Ataque SIM swap: cómo funciona y cómo protegerte (2026)

Tu número de teléfono nunca se concibió como una llave de seguridad — pero durante años, los códigos SMS de un solo uso lo convirtieron en una. Un ataque SIM swap explota exactamente eso: al secuestrar tu número, un atacante recibe tus códigos 2FA por SMS y entra en tus cuentas. Esta guía explica cómo funciona el ataque, las señales de alerta y las defensas concretas que de verdad lo detienen en 2026.

Cómo funciona un ataque SIM swap

El mecanismo es ingeniería social, no hackear tu teléfono:

1. El atacante reúne tus datos personales (filtraciones, phishing o tus redes sociales públicas).
2. Contacta a tu operador móvil, se hace pasar por ti y solicita transferir tu número a una nueva SIM (una "portabilidad" o reemplazo de SIM) — a veces con ayuda de un empleado sobornado.
3. Tu teléfono pierde la señal; el número vive ahora en la SIM del atacante.
4. Cada SMS — incluidos los códigos 2FA de un solo uso — llega a su dispositivo. Dispara restablecimientos de contraseña y toma el control del correo, luego de la banca, la cripto y las redes sociales.

La debilidad de fondo: los códigos SMS siguen al número, no a ti.

Señales de alerta

• Pérdida repentina del servicio móvil (sin llamadas/SMS/datos) mientras a otros alrededor les funciona.
• Una alerta del operador sobre un cambio de SIM o una portabilidad no solicitada.
• Que te cierren sesión en cuentas de forma inesperada, o correos de restablecimiento que no iniciaste.

Si tu teléfono se queda sin servicio y sigue así, supón un posible SIM swap y actúa enseguida.

Las defensas que de verdad funcionan

1. Bloquea el número en el operador. Añade un PIN / bloqueo de portabilidad / Number Lock para que el número no pueda transferirse sin él. Es el control del lado del operador que bloquea la mayoría de los swaps.

2. Sal de la 2FA por SMS — este es el gesto clave. Como un SIM swap solo vence los códigos por texto, pasa tus cuentas importantes a una 2FA no ligada a tu número:

• App de autenticación (TOTP) — códigos generados en el dispositivo. Consulta nuestra guía de apps de autenticación.
• Llave de seguridad de hardware (FIDO2) — a prueba de phishing y de swap. Consulta nuestra comparativa de llaves de hardware.
• Passkeys — ligadas a tu dispositivo.

3. Quita el número como método de recuperación en las cuentas críticas cuando la plataforma lo permita.

4. Reduce tus datos expuestos — el atacante necesita detalles personales para suplantarte. Contraseñas fuertes y únicas en un gestor hacen que un SIM swap por sí solo no baste para encadenar cuentas.

Si te están haciendo un SIM swap ahora mismo

1. Llama a tu operador desde otro teléfono para volver a asegurar el número y revertir el cambio.
2. Desde un dispositivo de confianza, asegura tu correo primero (es la llave maestra): cambia la contraseña, revoca sesiones, sal de la 2FA por SMS.
3. Haz lo mismo con banca, cripto y redes sociales, en ese orden.
4. Contacta a tu banco para marcar el fraude y presenta una denuncia ante la autoridad correspondiente.

La velocidad lo es todo: tu ventana de riesgo es el lapso entre el cambio y que recuperes el control. Para el protocolo completo, consulta qué hacer cuando tu cuenta es hackeada.

En resumen

Un SIM swap solo es poderoso contra la verificación por SMS. Bloquea tu número en el operador, pasa cada cuenta importante a una app de autenticación, una llave de hardware o una passkey, y guarda contraseñas fuertes y únicas en un gestor. Hazlo y secuestrar tu número deja de ser una llave maestra de tu vida digital.

Guía editorial basada en los métodos documentados de ataque SIM swap y las propiedades documentadas de la autenticación SMS, TOTP, FIDO2 y passkey. Nombramos con claridad la debilidad propia de la 2FA por SMS. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste extra para ti.