Estafas por SIM swapping: cómo hackers robaron $20,000 en minutos y el riesgo para usuarios y empresas
El fraude conocido como SIM swapping —o secuestro de SIM— se ha convertido en una de las técnicas más peligrosas para robar identidades y fondos bancarios. Tres casos recientes, documentados por medios internacionales, revelan cómo estafadores logran acceder a cuentas en cuestión de minutos, vaciando saldos por montos que superan los $20,000. Expertos advierten que este método, cada vez más sofisticado, afecta no solo a particulares, sino también a empresas con protocolos de autenticación basados en mensajes de texto.
El modus operandi: de la usurpación a la transferencia instantánea
Según reportes de 1News y RNZ, los ciberdelincuentes engañan a operadores de telefonía —ya sea mediante ingeniería social o acceso previo a datos personales— para transferir el número de teléfono de la víctima a una tarjeta SIM bajo su control. Una vez logrado, interceptan:
- Códigos de verificación (SMS) enviados por bancos para autenticaciones.
- Notificaciones de transacciones o cambios en contraseñas.
- Correos electrónicos vinculados al número, que suelen usarse como segundo factor de autenticación.
El resultado es inmediato: los estafadores solicitan transferencias bancarias, activan tarjetas de crédito clonadas o incluso venden los datos en mercados oscuros. En los casos documentados, una víctima perdió $20,000 en menos de 10 minutos tras ser víctima de este esquema.
El caso de Florida: cómo una residente perdió su ahorro en minutos
Un informe de Fox News detalla cómo una mujer en Florida fue víctima de este fraude. Tras recibir una llamada falsa de «soporte técnico» de su operadora, los cibercriminales convencieron al personal de telefonía para activar su número en una nueva SIM. En menos de cinco minutos, iniciaron transferencias a cuentas interpuestas y agotaron su saldo. Las autoridades confirmaron que el monto superó los $20,000, aunque no se recuperó la totalidad.
Este caso refleja una tendencia alarmante: el 90% de los bancos en EE.UU. Aún confían en SMS para autenticar transacciones, según datos citados en los reportes. Esto convierte al SIM swapping en una vulnerabilidad crítica, especialmente para:
- Empresas con empleados que manejan finanzas o acceso a sistemas corporativos.
- Particulares con saldos significativos o inversiones en plataformas que usan SMS como verificación.
- Dueños de pymes que dependen de autenticaciones por mensaje para operaciones diarias.
¿Cómo protegerse? Medidas urgentes para usuarios y empresas
Ante la imposibilidad de que los operadores de telefonía eliminen por completo estos riesgos —por la velocidad con que actúan los fraudes—, las fuentes consultadas recomiendan:
- Activar autenticación multifactor (MFA) con métodos no SMS: Aplicaciones como Google Authenticator, claves de hardware (YubiKey) o biometría facial reducen el riesgo de usurpación.
- Bloquear el número en operadoras: Contactar al proveedor para restringir cambios en la SIM sin autorización previa.
- Monitorear cuentas en tiempo real: Configurar alertas bancarias para transacciones superiores a un umbral definido (ej. $500).
- Evitar compartir datos personales: Nunca proporcionar números de teléfono, direcciones o fechas de nacimiento a fuentes no verificadas.
- Para empresas: implementar políticas de seguridad: Prohibir el uso de SMS como único factor de autenticación y capacitar a empleados en riesgos de ingeniería social.
Aunque los casos documentados ocurrieron en EE.UU., expertos consultados por los medios advierten que este tipo de fraude ya opera en Latinoamérica, con variantes locales que explotan la falta de conciencia sobre los riesgos. «El SIM swapping es el ‘caballo de Troya’ de la banca digital: invisible hasta que es demasiado tarde», señala un especialista en ciberseguridad citado en los reportes.
Ante el aumento de estos incidentes, reguladores como la CONASUP en México y la Superintendencia Financiera en Colombia han emitido alertas, pero la adopción de medidas preventivas sigue siendo baja. Para usuarios y negocios, la recomendación es clara: asumir que el SMS ya no es seguro y actuar en consecuencia.
