefónicas, a compras de criptomonedas, a retiros en cajero. La dispersión es inmediata porque los estafadores saben que el tiempo es limitado: en cuanto te des cuenta y llames al banco, van a intentar congelar los fondos. Entonces los mueven rápido. En 15 minutos, tu dinero ya pasó por 3 o 4 cuentas y está convertido en algo imposible de rastrear.
Las 5 señales de que te están haciendo un SIM swap (ahora mismo)
Señal 1: Te quedas sin señal repentinamente
Tu celular tenía señal perfecta y de repente muestra «Sin servicio» o «Solo llamadas de emergencia.» No estás en un sótano. No estás en una zona sin cobertura. Simplemente, de un momento a otro, perdiste la red. Esto puede ser una falla de la red. Puede ser un problema de tu celular. O puede ser que alguien acaba de activar un duplicado de tu SIM y la tuya fue desactivada.
Qué hacer: no asumas que es la red. Intenta hacer una llamada. Si no puedes llamar ni recibir llamadas, ni enviar ni recibir SMS, pero tu WiFi funciona, es posible que sea un SIM swap. Actúa inmediatamente (ve a la sección «Qué hacer si sospechas»).
Señal 2: Recibes notificaciones de cambios que no solicitaste
Tu correo te notifica: «Se cambió la contraseña de tu cuenta.» Tu banco te avisa: «Se registró un nuevo dispositivo en tu banca en línea.» Facebook te dice: «Se inició sesión desde un dispositivo desconocido.» Y tú no hiciste nada de eso.
Si estás recibiendo estas notificaciones por correo electrónico (porque los SMS ya no te llegan porque te quitaron la SIM), alguien está usando tu número para tomar control de tus cuentas.
Señal 3: Llamadas y mensajes que no reconoces
Antes del swap, a veces el estafador «prueba» tu línea. Puedes recibir llamadas de números desconocidos que cuelgan inmediatamente (están verificando que tu línea sigue activa). O puedes recibir SMS con códigos de verificación que tú no solicitaste — el estafador está intentando registrarse en tus cuentas antes de hacer el swap.
Señal 4: Tu compañía telefónica te contacta
En algunos casos, la compañía telefónica manda un SMS de confirmación antes de procesar un cambio de SIM: «Se solicitó un cambio de SIM para su línea. Si usted no lo solicitó, contacte a servicio al cliente.» Si recibes ese mensaje y tú no solicitaste nada, alguien está intentando tomar tu línea. Actúa inmediatamente.
Señal 5: No puedes acceder a tus cuentas
Intentas entrar a tu banca en línea y la contraseña no funciona. Intentas entrar a tu correo y la contraseña no funciona. Intentas abrir WhatsApp y te dice que tu número está registrado en otro dispositivo. Esto ya no es una señal. Esto es un SIM swap consumado. El estafador ya está adentro.
Qué hacer si sospechas que te están haciendo un SIM swap
Si te quedaste sin señal y sospechas que es un SIM swap, tienes que actuar en los próximos minutos. No en horas. En minutos.
1. Llama a tu banco desde otro teléfono. El teléfono de tu esposa, de tu vecino, de la tienda de la esquina, el que sea. Llama al número de emergencias de tu banco (ten este número guardado en un papel en tu cartera, no solo en tu celular). Reporta posible fraude. Pide el bloqueo temporal de tus cuentas. De todas. Ahorros, crédito, inversiones, todo. El bloqueo es reversible. La transferencia fraudulenta, no.
2. Llama a tu compañía telefónica. Desde otro teléfono, llama a Telcel, AT&T o Movistar. Reporta que perdiste señal y que sospechas un cambio de SIM no autorizado. Pide que bloqueen cualquier cambio de SIM en tu línea. Que desactiven la SIM nueva si ya fue activada. Que restauren tu línea a tu SIM original.
3. Cambia las contraseñas de tus cuentas críticas. Desde una computadora (no desde un celular, porque tu celular puede estar comprometido), cambia la contraseña de tu correo electrónico principal, de tu banca en línea, de tus redes sociales. Usa una contraseña nueva, fuerte, que no hayas usado antes.
4. Activa la autenticación en dos pasos con una aplicación, no con SMS. Aquí está la clave de la prevención a largo plazo. Voy a desarrollar esto en la siguiente sección.
5. Presenta una denuncia. Ante el Ministerio Público. Ante CONDUSEF si hubo afectación bancaria. Ante PROFECO por la falla del servicio de la compañía telefónica. Documenta todo: hora en que perdiste señal, hora del fraude bancario, capturas de pantalla de las notificaciones.
Cómo protegerte del SIM swapping (la guía que tu banco debería darte y no te da)
Protección 1: Deja de usar SMS como segundo factor de autenticación
Este es el cambio más importante que puedes hacer. Y lamentablemente, muchos bancos en México no te lo facilitan.
La autenticación en dos pasos (2FA) funciona así: además de tu contraseña, necesitas un segundo código para entrar a tu cuenta. Ese segundo código puede llegar por SMS o puede generarse en una aplicación de autenticación.
SMS (el método inseguro): el código llega como mensaje de texto a tu número de celular. Si te hicieron SIM swap, el código le llega al estafador. El SMS como segundo factor es como ponerle una segunda cerradura a tu puerta pero dejar la llave debajo del tapete.
Aplicación de autenticación (el método seguro): aplicaciones como Google Authenticator, Microsoft Authenticator o Authy generan códigos directamente en tu celular, sin usar la red de telefonía. El código se genera dentro de la aplicación, vinculada a tu dispositivo físico. Si alguien duplica tu SIM, la aplicación sigue en tu celular, no en el de él. No pueden interceptar el código porque el código nunca viaja por la red.
Cambia todos tus servicios que lo permitan de SMS a aplicación de autenticación. Gmail, Outlook, Facebook, Instagram, Twitter, Amazon. Todos. Hoy.
Para tu banco: muchos bancos en México todavía dependen del SMS. Si tu banco solo ofrece SMS como segundo factor, exige una alternativa. Algunos bancos ya ofrecen token digital en su propia aplicación. Úsalo. Si no ofrecen nada más que SMS, al menos pon una alerta de transferencia y un límite diario bajo. No es la solución ideal, pero reduce el daño.
Protección 2: Pon un PIN o NIP de seguridad en tu línea telefónica
Telcel, AT&T y Movistar permiten establecer un NIP de seguridad que se solicita antes de hacer cualquier cambio en tu línea: cambio de SIM, cambio de plan, portabilidad. Sin ese NIP, la compañía no debería procesar el cambio.
Llama a tu compañía o ve a una tienda y establece ese NIP. Elige un número que no sea tu cumpleaños, ni los últimos dígitos de tu teléfono, ni 1234. Algo aleatorio. Memorizado.
No es infalible — un empleado corrupto dentro de la compañía puede saltarse el NIP — pero es una barrera más. Cada barrera que pongas le complica la vida al estafador.
Protección 3: Minimiza la información que compartes en línea
Tu nombre completo, tu fecha de nacimiento, tu CURP, tu dirección, el nombre de tu banco, tu número de celular — cada dato que está público en internet es un dato que el estafador no tiene que adivinar.
- Revisa la configuración de privacidad de tus redes sociales. Que tu cumpleaños no sea público. Que tu número de teléfono no sea visible. Que tu lista de amigos no sea pública.
- No compartas fotos de tu INE, tu CURP, tu estado de cuenta, tu tarjeta bancaria. Ni «tapando» los datos con el dedo. Las fotos se pueden editar.
- Si te piden tu CURP o INE para un trámite en línea, verifica que el sitio sea legítimo antes de enviar.
Protección 4: Pon alertas en todas tus cuentas bancarias
Configura tu banca en línea para que te mande una notificación (por correo electrónico, no por SMS) cada vez que haya un movimiento en tu cuenta: transferencias, retiros, compras, cambios de contraseña, acceso desde un nuevo dispositivo. Si el estafador mueve tu dinero, al menos te vas a enterar por correo, incluso si ya no recibes SMS.
Protección 5: Ten los números de emergencia en papel
Suena arcaico. No lo es.
Si te hacen SIM swap, tu celular no sirve. No puedes buscar «número de atención a clientes Telcel» en Google desde tu celular si no tienes datos. No puedes llamar a tu banco si el número está guardado solo en tus contactos y tus contactos están en un celular sin señal.
Ten en tu cartera, en un papel, en tu billetera, los siguientes números:
- Línea de emergencia de tu banco.
- Atención a clientes de tu compañía telefónica.
- El número de un familiar cercano que pueda ayudarte.
Un papel. Tinta. Algo que no depende de batería, de red, de WiFi. Algo que funciona cuando todo lo digital falló.
Preguntas frecuentes sobre SIM swapping
¿Si ya me hicieron SIM swap, puedo recuperar mi dinero?
Depende. Si el banco puede congelar los fondos antes de que el estafador los disperse, se pueden recuperar. La velocidad con la que actúes es determinante. También existe la vía legal: demandar al banco argumentando que el mecanismo de autenticación por SMS es inseguro y que el banco no proporcionó medidas de seguridad adecuadas. En los casos donde Duriva ha presentado dictamen pericial demostrando la vulnerabilidad del SMS, los resultados han sido favorables. Pero cada caso es diferente y depende de la evidencia disponible.
¿Puede la compañía telefónica responsabilizarse?
Si el cambio de SIM se realizó sin la verificación adecuada, o si hubo un empleado cómplice que facilitó el swap sin seguir los protocolos, la compañía tiene responsabilidad. Ese dato se puede demostrar forense: los sistemas de las telefónicas registran quién procesó el cambio, desde qué terminal, a qué hora, y con qué datos de verificación. Un perito puede solicitar esa información como parte de una investigación.
¿Me puede pasar con eSIM?
Sí. La eSIM (SIM virtual integrada en el celular) también puede ser transferida a otro dispositivo si el estafador logra convencer a la compañía telefónica de que es el titular de la línea. El proceso es diferente — no hay una tarjeta física que duplicar — pero el principio es el mismo: la compañía activa la línea en otro dispositivo. Las protecciones son las mismas: NIP de seguridad, verificación robusta, y dejar de depender del SMS como segundo factor.
¿El SIM swapping le pasa solo a personas con mucho dinero en el banco?
No. He visto casos con montos que van desde 20,000 pesos hasta varios millones. Los estafadores no siempre saben cuánto tienes en tu cuenta antes de hacer el swap. A veces lo hacen en masa y ven qué sale. A veces tienen información previa de filtraciones de datos bancarios. Pero el ataque no discrimina por saldo. Si tienes una cuenta bancaria vinculada a un número de celular y tu segundo factor es SMS, eres vulnerable.
¿Si establecí el NIP con mi compañía, estoy totalmente protegido?
No totalmente. El NIP es una barrera, pero no es infalible. Un empleado corrupto puede saltarlo. Una ingeniería social sofisticada puede obtenerlo. El NIP reduce el riesgo significativamente, pero la protección más efectiva sigue siendo no depender del SMS para autenticación bancaria. El NIP más la aplicación de autenticación más las alertas por correo forman una defensa en capas. Cada capa que un estafador tiene que penetrar le complica la vida.
Lo que tu banco no te dice (y debería)
Voy a ser directo porque este es mi campo.
El SIM swapping existe porque los bancos en México siguen dependiendo del SMS como método de autenticación. El SMS fue diseñado en los años 80 para mandar mensajes de texto, no para proteger transacciones financieras. Es un protocolo viejo, inseguro, vulnerable. Cualquier perito informático lo sabe. Cualquier investigador de seguridad lo sabe. Los bancos lo saben.
Y aun así, siguen usándolo. Porque es cómodo. Porque es barato. Porque «así siempre se ha hecho.» Porque el usuario «ya está acostumbrado.»
Cuando te hacen un SIM swap y te vacían la cuenta, el banco va a decir: «La transferencia se realizó con sus credenciales y su código de verificación. La responsabilidad es del usuario.» La misma línea de siempre. Fue tu culpa. Tu contraseña, tu código, tu problema.
Pero la pregunta que nadie le hace al banco es: ¿por qué el método de verificación que me obligas a usar es un método que cualquier estafador puede interceptar duplicando una SIM en cinco minutos?
Esa pregunta, fundamentada con un dictamen pericial que demuestre la vulnerabilidad del SMS como segundo factor, es la que le ha dado la vuelta a casos que hemos investigado. Porque el banco tiene la obligación de proporcionar mecanismos de seguridad adecuados. Y un mecanismo que se puede vulnerar con un duplicado de SIM de 50 pesos no es adecuado.
Lo que puedes hacer ahora mismo
No termines de leer este artículo y dejes todo para mañana. Mañana puede ser hoy para un estafador.
- Llama a tu compañía telefónica y establece un NIP de seguridad en tu línea. Hoy.
- Cambia la autenticación de tu correo electrónico de SMS a aplicación (Google Authenticator, Authy). Hoy.
- Revisa si tu banco ofrece token digital en la aplicación. Si lo ofrece, actívalo y desactiva el SMS. Hoy.
- Pon alertas por correo electrónico para todos los movimientos bancarios. Hoy.
- Escribe en un papel los números de emergencia de tu banco y tu telefónica. Guárdalo en tu cartera. Hoy.
- Revisa tus redes sociales y elimina información personal que no necesita ser pública. Hoy.
Seis acciones. Treinta minutos de tu vida. Y una barrera que puede impedir que un estafador te vacíe la cuenta con una copia de tu SIM de 50 pesos.
Comparte este artículo con tu familia, con tus empleados, con tu grupo de WhatsApp. Porque el SIM swapping no es un riesgo futuro. Está pasando ahora. En México. Todos los días. Y la única defensa real es que tú lo sepas antes de que te pase.