SIM Swapping: Cómo Roban el Número de tu Adolescente para Saltarse la Verificación en Dos Pasos
Tabla de contenido
General 14 min de lectura

SIM Swapping: Cómo Roban el Número de tu Adolescente para Saltarse la Verificación en Dos Pasos

El SIM swapping convierte el número de celular de tu hijo en una llave maestra para hackear sus cuentas, incluso con contraseña fuerte. Aquí te explico cómo funciona el ataque, casos reales en México y LatAm, y qué hacer para prevenirlo.

Un adolescente de Guadalajara perdió el acceso a su cuenta de Instagram de 45,000 seguidores en 2024. No fue hackeada con una contraseña robada. Tenía verificación en dos pasos activada. Su error fue tener esa verificación configurada por SMS. En menos de dos horas, un atacante llamó a Telcel, convenció al operador de que él era el dueño de la línea, transfirió el número a una SIM nueva que él controlaba, y usó ese número para resetear la contraseña de Instagram mediante el código de verificación que llegó por mensaje de texto. El adolescente no recibió el código porque ya no era su número. La FTC de Estados Unidos registró más de 2,000 reportes de SIM swapping en 2023, y los reportes de CONDUSEF en México muestran una tendencia similar en fraudes relacionados con portabilidad de números. Aguas con esto—es más común de lo que crees.

Lo más importante

  • El SIM swapping no requiere hackear nada técnico: los atacantes engañan al servicio al cliente de tu operadora telefónica con información personal básica que consiguen en redes sociales
  • Cualquier cuenta que use SMS para la verificación en dos pasos es vulnerable al SIM swapping: correo electrónico, Instagram, TikTok, WhatsApp, apps bancarias
  • Los adolescentes son blancos especialmente atractivos porque su historial de crédito limpio facilita fraudes de identidad adicionales
  • La protección más efectiva es cambiar la verificación en dos pasos de SMS a una app de autenticación (Google Authenticator, Authy)
  • Puedes pedir a tu operadora que active un “PIN de portabilidad” o “PIN de SIM” que bloquea transfers no autorizados—la mayoría de los papás no saben que esto existe

Qué Es Exactamente el SIM Swapping

Tu número de celular es más poderoso de lo que parece. Está vinculado a docenas de cuentas en línea como método de recuperación o como segundo factor de autenticación. Cuando alguien controla tu número, puede solicitar “olvidé mi contraseña” en cualquier cuenta y recibir el código de verificación en su celular—no en el tuyo.

El SIM swapping (también llamado SIM hijacking o “portación fraudulenta” en México) es el proceso de transferir un número de celular de la SIM del propietario legítimo a una SIM que controla un atacante. El término técnico en la industria telefónica es “portabilidad numérica”—el mismo proceso que usas cuando cambias de Telcel a AT&T pero mantienes tu número.

El ataque funciona así:

  1. El atacante recopila información básica sobre la víctima: nombre completo, fecha de nacimiento, últimos 4 dígitos del número de cuenta o CURP. Esta información frecuentemente está en redes sociales o en bases de datos filtradas.
  2. El atacante llama o visita una tienda de la operadora haciéndose pasar por el dueño del número.
  3. Usando la información recopilada para “verificar identidad”, convence al empleado de transferir el número a una nueva SIM.
  4. El número de la víctima deja de funcionar. Los SMS que se envíen a ese número ahora llegan al atacante.
  5. El atacante solicita reset de contraseña en las cuentas objetivo usando el número como método de recuperación.

El ataque completo puede ejecutarse en menos de 30 minutos.

Por Qué los Adolescentes Son Blancos de Alto Valor

Los atacantes no van por objetivos aleatorios. Cuando apuntan a adolescentes, buscan una combinación específica de factores:

Presencia en redes sociales visible. Un adolescente con 10,000 seguidores en Instagram tiene una cuenta que puede revenderse. Las cuentas con seguidores establecidos valen entre $100 y $10,000 dólares en mercados clandestinos, según la firma de ciberseguridad Digital Shadows.

Historial de crédito limpio. Un adolescente de 15 años no tiene deudas ni reportes negativos. Su identidad es un pizarrón limpio para fraudes de crédito. Los atacantes que roban identidades de menores a veces no las usan por años—hasta que la víctima cumple 18 y solicita su primera tarjeta de crédito.

Menor sofisticación en seguridad. Los adolescentes son más propensos a tener la verificación en dos pasos por SMS (el método más débil) que apps de autenticación, y menos propensos a detectar que algo raro está pasando antes de que el daño esté hecho.

Información fácilmente disponible. Los adolescentes comparten mucho en redes sociales: dónde estudian, cuándo cumplen años, quiénes son sus papás, su operadora telefónica. Todo eso es material útil para convencer a un agente de servicio al cliente.

Casos Documentados: Cuánto Puede Costar

En 2019, un estudiante universitario de California fue víctima de un SIM swap que resultó en el robo de $1 millón en criptomonedas. En 2023, el grupo de hackers “Scattered Spider” utilizó SIM swapping masivo para atacar empresas como MGM Resorts y Caesars Entertainment, causando pérdidas de cientos de millones de dólares. Estos fueron blancos adultos con recursos para recuperarse.

Para un adolescente sin fondos, el daño es diferente pero igual de devastador:

  • Pérdida permanente de cuentas de redes sociales con comunidades y contenido construidos por años
  • Acceso a fotos y conversaciones privadas que pueden usarse para extorsión
  • Comprometimiento de cuentas de gaming con objetos virtuales de valor real
  • En casos donde el adolescente tiene acceso a cuentas bancarias familiares vinculadas, pérdidas monetarias directas
Tipo de pérdidaRiesgo para adolescentesTiempo para recuperar
Cuenta de Instagram/TikTokAlto (cuentas con seguidores se revenden)Semanas a nunca
Cuenta de WhatsAppAlto (acceso a todos los contactos)1-3 días con soporte
Correo electrónicoMuy alto (da acceso a todo lo demás)Días a semanas
App bancaria vinculadaCríticoVariable, requiere banco
Cuentas de gaming (Steam, Epic)Medio-altoSemanas con soporte

La Debilidad de la Verificación por SMS

Muchos papás—y muchos adolescentes—creen que activar la verificación en dos pasos los protege contra todo. Esto es parcialmente cierto, pero depende del tipo de segundo factor.

La verificación por SMS tiene un punto de falla crítico: el número de celular. Si alguien controla ese número, controla ese segundo factor. Esto hace que la 2FA por SMS sea efectiva contra ataques automatizados (bots que intentan contraseñas robadas) pero vulnerable a ataques dirigidos como el SIM swapping.

Las apps de autenticación como Google Authenticator, Authy o Microsoft Authenticator generan códigos localmente en el dispositivo, sin depender de la red celular. Incluso si alguien hace SIM swap de tu número, no puede acceder a los códigos generados por la app en tu celular. Esta diferencia es fundamental.

Puedes revisar nuestro artículo sobre autenticación en dos pasos para niños y papás para entender cómo configurar este tipo de protección más robusta.

Cómo los Atacantes Obtienen tu Información

Para ejecutar un SIM swap exitoso, el atacante necesita información suficiente para convencer al agente de servicio al cliente de la operadora. ¿De dónde la sacan?

Redes sociales públicas. La fecha de cumpleaños está frecuentemente en el perfil de Instagram o TikTok. El nombre completo aparece en muchos perfiles. La escuela y ciudad revelan detalles adicionales.

Ingeniería social directa. El atacante puede contactar directamente al adolescente haciéndose pasar por alguien más—un pretendiente, un fan, un representante de una marca—y obtener información en conversación.

Bases de datos filtradas. Hay decenas de miles de millones de registros personales disponibles en la dark web, resultado de brechas de seguridad en empresas de todos tamaños. CONDUSEF en México ha registrado múltiples filtraciones de bases de datos de instituciones financieras que incluyen información de clientes jóvenes.

Compra de información. En algunos casos, empleados corruptos de las propias operadoras telefónicas venden acceso a sistemas internos o información de clientes.

Prevención: Lo Que Puedes Hacer Ahora

Activa el PIN de SIM o PIN de Portabilidad con tu Operadora

Esta es la medida más efectiva y la que menos papás conocen. La mayoría de las operadoras permiten agregar un PIN o contraseña adicional que debe proporcionarse antes de realizar cualquier cambio a la cuenta, incluyendo portabilidades.

  • Telcel: Llama a *111 y solicita activar el “código de seguridad de portación”
  • AT&T México: Visita una tienda o llama al 01800-288-2020 y solicita PIN de portabilidad
  • Movistar México: Accede a tu cuenta en movistar.com.mx y activa la “contraseña de portabilidad”
  • T-Mobile (EE.UU.): account.t-mobile.com → Privacidad y seguridad → SIM Protection
  • AT&T (EE.UU.): wireless.att.com → Extra Security en configuración de cuenta

Cambia la Verificación en Dos Pasos de SMS a App

En cada cuenta importante, cambia el método de verificación:

  1. Descarga Google Authenticator o Authy en el celular del papá o mamá
  2. En cada plataforma, ve a Configuración → Seguridad → Verificación en 2 pasos
  3. Cambia de “Mensaje de texto” a “App de autenticación”
  4. Escanea el código QR con la app
  5. Guarda los códigos de respaldo impresos

Reduce la Información Personal en Redes Sociales

Revisa con tu hijo qué información está pública en su perfil:

  • Fecha de cumpleaños completa (día, mes y año juntos son un riesgo)
  • Número de celular en bio
  • Nombre completo en cuentas que podrían ser privadas
  • Publicaciones que mencionen operadora telefónica (“me cambiando a Telcel”)

Configura Alertas con tu Operadora

Algunas operadoras envían notificaciones cuando se realizan cambios a la cuenta. Activa las notificaciones por correo electrónico (no por SMS—ese es el canal que el atacante ya controla en un SIM swap exitoso) para cualquier cambio en la línea.

Qué Hacer Si Ya Fue Víctima de SIM Swap

Si el celular de tu hijo de repente no tiene señal donde normalmente la tendría, o si recibe mensajes de “bienvenida” de la operadora sin haber hecho nada, actúa inmediatamente:

1. Llama a la operadora desde otro teléfono. Reporta el SIM swap fraudulento y pide que bloqueen la portación. Muchas operadoras pueden revertir un SIM swap dentro de las primeras horas.

2. Cambia contraseñas de cuentas críticas inmediatamente. Empieza por el correo electrónico—desde un dispositivo diferente, no desde el celular comprometido.

3. Desvincula el número comprometido de las cuentas. Mientras recuperas el número, desvincula ese número de teléfono de las cuentas importantes y reemplázalo con un correo electrónico alternativo como método de recuperación.

4. Presenta denuncia. En México, ante la CONDUSEF (condusef.gob.mx) para fraude financiero relacionado, y ante el Ministerio Público si hay robo de dinero o datos.

5. Monitorea tu historial crediticio. Especialmente si tu adolescente ya tiene 18 años o si sus datos fueron expuestos. En México puedes consultar tu buró de crédito en burodecredito.com.mx.

Qué Observar en los Próximos 3 Meses

Semana 1: Activa el PIN de portabilidad con la operadora de la línea de tu hijo. Es una llamada de 10 minutos que puede prevenir un ataque devastador.

Mes 1: Audita las cuentas más importantes de tu hijo (correo, Instagram, TikTok, gaming) y cambia las que usen SMS como segundo factor a una app de autenticación.

Mes 2: Revisa qué información personal está pública en los perfiles de redes sociales de tu hijo. Ajusta la privacidad en conjunto—no como castigo sino como ejercicio de conciencia digital.

Mes 3: Habla con tu hijo sobre cómo responder si de repente pierde señal o recibe mensajes extraños de la operadora. Que sepa que debe avisarte de inmediato y no intentar “arreglarlo solo” perdiendo tiempo valioso.

Preguntas Frecuentes

¿El SIM swapping es ilegal en México?

Sí. La portación fraudulenta constituye fraude bajo el Código Penal Federal (artículos 386 y siguientes) y puede también implicar acceso ilícito a sistemas informáticos. En la práctica, los casos que llegan a sentencia condenatoria son pocos porque los atacantes frecuentemente operan desde otros países o en organizaciones difíciles de rastrear.

¿Mi operadora me devolverá el dinero si me hacen SIM swap y roban de mi cuenta bancaria?

Depende del banco y de las circunstancias. En México, CONDUSEF establece que los bancos tienen obligación de investigar y en muchos casos revertir cargos fraudulentos si el cliente reporta de inmediato. Pero el proceso puede tardar semanas. La rapidez del reporte es fundamental—las primeras 24 horas son críticas.

¿El PIN de portabilidad protege contra todos los ataques?

El PIN de portabilidad hace significativamente más difícil el SIM swapping, pero no es infalible. Empleados de operadoras corruptos pueden saltarse los procesos de verificación. La protección más robusta combina PIN de portabilidad + 2FA por app (no por SMS) + contraseñas únicas por cuenta.

¿A qué edad debo tener esta conversación con mi hijo?

Desde que tu hijo tenga su primer número de celular—sin importar la edad. Si tu hijo de 10 años tiene celular con WhatsApp, ese número ya es un vector de ataque potencial. La conversación no tiene que ser técnica: “si de repente tu celular pierde señal o ves mensajes raros de Telcel, avísame de inmediato” es suficiente para empezar.

Sobre el autor

Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo saturado de tecnología. Lee más en hiwavemakers.com.

Fuentes

  1. Federal Trade Commission (FTC). SIM Swapping: What It Is and What to Do If It Happens to You. consumer.ftc.gov. https://consumer.ftc.gov/consumer-alerts/2019/10/sim-swapping-what-it-and-what-do-if-it-happens-you
  2. CONDUSEF México. Fraudes en Medios Electrónicos: Portación Fraudulenta. condusef.gob.mx. https://www.condusef.gob.mx/
  3. Federal Communications Commission (FCC). Protecting Yourself from SIM Swap Scams. fcc.gov. https://www.fcc.gov/consumers/guides/sim-swapping-and-port-out-scams
  4. Digital Shadows (Reliaquest). The Dark Web Price Index 2024. digitalshadows.com. https://www.digitalshadows.com/blog-and-research/the-dark-web-price-index-2024/
  5. Cybersecurity and Infrastructure Security Agency (CISA). Multi-Factor Authentication: What It Is and Why You Should Use It. cisa.gov. https://www.cisa.gov/mfa
  6. Princeton University. An Empirical Study of Wireless Carrier Authentication for SIM Swaps. Schmitt et al. Proceedings on Privacy Enhancing Technologies, 2020.
  7. FBI Internet Crime Complaint Center. SIM Swapping Awareness. ic3.gov. https://www.ic3.gov/Media/Y2022/PSA220208
Ricky Flores
Escrito por Ricky Flores

Fundador de HiWave Makers e ingeniero eléctrico con más de 15 años trabajando en proyectos con Apple, Samsung, Texas Instruments y otras empresas Fortune 500. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo impulsado por la tecnología.

Artículos relacionados

ACEs: qué predice el puntaje de adversidad infantil y cómo proteger a tus hijos
General

ACEs: qué predice el puntaje de adversidad infantil y cómo proteger a tus hijos

12 min de lectura
Agallas (Grit): Qué Muestra la Investigación de Duckworth Realmente
General

Agallas (Grit): Qué Muestra la Investigación de Duckworth Realmente

13 min de lectura
Ahorro vs. Inversión: Cómo Enseñar la Diferencia a los Niños Según Su Edad
General

Ahorro vs. Inversión: Cómo Enseñar la Diferencia a los Niños Según Su Edad

11 min de lectura