SIM swapping
Técnica de fraude en la que un atacante convence a la operadora de telefonía para transferir el número de teléfono de la víctima a una nueva tarjeta SIM bajo su control. Esto permite interceptar SMS de verificación (OTP), acceder a cuentas bancarias y redes sociales, y eludir la autenticación de dos factores basada en SMS.
SIM swapping
El Reino Unido registró un incremento del 1.055% en fraudes de SIM swap no autorizados en 2024 (Cifas, 2025). En Australia, los casos se dispararon un 240% (IDCARE, 2024). En España, la Operación Quinientos Dusim de Europol desmanteló una red que robó 3 millones de euros mediante SIM swapping y troyanos bancarios, mientras que la Operación Fontana Almabahia en Tenerife detuvo a 106 sospechosos vinculados a un esquema que blanqueó más de 10 millones de euros. A nivel global, el FBI registró 982 denuncias de SIM swap con pérdidas de 25,9 millones de dólares solo en 2024.
Definición técnica
El SIM swapping (también llamado “SIM hijacking” o “duplicado fraudulento de SIM”) es una técnica de ataque en la que el ciberdelincuente obtiene el control del número de teléfono de la víctima transfiriéndolo a una tarjeta SIM en su posesión. No es un ataque técnico al protocolo de telecomunicaciones, sino un ataque de ingeniería social contra los procesos de verificación de identidad de la operadora.
Flujo de un ataque SIM swap:
Fase 1: Reconocimiento
──────────────────────
Atacante recopila datos de la víctima:
- Nombre completo, DNI, fecha nacimiento
- Número de teléfono, operadora
- Datos de redes sociales, preguntas de seguridad
(Fuentes: dark web, OSINT, phishing previo)
Fase 2: Ingeniería social / Insider
────────────────────────────────────
Opción A: Llamada/visita a tienda de operadora
con DNI falso o datos suficientes
Opción B: Empleado corrupto de la operadora
(insider threat, pagado 200-500 EUR)
Opción C: Acceso al portal web de la operadora
con credenciales robadas del empleado
Fase 3: Activación de nueva SIM
────────────────────────────────
- Operadora desactiva SIM de la víctima
- Activa nueva SIM con el mismo número
- Víctima pierde cobertura inmediatamente
- Atacante recibe llamadas y SMS de la víctima
Fase 4: Acceso a cuentas
─────────────────────────
- Atacante solicita "Olvidé mi contraseña"
- SMS OTP llega a la SIM del atacante
- Accede a banca online, email, redes sociales
- Realiza transferencias, cambia contraseñas
- Tiempo medio de vaciado: menos de 30 minutosSeñal de alerta inmediata
Si tu teléfono pierde cobertura de forma repentina y no se restablece en 5-10 minutos, podría ser un SIM swap en curso. Contacta inmediatamente con tu operadora desde otro teléfono y verifica si se ha solicitado un duplicado de SIM. Cada minuto cuenta.
Cómo detectar un SIM swap: indicadores forenses
La detección temprana es crítica porque el atacante opera en una ventana de 15-60 minutos:
Indicadores durante el ataque:
| Indicador | Descripción | Urgencia |
|---|---|---|
| Pérdida total de cobertura | El teléfono muestra “Sin servicio” repentinamente | Crítica |
| SMS de bienvenida | La víctima no recibe SMS, pero la nueva SIM sí | Crítica |
| Notificaciones de login | Alertas de acceso a cuentas desde dispositivos desconocidos | Alta |
| Emails de cambio de contraseña | Solicitudes de restablecimiento no iniciadas por el usuario | Alta |
| Transferencias bancarias | Movimientos no autorizados en la cuenta | Crítica |
Artefactos forenses post-incidente:
- Registros de la operadora: Fecha, hora, ubicación y método del cambio de SIM. Identificación utilizada (DNI real o falso). Empleado que procesó la solicitud
- Logs bancarios: IPs de acceso, timestamps de login y operaciones, user-agent, resultado de verificación 2FA
- Registros del dispositivo de la víctima: Momento exacto de pérdida de cobertura (logs de red del smartphone), última torre celular conectada
- Email y redes sociales: Logs de login, cambios de configuración de seguridad, actividad realizada durante el compromiso
Investigación forense de SIM swapping
Preservación inmediata de evidencia
Solicitar judicialmente a la operadora los registros completos del cambio de SIM: fecha, hora, método (tienda, call center, online), identificación presentada, empleado que procesó, dirección IP (si fue online).
Análisis de la cadena de ataque
Determinar cómo el atacante obtuvo los datos personales de la víctima (phishing previo, brecha de datos, OSINT) y cómo pasó la verificación de identidad de la operadora (DNI falso, insider, credenciales robadas).
Correlación de timestamps
Alinear cronológicamente: momento del SIM swap, pérdida de cobertura del teléfono de la víctima, primer acceso no autorizado a cuentas, transferencias bancarias. La correlación temporal es prueba clave.
Análisis de la IP del atacante
Solicitar a servicios online (banco, email, redes sociales) las IPs utilizadas para acceder a las cuentas durante el período de compromiso. Identificar VPNs, proxies o redes Tor.
Elaboración de informe pericial
Documentar toda la cadena: desde la obtención de datos personales hasta las transferencias fraudulentas, con hashes SHA-256 de toda la evidencia digital recopilada.
Caso práctico: SIM swap para vaciado de cuenta bancaria
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Un autónomo de Málaga perdió 28.000 EUR de su cuenta de negocio en una transferencia no autorizada. El banco rechazó el reembolso argumentando que la operación fue validada con SMS OTP y por tanto fue “autorizada por el cliente”. El afectado denunció y contrató peritaje forense.
Investigación forense:
- Registros de la operadora: Se obtuvieron judicialmente. Revelaron que un duplicado de SIM fue emitido en una tienda de la operadora en Madrid (a 550 km de la residencia del afectado), presentando una fotocopia del DNI del titular
- Logs del smartphone: El análisis del iPhone del afectado mostró pérdida de cobertura a las 14:23h. Los registros de la operadora confirmaban la activación de la nueva SIM a las 14:21h
- Logs bancarios: A las 14:31h (8 minutos después del SIM swap), se realizó un login en banca online desde una IP de un datacenter de VPN. A las 14:38h se ejecutó la transferencia de 28.000 EUR a una cuenta en un neobanco lituano
- Análisis de la cuenta destino: Se identificó como cuenta mula, abierta 48 horas antes con documentación falsa. Los fondos fueron convertidos a criptomonedas en 20 minutos
- Evidencia de diligencia: El afectado tenía contraseña robusta (16 caracteres), no había caído en phishing conocido, y la única 2FA ofrecida por el banco era SMS
Resultado: El informe pericial demostró que el ataque explotó la vulnerabilidad del SMS como segundo factor (no imputable al cliente) y que la operadora emitió el duplicado sin verificación presencial adecuada. El juzgado condenó al banco a reembolsar los 28.000 EUR (Art. 44 RDL 19/2018: responsabilidad del proveedor de servicios de pago) y se abrió investigación contra la operadora.
Marco legal en España
Responsabilidad bancaria (PSD2):
- RDL 19/2018 (transposición PSD2), Art. 44: El proveedor de servicios de pago es responsable de las operaciones no autorizadas, salvo que demuestre fraude o negligencia grave del usuario. El SIM swapping NO constituye negligencia del usuario
- RDL 19/2018, Art. 36: El titular debe notificar sin demora indebida las operaciones no autorizadas. El plazo máximo es de 13 meses desde la fecha de la operación
- Directiva PSD2 (UE 2015/2366): Exige autenticación reforzada del cliente (SCA) con factores independientes. Si el SMS fue el único segundo factor y fue comprometido, la entidad no cumplió el espíritu de la SCA
Responsabilidad de la operadora:
- RD 899/2009 (Carta de Derechos del Usuario de Telecomunicaciones): Las operadoras deben verificar la identidad del solicitante antes de emitir duplicados de SIM
- Ley 11/2022 (General de Telecomunicaciones): Establece obligaciones de seguridad en la prestación de servicios de telecomunicaciones
Código Penal:
- Art. 248.2 CP: Estafa informática. El SIM swapping seguido de transferencia bancaria constituye estafa
- Art. 399 bis CP: Falsificación de tarjetas de crédito y débito. Aplicable si se utilizan los datos para clonar tarjetas
- Art. 390-392 CP: Falsificación de documentos. El uso de DNI falso para realizar el SIM swap
- Art. 301 CP: Blanqueo de capitales. El movimiento de fondos a cuentas mula y conversión a criptomonedas
Medidas de protección
Protección personal:
| Medida | Efectividad | Implementación |
|---|---|---|
| Solicitar PIN de SIM a la operadora | Alta | Configurar PIN de seguridad para cambios de SIM |
| Migrar 2FA de SMS a TOTP/FIDO2 | Muy alta | Google Authenticator, Authy, YubiKey |
| Activar alertas bancarias | Media | Notificaciones push de cada movimiento |
| Limitar información personal online | Media | Reducir datos visibles en redes sociales |
| Monitorización dark web | Media | Verificar si tus datos están filtrados |
Plan de respuesta inmediata ante sospecha de SIM swap:
Confirmar la pérdida de servicio: Si el teléfono muestra “Sin servicio” sin explicación, contactar inmediatamente con la operadora desde otro teléfono
Bloquear acceso bancario: Llamar al banco y solicitar bloqueo temporal de todas las operaciones y acceso online
Cambiar contraseñas críticas: Desde un dispositivo seguro, cambiar inmediatamente las contraseñas de email principal, banca online y redes sociales
Denunciar a la operadora: Reportar el duplicado no autorizado y exigir la restauración del servicio al número original
Denunciar ante la policía: Presentar denuncia en comisaría o ante la Guardia Civil/Policía Nacional, idealmente en la unidad de delitos telemáticos
Contactar a un perito: Un perito informático forense puede preservar la evidencia digital necesaria para la reclamación bancaria y el procedimiento judicial
Protección para empresas:
- Implementar MFA con tokens hardware (FIDO2) para todos los accesos corporativos, eliminando la dependencia de SMS
- Establecer acuerdos con operadoras de telefonía para cuentas corporativas con verificación reforzada de identidad
- Formar a empleados sobre el riesgo de SIM swapping y la importancia de reportar inmediatamente la pérdida de servicio móvil
- Monitorizar accesos a sistemas corporativos desde nuevas ubicaciones geográficas o dispositivos
Estadísticas de SIM swapping por sector
Sectores más afectados:
| Sector | Porcentaje de ataques | Motivo principal |
|---|---|---|
| Criptomonedas | 35% | Acceso a exchanges y wallets |
| Banca y finanzas | 30% | Transferencias bancarias directas |
| Celebridades y figuras públicas | 15% | Secuestro de redes sociales, extorsión |
| Telecomunicaciones | 10% | Acceso a cuentas de otros clientes |
| Otros | 10% | Espionaje, acoso, fraude de identidad |
Los ataques de SIM swapping contra holders de criptomonedas son especialmente devastadores porque las transacciones blockchain son irreversibles una vez confirmadas. A diferencia de las transferencias bancarias, no existe mecanismo de devolución de cargo.
Evolución del SIM swapping: de ingeniería social a herramienta organizada
El SIM swapping ha evolucionado significativamente en los últimos años:
Evolución cronológica:
- 2015-2018: Ataques aislados, principalmente contra holders de criptomonedas en EE.UU. Técnica conocida en círculos reducidos
- 2019-2020: Expansión a Europa. Primeras detenciones masivas (Operación Quinientos Dusim en España, Fontana Almabahia en Tenerife). El SIM swapping se convierte en servicio en la dark web
- 2021-2022: Profesionalización. Las organizaciones criminales reclutan empleados de operadoras (insiders) para evitar la verificación de identidad. Precios: 200-500 EUR por swap
- 2023-2024: Escalada masiva. El Reino Unido reporta incremento del 1.055%. Las operadoras comienzan a implementar medidas adicionales de verificación
- 2025-2026: Respuesta regulatoria. La FCC en EE.UU. y OFCOM en UK imponen nuevas obligaciones a las operadoras. En la UE, la Directiva NIS2 incluye la protección de infraestructura de telecomunicaciones
SIM swapping como servicio (SaaS criminal):
En la dark web, el SIM swapping se ha convertido en un servicio profesionalizado:
| Servicio | Precio | Incluye |
|---|---|---|
| SIM swap individual | 200-500 EUR | Un cambio de SIM para número específico |
| Paquete 5 swaps | 800-1.500 EUR | Cinco cambios con garantía de éxito |
| Insider access | 1.000-3.000 EUR/mes | Empleado corrupto de operadora a disposición |
| Full service | 20-40% de lo robado | SIM swap + vaciado de cuenta + blanqueo |
Esta profesionalización hace que la defensa individual (PIN de SIM, migración a TOTP) sea más importante que nunca.
Conceptos relacionados
- 2FA (Autenticación de dos factores) - El SIM swapping explota la vulnerabilidad de la 2FA por SMS
- Ingeniería social - Técnica principal utilizada para engañar a la operadora
- Vishing - Muchos SIM swaps se inician con una llamada fraudulenta a la operadora
- Credential harvesting - Obtención previa de datos personales necesarios para el SIM swap
- Mula bancaria - Las cuentas destino de las transferencias fraudulentas suelen ser cuentas mula
- Phishing - Método común de recopilación de datos previo al SIM swap
Preguntas frecuentes
¿Cómo puedo saber si soy víctima de un SIM swap?
La señal más inmediata es la pérdida repentina de cobertura móvil. Si tu teléfono muestra “Sin servicio” y no se restablece en pocos minutos, contacta inmediatamente con tu operadora desde otro teléfono. Otras señales incluyen: no recibir llamadas ni SMS, recibir notificaciones de login en cuentas desde dispositivos desconocidos, o descubrir transferencias bancarias no autorizadas.
¿El banco debe devolverme el dinero si sufro un SIM swap?
En la mayoría de casos, si. Según el Art. 44 del RDL 19/2018 (transposición de la PSD2), el banco es responsable de las operaciones no autorizadas salvo que demuestre fraude o negligencia grave del usuario. El SIM swapping no constituye negligencia del usuario, ya que es un ataque contra la infraestructura de telecomunicaciones, no contra el propio usuario. Un informe pericial que documente la mecánica del ataque refuerza significativamente la reclamación.
¿Puedo demandar a la operadora que emitió el duplicado?
Si. Si la operadora emitió un duplicado de SIM sin verificar adecuadamente la identidad del solicitante (por ejemplo, aceptando una fotocopia de DNI o sin verificación presencial), incumplió sus obligaciones de seguridad. Se puede reclamar responsabilidad civil extracontractual por los daños derivados del SIM swap, incluyendo las pérdidas económicas y los daños morales.
¿Cuánto tarda un atacante en vaciar una cuenta tras un SIM swap?
Los ataques están altamente automatizados. Desde la activación de la nueva SIM hasta la transferencia bancaria suelen pasar entre 5 y 30 minutos. Los atacantes profesionales tienen preparados los accesos a banca online y las cuentas destino (mulas) antes de ejecutar el SIM swap. Por eso la velocidad de respuesta es crítica: cada minuto que pasa reduce las posibilidades de bloquear la transferencia.
Referencias y fuentes
Cifas - “SIM swapping fraud statistics UK 2024: 1,055% surge”. cifas.org.uk
IDCARE - “240% increase in phone porting and SIM swap fraud 2024”, Australia. idcare.org
Europol - “Operation Quinientos Dusim: SIM swappers arrested in Spain, Austria, Romania”. europol.europa.eu
FBI IC3 - “2024 Internet Crime Report: 982 SIM swap complaints, $25.9M losses”. ic3.gov
RDL 19/2018 - Real Decreto-ley de servicios de pago (transposición PSD2). boe.es
Directiva PSD2 (UE 2015/2366) - Autenticación reforzada del cliente. eur-lex.europa.eu
Europol - “SIM Swapping: Law Enforcement Factsheet”. europol.europa.eu
NIST SP 800-63B - “Digital Identity Guidelines: Authentication”, desaconsejando SMS OTP. nist.gov
BankInfoSecurity - “Numerous Arrests in 2 SIM-Swapping Schemes”. bankinfosecurity.com
Efani - “SIM Swap Fraud Statistics 2026: Reported Losses, Attack Volume”. efani.com
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita