¿Puede una VPN protegerme del SIM swapping?

No directamente. Una VPN protege tu tráfico de internet cifrándolo y ocultando tu dirección IP, pero no tiene ningún control sobre tu operador de telefonía móvil ni sobre tus cuentas de autenticación por SMS. El SIM swapping actúa en una capa completamente diferente, manipulando procesos humanos y de atención al cliente en lugar de tu conexión a internet.

¿Cómo sé si he sido víctima de un SIM swap?

La señal más común es perder repentinamente la cobertura móvil sin razón aparente, es decir, no poder realizar llamadas ni enviar mensajes aunque te encuentres en una zona con buena señal. Otros indicios incluyen recibir notificaciones de cambios en cuentas que no realizaste o que te bloqueen el acceso a tus cuentas de correo electrónico o bancarias. Si sospechas que has sido víctima de un ataque, contacta a tu operador de inmediato.

¿Es el 2FA por SMS completamente inútil?

No es completamente inútil, pero sí es la forma más débil de autenticación de dos factores. Sigue siendo mucho mejor que no tener ningún tipo de 2FA. Sin embargo, si tienes la opción, es preferible usar aplicaciones de autenticación como Google Authenticator o Authy, o mejor aún, llaves de seguridad físicas como YubiKey, especialmente para cuentas críticas como las bancarias o las de criptomonedas.

¿Qué debo hacer si creo que mi número ha sido comprometido mediante SIM swapping?

Actúa con rapidez. Primero, contacta a tu operador móvil para recuperar el control de tu número. Luego, accede a tus cuentas más importantes, especialmente las de correo electrónico y banca, desde un dispositivo seguro y cambia las contraseñas de inmediato. Activa la 2FA basada en aplicación donde sea posible. Notifica a tu banco si sospechas que se han realizado transacciones no autorizadas y considera presentar una denuncia ante las autoridades competentes.

SIM Swapping

SIM Swapping: Cómo los delincuentes secuestran tu número de teléfono

Tu número de teléfono se ha convertido en una de las llaves más poderosas para tu vida digital. Los bancos, los proveedores de correo electrónico y las plataformas de redes sociales lo utilizan para verificar tu identidad. El SIM swapping es una forma de robo de identidad que explota precisamente esta confianza, y puede desmantelar tu seguridad en línea en cuestión de minutos.

¿Qué es el SIM Swapping?

El SIM swapping (también conocido como SIM hijacking o fraude de portabilidad) es un ataque en el que un actor malicioso convence a tu operador móvil para que reasigne tu número de teléfono a una nueva tarjeta SIM que él posee. Una vez logrado esto, todas las llamadas y mensajes destinados a ti, incluidas las contraseñas de un solo uso (OTP) y los códigos de verificación de inicio de sesión, llegan directamente al atacante.

¿Lo más aterrador? Tu teléfono físico sigue funcionando. Simplemente pierdes la cobertura móvil sin ninguna advertencia evidente, confundiéndolo a menudo con una interrupción de la red hasta que ya es demasiado tarde.

¿Cómo funciona un ataque de SIM Swapping?

El ataque consta de dos fases: recopilación de información e ingeniería social.

Reconocimiento: El atacante primero recopila información personal sobre ti: tu nombre completo, dirección, número de cuenta o los últimos cuatro dígitos de tu número de seguridad social. Estos datos suelen obtenerse de filtraciones de datos, correos de phishing o incluso de tus propios perfiles en redes sociales.

Suplantación de identidad: Con suficientes datos personales, el atacante se pone en contacto con tu operador móvil, ya sea por teléfono, chat en línea o incluso en persona en una tienda, haciéndose pasar por ti. Alega que su teléfono fue robado o dañado y solicita que tu número sea transferido a una nueva SIM.

Toma de control: Una vez que el operador accede, el atacante recibe todos tus mensajes SMS y llamadas. De inmediato, activa los flujos de "olvidé mi contraseña" en tu correo electrónico, carteras de criptomonedas, aplicaciones bancarias o cualquier cuenta vinculada a tu número. En cuestión de minutos, puede bloquearte el acceso a todo.

El ataque completo puede completarse en menos de una hora, y algunos operadores han demostrado ser alarmantemente fáciles de engañar.

Por qué esto importa para los usuarios de VPN y las personas preocupadas por su privacidad

Si usas una VPN para proteger tu privacidad, ya entiendes el valor de proteger tu identidad digital. Sin embargo, una VPN no puede protegerte del SIM swapping, ya que opera en una capa completamente diferente.

El SIM swapping socava directamente la autenticación de dos factores (2FA) basada en SMS. Muchas personas creen que el 2FA por SMS hace que sus cuentas sean inexpugnables. En realidad, crea un único punto de fallo vinculado a las prácticas de atención al cliente de tu operador.

Entre las víctimas más conocidas se encuentran inversores en criptomonedas que perdieron millones, periodistas cuyas fuentes quedaron expuestas y ejecutivos cuyas cuentas empresariales fueron vaciadas. Cualquier persona con un número de teléfono públicamente conocido o activos digitales significativos es un objetivo potencial.

Ejemplo real

En 2019, el CEO de Twitter, Jack Dorsey, tuvo su propia cuenta de Twitter secuestrada mediante un SIM swap. Los atacantes la usaron brevemente para publicar contenido ofensivo, una demostración pública y vergonzosa de que incluso personas con gran poder y sofisticación técnica son vulnerables.

Los titulares de criptomonedas son un blanco especialmente frecuente. Dado que las transacciones de criptomonedas son irreversibles, los atacantes suelen dirigirse directamente a cuentas de exchanges protegidas con 2FA por SMS, transfiriendo fondos antes de que la víctima siquiera se dé cuenta de lo ocurrido.

Cómo protegerte

Cambia a 2FA basado en aplicaciones (como Google Authenticator o Authy) en lugar de SMS siempre que sea posible.
Usa llaves de seguridad físicas (como YubiKey) para las cuentas más importantes.
Establece un PIN de SIM o contraseña con tu operador: la mayoría de los operadores permiten añadir una contraseña secundaria requerida para cualquier cambio en la cuenta.
Minimiza la exposición pública de tu número de teléfono: no lo publiques en tus perfiles de redes sociales.
Usa un número VoIP como contacto público y mantén tu número real en privado.
Consulta a tu operador sobre funciones de bloqueo de portabilidad o bloqueo de SIM que restrinjan transferencias no autorizadas.

El SIM swapping es un recordatorio de que las defensas técnicas más sólidas tienen poco valor si los procesos humanos pueden ser manipulados. Combinar métodos de autenticación robustos, una gestión cuidadosa de tus datos personales y herramientas de privacidad como las VPN te ofrece la mejor defensa contra ataques que intentan eludir la tecnología por completo.

SIM SwappingIntermedio