Muchas empresas siguen confiando en un número de móvil como control de seguridad fiable. A menudo, esa confianza es errónea. El intercambio de SIM permite a un atacante tomar el control del número de teléfono de una víctima y recibir llamadas y mensajes de texto destinados a esa persona. Una vez que esto ocurre, los códigos de inicio de sesión basados en SMS, los enlaces de restablecimiento de contraseña y los pasos de recuperación de cuenta pueden convertirse en herramientas de apropiación de cuenta en lugar de protección.
Para las empresas, no se trata sólo de un problema de fraude al consumidor. Un intercambio exitoso de SIM puede exponer el correo electrónico ejecutivo, las cuentas en la nube, los sistemas financieros y los portales de administración interna. También puede socavar los programas de seguridad que todavía dependen de SMS para la autenticación de dos factores.
Tabla de contenido
- ¿Qué es el intercambio de SIM?
- Cómo funciona un ataque de intercambio de SIM
- Por qué el intercambio de SIM es importante para las empresas
- Riesgos reales y escenarios prácticos
- Señales de un ataque de intercambio de SIM
- Estrategias de prevención y mitigación
- Qué hacer si se produce un intercambio de SIM
- Perspectivas de futuro
- Conclusión
- FAQ – Preguntas frecuentes
¿Qué es el intercambio de SIM?
El intercambio de SIM es una forma de fraude de identidad en la que un atacante convence a un operador de telefonía móvil para que transfiera el número de teléfono de la víctima a una tarjeta SIM o perfil eSIM bajo su control. Tras la transferencia, el agresor puede recibir las llamadas y los mensajes SMS de la víctima, incluidas las contraseñas de un solo uso utilizadas para iniciar sesión y recuperar la cuenta.
También se denomina secuestro de la SIM o, en algunos casos, un estafa del puerto de salida. Los términos están relacionados, pero no siempre son idénticos. En un intercambio de SIM, el número se traslada a otra SIM del mismo operador. En un port-out, el número se transfiere a otro operador. Para la víctima, el efecto suele ser el mismo: pérdida de servicio y pérdida de control sobre la verificación basada en SMS.
Cómo funciona un ataque de intercambio de SIM
El intercambio de SIM suele comenzar antes de que el teléfono pierda el servicio. El atacante primero recopila datos personales. Estos pueden proceder de phishing, malware de robo de información, bases de datos violadas o publicaciones públicas en redes sociales. El objetivo es recopilar suficiente información para responder a las preguntas de seguridad del operador o suplantar la identidad del objetivo de forma convincente.
A continuación, el agresor se pone en contacto con el operador de telefonía móvil y alega que el teléfono se ha perdido, dañado o sustituido. Si la compañía aprueba la solicitud, el número se reasigna a una SIM o eSIM controlada por el agresor. El teléfono de la víctima pierde entonces el servicio celular.
En ese momento, el atacante inicia el restablecimiento de contraseñas, intercepta códigos SMS e intenta iniciar sesión en el correo electrónico, la banca, las redes sociales, los servicios en la nube o las herramientas empresariales. Lo que hace peligroso el ataque no es la SIM en sí. El verdadero peligro es que el número de teléfono suele tratarse como prueba de identidad.
Por qué el intercambio de SIM es importante para las empresas
El intercambio de SIM es importante porque un número de teléfono suele estar vinculado a cuentas de gran valor. Si un atacante se hace con el número de un empleado, un responsable financiero, un administrador o un ejecutivo, puede saltarse la autenticación de doble factor basada en SMS y restablecer credenciales importantes.
Esto crea un riesgo empresarial directo. Un número comprometido puede comprometer el correo electrónico de la empresa, la actividad de transferencias no autorizadas, la exposición de cuentas en la nube o el acceso a consolas de administración internas. También puede ralentizar la respuesta a incidentes, ya que los equipos pueden tratar inicialmente la interrupción como un problema del operador en lugar de una toma de control de cuenta en curso.
Para las empresas reguladas, el problema afecta también al cumplimiento y la gobernanza. Si los datos de los clientes o los sistemas internos quedan expuestos porque un flujo de autenticación débil dependía de un número secuestrado, el incidente puede convertirse en algo más que un problema informático. Puede convertirse en un problema legal, operativo y de reputación.
Riesgos reales y escenarios prácticos
Un escenario común comienza con una cuenta financiera o ejecutiva. Un atacante recopila información personal de datos filtrados y perfiles públicos y, a continuación, convence al operador para que cambie el número. En cuestión de minutos, el atacante restablece una contraseña de correo electrónico, intercepta el código SMS y obtiene acceso al buzón de correo. Desde allí, puede buscar facturas, aprobaciones de pago, inicios de sesión en la nube o mensajes de restablecimiento de contraseña de otros servicios.
Otro escenario se centra en las criptomonedas o las cuentas bancarias. Europol describe el intercambio de SIM como un técnica de absorción de cuentas utilizado para hacerse con el control de la identidad móvil de la víctima. Los delincuentes utilizan el intercambio de SIM para interceptar mensajes de verificación y drenar fondos o apoderarse de carteras. Los daños financieros pueden ser graves, sobre todo cuando la víctima se da cuenta de la pérdida de servicio demasiado tarde.
Un tercer escenario afecta a la administración de SaaS. Si un administrador de TI utiliza la verificación basada en SMS para un panel de control en la nube o una cuenta de registrador, un intercambio de SIM puede abrir la puerta a cambios de dominio, creación de usuarios privilegiados o interrupción del servicio. Esta es la razón por la que el intercambio de SIM debe tratarse como un riesgo de identidad y acceso, no sólo como un problema de fraude en las telecomunicaciones.
Señales de un ataque de intercambio de SIM
La señal de advertencia más clara es una pérdida repentina del servicio móvil sin una explicación normal. Si un teléfono se queda inesperadamente sin señal, no puede hacer llamadas o deja de recibir mensajes de texto en una zona con cobertura habitual, eso puede indicar una transferencia de número.
Otras señales suelen aparecer al mismo tiempo. Es posible que recibas correos electrónicos sobre restablecimiento de contraseñas, intentos de inicio de sesión o cambios de cuenta que no has solicitado. Es posible que tus compañeros te envíen mensajes extraños desde tu número. Es posible que dejes de recibir mensajes de texto del Authenticator.
Estas señales son importantes porque el tiempo de respuesta es crítico. Una vez que el atacante controla el número, la ventana para detener la toma de posesión de la cuenta puede ser corta.
Estrategias de prevención y mitigación
La mejor solución a largo plazo es reducir la dependencia de los SMS para los flujos de autenticación importantes. Para las cuentas sensibles, utiliza autenticadores basados en aplicaciones, claves de acceso o claves de seguridad de hardware en lugar de SMS siempre que sea posible.
A nivel de operador, añada un PIN o una protección de puerto a la cuenta del móvil y pregunte qué salvaguardias antiport-out o contra el cambio de SIM están disponibles. Dentro de la empresa, refuerce la higiene de la identidad. Utilice contraseñas únicas, gestores de contraseñas, privilegios mínimos y fuertes controles de recuperación. Trate los cambios de número de teléfono como eventos de alto riesgo. Revise qué servicios siguen permitiendo el envío de SMS a los usuarios administradores y elimínelo siempre que sea posible.
CAPTCHA también tiene un papel limitado pero útil. El intercambio de SIM suele comenzar con la recopilación de datos, el phishing, la enumeración de cuentas o los ataques a las credenciales. Un CAPTCHA centrado en la privacidad en los flujos de inicio de sesión, restablecimiento y registro puede ayudar a frenar el abuso automatizado que alimenta las primeras fases del robo de identidad. Para organizaciones europeas, captcha.eu encaja en ese papel como un control centrado en la privacidad que cumple con GDPR y que apoya la defensa contra bots sin convertirse en el principal factor de identidad.
Qué hacer si se produce un intercambio de SIM
Si sospecha que se ha producido un intercambio de tarjetas SIM, póngase en contacto inmediatamente con el operador e informe de la transferencia no autorizada de tarjetas SIM o números. A continuación, actúa con rapidez en lo que respecta a la identidad: restablece primero las contraseñas del correo electrónico, revoca las sesiones activas, desactiva la recuperación basada en SMS siempre que sea posible, rota los tokens y revisa los registros de inicio de sesión de la nube, las finanzas y las herramientas de administración.
Si el número afectado pertenece a un empleado con acceso privilegiado, escalar rápidamente. Asuma que el atacante puede estar intentando restablecer la contraseña en varios servicios. Notifíquelo al equipo de seguridad interno, conserve los registros y revise si se han alterado aprobaciones, solicitudes de pago o reglas de bandeja de entrada durante el periodo de exposición.
El objetivo es la contención. El restablecimiento del servicio por sí solo no es suficiente si el atacante ya ha utilizado el número para acceder a otro lugar.
Perspectivas de futuro
La adopción de la eSIM elimina la tarjeta física, pero no el riesgo de fraude. Traslada una mayor parte del proceso de control a los flujos de trabajo digitales, lo que significa que los procesos del operador, las comprobaciones de identidad y la seguridad back-end cobran aún más importancia.
Los atacantes también están mejorando en ingeniería social y la Documentos de BSI el uso repetido del intercambio de SIM en la reciente actividad de apropiación de cuentas. Al mismo tiempo, las organizaciones están avanzando hacia una autenticación resistente al phishing, lo que debería reducir el valor a largo plazo del secuestro de números de teléfono para cuentas críticas.
La orientación práctica es clara. Las empresas deben tratar los números de móvil como cómodas herramientas de comunicación, no como una prueba de identidad de alto nivel.
Conclusión
El intercambio de SIM convierte un número de teléfono de confianza en una vía de ataque. Una vez que un delincuente controla ese número, los códigos SMS y los flujos de recuperación de cuentas pueden actuar contra la víctima en lugar de protegerla. Para las empresas, el riesgo real es más amplio que la pérdida de una línea de servicio. Incluye la apropiación del correo electrónico, el acceso a la nube, el fraude en los pagos y la interrupción de las operaciones.
La mejor defensa es por capas. Aleje las cuentas importantes de la verificación basada en SMS. Añada protecciones del operador. Esté atento a las pérdidas repentinas de servicio y a los reinicios sospechosos. Refuerce los flujos de cara al público contra bots y abusos de identidad. En ese modelo, los CAPTCHA centrados en la privacidad pueden apoyar el perímetro, mientras que los controles de autenticación y recuperación más fuertes protegen el núcleo.
FAQ – Preguntas frecuentes
¿Qué es el intercambio de tarjetas SIM?
El intercambio de SIM es una técnica de fraude en la que un atacante consigue que un operador de telefonía móvil traslade tu número de teléfono a una tarjeta SIM o eSIM que controla. Una vez hecho esto, pueden recibir tus llamadas y mensajes SMS, incluidos los códigos de acceso.
¿Es el intercambio de tarjetas SIM lo mismo que el fraude de portabilidad?
No exactamente. Un intercambio de SIM suele mantener el número en el mismo operador, pero lo traslada a una SIM o eSIM diferente. El fraude de portabilidad transfiere el número a otro operador. En ambos casos, el agresor puede secuestrar llamadas y mensajes de texto.
¿Por qué el intercambio de SIM es peligroso para las empresas?
Puede permitir a los atacantes eludir la autenticación de dos factores basada en SMS, restablecer contraseñas y acceder al correo electrónico, las finanzas y los sistemas en la nube vinculados al número de teléfono de un empleado. Esto puede dar lugar a fraude, exposición de datos e interrupción de las operaciones.
¿Cómo pueden las empresas reducir el riesgo de intercambio de SIM?
Utilice una autenticación resistente al phishing siempre que sea posible, elimine los SMS de reserva para las cuentas sensibles, añada protecciones de PIN o puerto a nivel de operador y controle las pérdidas repentinas de servicio o la actividad sospechosa de recuperación de cuentas.
¿Puede CAPTCHA ayudar a prevenir el intercambio de SIM?
No directamente. CAPTCHA no impide que un operador mueva un número. Sin embargo, puede reducir el phishing automatizado, los ataques de credenciales y el abuso de cuentas que a menudo ayudan a los atacantes a recopilar datos o explotar flujos de inicio de sesión y recuperación expuestos. Esto lo convierte en un control de apoyo útil, no en una defensa principal.
100 solicitudes gratuitas
Tiene la oportunidad de probar y testar nuestro producto con 100 solicitudes gratuitas.
Si tiene alguna pregunta
Póngase en contacto con nosotros
Nuestro equipo de asistencia está a su disposición para ayudarle.
Spanish 
English 
German 
French 
Dutch 
Italian