Estás en casa tranquilamente cuando de repente tu móvil pierde la cobertura. Sin señal, sin datos, sin llamadas. Piensas que es un problema de red y no le das importancia. Pero 30 minutos después recibes un email: "Se ha realizado una transferencia de 8.500 € desde su cuenta". Intentas llamar a tu banco pero tu teléfono sigue sin funcionar. Te han hecho un SIM swapping.
El SIM swapping (o duplicado de SIM) es una de las estafas más devastadoras y de más rápido crecimiento en 2026. El atacante convence a tu operadora de telecomunicaciones para que transfiera tu número de teléfono a una SIM nueva que él controla. Con tu número, recibe tus SMS de verificación bancaria, resetea tus contraseñas y vacía tus cuentas en minutos.
Lo más aterrador: no necesita hackear nada. No necesita malware ni contraseñas. Solo necesita tu número de teléfono, algunos datos personales tuyos y una llamada convincente a tu operadora. Es ingeniería social pura aplicada a la telecomunicación.
🚨 Cifras de 2025 en España: los casos de SIM swapping denunciados ante la Policía Nacional aumentaron un 420 % en los últimos 3 años. La pérdida media por víctima supera los 6.000 euros, con casos que alcanzan los 50.000+ euros. El INCIBE registró más de 12.000 consultas relacionadas con duplicados fraudulentos de SIM solo en 2025.
📑 Tabla de contenidos
- ¿Qué es el SIM swapping exactamente?
- Cómo funciona paso a paso
- Por qué es tan peligroso
- Señales de que te están haciendo SIM swapping
- Qué pueden robar con tu número
- Casos reales en España
- Cómo protegerte: 10 medidas esenciales
- Ya soy víctima: qué hacer ahora
- Qué hacen las operadoras españolas
- Preguntas frecuentes
📱 ¿Qué es el SIM swapping exactamente?
El SIM swapping (intercambio de SIM) es un tipo de fraude en el que el atacante consigue que tu operadora de telecomunicaciones transfiera tu número de teléfono a una tarjeta SIM nueva que está en posesión del criminal. Cuando esto ocurre:
- Tu SIM original deja de funcionar (sin cobertura, sin datos, sin llamadas)
- La SIM del atacante recibe todo lo tuyo: llamadas, SMS, códigos de verificación
- El atacante puede recibir los SMS de verificación que tu banco envía para autorizar transferencias
- Puede resetear contraseñas de cualquier servicio que use SMS como método de recuperación
💡 Analogía: imagina que alguien va a tu oficina de Correos, se hace pasar por ti y consigue que redirijan todo tu correo postal a otra dirección. A partir de ese momento, recibe tus extractos bancarios, tus tarjetas nuevas, tus cartas del juzgado... y tú no recibes nada. El SIM swapping es exactamente eso, pero con tu número de teléfono.
⚙️ Cómo funciona paso a paso
El ataque sigue un proceso metódico que combina investigación previa, ingeniería social y acción rápida:
El atacante recopila tus datos personales: nombre completo, DNI, fecha de nacimiento, dirección, operadora, email. Los obtiene de filtraciones en la dark web, redes sociales, phishing o simplemente buscando en Google.
El atacante contacta con tu operadora (por teléfono, online o incluso en tienda física) haciéndose pasar por ti. Dice que ha perdido el móvil o que la SIM está dañada y necesita un duplicado.
La operadora le pide verificar su identidad. Con los datos recopilados (nombre, DNI, dirección de facturación, últimos dígitos de la cuenta bancaria), supera la verificación. En algunos casos, un empleado corrupto de la operadora facilita el proceso directamente.
La operadora activa la nueva SIM con tu número. Tu SIM original se desactiva inmediatamente. Tu móvil muestra "Sin servicio" o "Solo llamadas de emergencia".
Con tu número, el atacante actúa a toda velocidad:
- Va a tu banco online → "He olvidado la contraseña" → recibe el SMS de verificación → resetea tu contraseña
- Entra en tu cuenta bancaria → ordena transferencias → recibe los SMS de autorización en su teléfono
- Resetea contraseñas de tu email, redes sociales, PayPal, Amazon...
- Todo en menos de 30 minutos, antes de que te des cuenta de lo que pasa
🚨 Velocidad del ataque: desde que el atacante activa la nueva SIM hasta que vacía tu cuenta bancaria pueden pasar menos de 15 minutos. Por eso la señal de "sin cobertura" es tan crítica: cada minuto que tardas en reaccionar es un minuto más para que el atacante actúe.
💀 Por qué es tan peligroso
El SIM swapping es especialmente devastador por varias razones:
| Factor | Por qué es peligroso |
|---|---|
| Rompe el 2FA por SMS | Muchos bancos y servicios usan SMS como segundo factor. Con tu SIM, el atacante recibe esos SMS |
| No necesita malware | No instala nada en tu dispositivo. Tu antivirus no lo detecta |
| No necesita tu contraseña | Puede resetear contraseñas usando la recuperación por SMS |
| Es muy rápido | El ataque completo dura menos de 30 minutos |
| La víctima queda incomunicada | Sin cobertura, no puedes llamar a tu banco ni a la policía desde tu móvil |
| Difícil de revertir a tiempo | Recuperar tu número puede tardar horas o días; el daño se hace en minutos |
| Efecto cascada | Con el SMS controlan tu email → con el email resetean todo lo demás |
💡 El problema de fondo: demasiados servicios críticos (banca, email, redes sociales) dependen del SMS como método de verificación. Y el sistema de telecomunicaciones no fue diseñado para ser un sistema de autenticación seguro. El SIM swapping explota esta debilidad estructural.
⚡ La mejor defensa contra SIM swapping: no depender del SMS
Usa contraseñas fuertes + 2FA con app de autenticación (no SMS). Así el SIM swapping no compromete tus cuentas.
🛡️ Generar Contraseña Segura Gratis🚩 Señales de que te están haciendo SIM swapping
Reconocer las señales a tiempo puede ser la diferencia entre perder 0 € y perder miles:
Señales durante el ataque 🔴
- Tu móvil pierde la cobertura repentinamente (aparece "Sin servicio", "Solo emergencias" o sin barras de señal)
- No puedes hacer llamadas ni enviar SMS
- Los datos móviles dejan de funcionar
- Recibes un email de tu operadora confirmando un "cambio de SIM" que no solicitaste
- Recibes notificaciones de inicio de sesión en cuentas que no has accedido
Señales previas al ataque 🟡
- Llamadas extrañas preguntando por datos personales (alguien recopilando información)
- Emails de phishing pidiendo que "verifiques" tu número de teléfono o datos personales
- SMS sospechosos de tu "operadora" pidiendo que confirmes datos
- Alertas de filtraciones: tu email o teléfono aparecen en bases de datos filtradas
- Tu operadora te contacta para "confirmar un cambio" que tú no solicitaste
🚨 Acción inmediata: si tu móvil pierde la cobertura sin explicación y no se recupera en 2-3 minutos, no esperes. Llama a tu operadora desde otro teléfono (fijo, móvil de un familiar) INMEDIATAMENTE para comprobar si se ha emitido un duplicado de tu SIM. Cada minuto cuenta.
🏦 Qué pueden robar con tu número
Una vez que el atacante controla tu número de teléfono, puede acceder a:
| Cuenta/Servicio | Cómo acceden | Daño potencial |
|---|---|---|
| Banca online | Reset de contraseña + SMS de verificación para transferencias | 🔴 Vaciado total de cuentas |
| Email principal | Recuperación de contraseña por SMS | 🔴 Acceso a todas las demás cuentas |
| PayPal / Bizum | Reset de contraseña + SMS de autorización | 🔴 Transferencias fraudulentas |
| Redes sociales | Recuperación de cuenta por SMS | 🟡 Suplantación, estafas a contactos |
| Verificación por SMS al activar en nuevo dispositivo | 🟡 Acceso a conversaciones, suplantación | |
| Amazon / tiendas online | Reset de contraseña + compras con tarjeta guardada | 🔴 Compras fraudulentas |
| Criptomonedas | Acceso a exchanges con SMS como 2FA | 🔴 Pérdida irreversible de cripto |
| Telegram | Verificación por SMS | 🟡 Acceso a mensajes y suplantación |
💡 El efecto dominó: el atacante suele empezar por tu email (porque es la llave maestra). Con acceso al email, resetea las contraseñas de todas las demás cuentas sin necesitar más SMS. Por eso proteger tu email con 2FA mediante app (no SMS) es tan crítico.
📰 Casos reales en España
🔴 Vaciado de cuenta de 42.000 € (Valencia, 2024)
Un empresario valenciano perdió 42.000 euros en menos de una hora. Los atacantes consiguieron un duplicado de su SIM en una tienda de la operadora usando un DNI falsificado. Mientras él estaba en una reunión con el móvil en silencio, recibieron los SMS de su banco y ordenaron varias transferencias. Cuando notó la falta de cobertura, ya era tarde.
🔴 Estafa masiva a clientes de un banco (Madrid, 2023)
Una red criminal desarticulada por la Policía Nacional había realizado más de 100 SIM swaps a clientes del mismo banco, acumulando más de 500.000 euros en fraude. La banda tenía un contacto interno en una operadora que facilitaba los duplicados sin verificación real.
🔴 Influencer pierde acceso a Instagram (Barcelona, 2025)
Una influencer con 200.000 seguidores perdió su cuenta de Instagram tras un SIM swap. Los atacantes cambiaron el email asociado y publicaron enlaces de estafa a sus seguidores, consiguiendo miles de euros en fraudes adicionales antes de que Instagram bloqueara la cuenta.
🔴 Caso Jack Dorsey (CEO de Twitter, 2019)
Incluso el propio CEO de Twitter fue víctima de SIM swapping. Los atacantes tomaron control de su cuenta y publicaron mensajes ofensivos. Si el CEO de una empresa tecnológica puede caer, cualquiera puede.
💡 Patrón común en todos los casos: (1) la víctima no notó la pérdida de cobertura a tiempo, (2) usaba SMS como método de verificación bancaria, (3) no tenía PIN de seguridad en la operadora. Las tres cosas son prevenibles.
🛡️ Cómo protegerte: 10 medidas esenciales
1. Pon un PIN/contraseña de seguridad en tu operadora 📌
Es la medida más importante y directa. Contacta con tu operadora y solicita que no se pueda hacer ningún cambio (duplicado de SIM, portabilidad, cambios de titular) sin un PIN de seguridad adicional que solo tú conozcas.
| Operadora | Cómo solicitar protección | Teléfono |
|---|---|---|
| Movistar | Llama y pide "bloqueo de duplicado de SIM" con PIN de seguridad | 1004 |
| Vodafone | Solicita restricción de duplicado de SIM | 22123 |
| Orange | Pide bloqueo de cambios sin verificación presencial | 1470 |
| MásMóvil / Yoigo | Solicita PIN de seguridad para cambios | 2373 |
| Digi | Contacta con atención al cliente para restricción | 1200 |
✅ Hazlo hoy mismo. Llama a tu operadora, tarda 5 minutos. Pide que no se pueda emitir un duplicado de SIM sin tu PIN de seguridad o sin verificación presencial con DNI original. Es la barrera más efectiva contra el SIM swapping.
2. Sustituye el SMS por una app de autenticación 📱
Es la medida técnica más importante. Cambia el método de 2FA de SMS a app de autenticación en todos los servicios que lo permitan:
- Google Authenticator o Authy: generan códigos que no dependen de tu número de teléfono
- Microsoft Authenticator: ideal si usas servicios de Microsoft
- Llaves de seguridad físicas (YubiKey, Titan): la opción más segura contra SIM swapping
Servicios donde debes cambiar de SMS a app: email (Gmail, Outlook), banco (si lo permite), redes sociales, Amazon, PayPal, exchanges de cripto.
3. Usa una contraseña fuerte y única para cada servicio 🔑
Si el atacante no puede resetear tu contraseña por SMS (porque usas 2FA con app), necesitará la contraseña real. Si usas contraseñas reutilizadas que ya se han filtrado, puede entrar directamente. Genera contraseñas únicas y guárdalas en un gestor de contraseñas.
4. No publiques tu número de teléfono en redes sociales 🙈
Tu número es el dato clave que el atacante necesita. Elimínalo de tus perfiles de redes sociales, no lo publiques en anuncios de segunda mano con tu nombre real y no lo compartas en foros o webs públicas. Consulta nuestra guía para reducir tu huella digital.
5. Cuidado con el phishing previo al ataque 🎣
Los atacantes suelen enviar emails o SMS de phishing antes del SIM swap para recopilar datos. "Confirma tu DNI para tu operadora", "Actualiza tus datos bancarios"... Nunca des datos personales por email, SMS o teléfono a quien te contacte.
6. Activa las alertas de tu banco 🔔
Configura notificaciones instantáneas (por email y push de la app) para cada movimiento bancario. Así detectarás transferencias fraudulentas al instante, incluso si no tienes cobertura móvil.
7. Limita la información personal online 🔒
Cuantos menos datos tuyos haya disponibles públicamente, más difícil es para el atacante superar la verificación de la operadora:
- Configura redes sociales como privadas
- No publiques tu fecha de nacimiento real
- No compartas fotos de tu DNI o documentos
- Cuidado con formularios online que piden datos excesivos
8. Usa eSIM si tu móvil lo soporta 📲
La eSIM (SIM virtual integrada en el móvil) es más difícil de duplicar que una SIM física, porque el atacante no puede simplemente pedir una tarjeta nueva en tienda. No es inmune al SIM swapping, pero añade una capa extra de protección.
9. Ten un segundo número para servicios críticos 📞
Considera usar un número de teléfono secundario (tarjeta prepago barata) exclusivamente para verificaciones bancarias y servicios financieros. Este número no lo das a nadie, no aparece en redes sociales y nadie sabe que te pertenece. Si hacen SIM swap de tu número principal, tus servicios financieros siguen protegidos.
10. Protege tu WhatsApp con verificación en dos pasos 💬
Activa el PIN de verificación en dos pasos de WhatsApp (guía completa aquí). Así, incluso si el atacante recibe el SMS de verificación con tu número, no podrá acceder a tu WhatsApp sin el PIN.
🔐 Contraseñas fuertes = el SIM swap no es suficiente para entrar
Si tus contraseñas son únicas y usas 2FA con app (no SMS), el SIM swapping pierde casi toda su efectividad.
⚡ Generar Contraseña Segura🆘 Ya soy víctima de SIM swapping: qué hacer AHORA
Si crees que te están haciendo un SIM swap, cada segundo cuenta. Actúa en este orden:
Desde otro teléfono (fijo, móvil de familiar). Di que sospechas de un duplicado fraudulento de tu SIM y pide que la bloqueen y restauren tu número. Anota nombre del agente, hora y número de incidencia.
Informa de la situación y pide el bloqueo temporal de tu cuenta y tarjetas. Pide que revisen los movimientos de las últimas horas. Si hay transferencias no autorizadas, solicita su anulación inmediata.
Desde un ordenador o el móvil de un familiar, cambia las contraseñas de: (1) email principal, (2) banco, (3) redes sociales, (4) PayPal/Amazon. Usa nuestro generador de contraseñas para crear contraseñas nuevas y fuertes.
Ahora que sabes el riesgo del SMS, cambia todas las verificaciones a app de autenticación.
Presenta denuncia ante la Policía Nacional o Guardia Civil. Lleva toda la documentación: capturas de pantalla, emails de confirmación de cambio de SIM, movimientos bancarios sospechosos. También puedes llamar al 017 (INCIBE) para asesoramiento.
Presenta una reclamación formal a tu operadora (por emitir un duplicado sin verificación adecuada) y a tu banco (por no detectar operaciones fraudulentas). Si el banco se niega a devolver el dinero, puedes acudir al Banco de España y a asociaciones de consumidores.
✅ Buena noticia legal: los tribunales españoles están fallando cada vez más a favor de las víctimas. Varias sentencias han obligado a bancos y operadoras a devolver el dinero robado por SIM swapping, al considerar que sus sistemas de verificación eran insuficientes. Guarda toda la documentación.
📡 Qué hacen las operadoras españolas contra el SIM swapping
Las operadoras han mejorado sus medidas, pero siguen siendo el eslabón débil:
| Medida | Estado en 2026 |
|---|---|
| Verificación biométrica para duplicados | ⚠️ Algunas operadoras, no todas |
| PIN de seguridad adicional | ✅ Disponible si lo solicitas (no activo por defecto) |
| Notificación por email al emitir duplicado | ✅ La mayoría de operadoras |
| Periodo de espera antes de activar duplicado | ⚠️ Algunas operadoras (24-48h) |
| Verificación presencial obligatoria con DNI | ⚠️ Depende de la operadora y el canal |
| Bloqueo de portabilidad sin consentimiento verificado | ✅ Mejorado por normativa CNMC |
💡 El problema: muchas de estas protecciones no están activadas por defecto. Tienes que llamar y solicitarlas tú. No esperes a que la operadora te proteja automáticamente. Llama hoy y pide todas las restricciones disponibles para duplicados de SIM.
❓ Preguntas frecuentes
¿Pueden hacer SIM swapping sin tener mis datos personales?
Es mucho más difícil pero no imposible. En algunos casos, los atacantes tienen un cómplice dentro de la operadora que facilita el duplicado sin verificación. Sin tus datos personales, el atacante necesita un insider o explotar vulnerabilidades del proceso de la operadora.
¿El SIM swapping funciona con eSIM?
Es más difícil pero no imposible. La eSIM requiere un proceso diferente para ser transferida, pero las operadoras también gestionan eSIMs y pueden ser engañadas. La eSIM añade una capa de protección pero no elimina el riesgo por completo.
¿Mi banco me devolverá el dinero robado?
Depende. Los bancos suelen resistirse inicialmente, pero cada vez más sentencias judiciales en España obligan a bancos y operadoras a devolver el dinero a las víctimas. La clave es denunciar rápido y documentar todo. Consulta con una asociación de consumidores (FACUA, OCU) para que te asesoren.
¿Cómo sé si mi operadora tiene medidas contra SIM swapping?
Llama y pregunta directamente. Pide: (1) PIN de seguridad para cambios, (2) bloqueo de duplicados sin verificación presencial, (3) notificaciones por email ante cualquier cambio en tu línea. Si no ofrecen estas medidas, considera cambiar de operadora.
¿Es más seguro 2FA por app que por SMS?
Sí, significativamente. Los códigos de una app de autenticación (Google Authenticator, Authy) se generan en tu dispositivo y no dependen de tu número de teléfono. Un SIM swapping no los compromete. Consulta nuestra guía completa de 2FA.
¿Puedo hacer SIM swapping si pierdo el móvil legítimamente?
Sí, las operadoras emiten duplicados de SIM para casos legítimos (pérdida, robo, SIM dañada). El problema es que el proceso de verificación no siempre es suficiente para distinguir al titular legítimo de un estafador. Por eso el PIN de seguridad adicional es tan importante.
¿El SIM swapping afecta también a los datos del móvil?
No directamente. El atacante solo obtiene tu número de teléfono (llamadas y SMS). No accede a los datos almacenados en tu móvil (fotos, apps, archivos). Pero con tu número puede acceder a WhatsApp, Telegram y cualquier servicio que verifique por SMS, lo cual puede ser igualmente devastador.
📝 Conclusión: tu número de teléfono no es un método de seguridad
El SIM swapping demuestra una verdad incómoda: tu número de teléfono no es un método de autenticación seguro. Fue diseñado para comunicarse, no para proteger cuentas bancarias. Y sin embargo, millones de personas y empresas lo usan como barrera de seguridad.
Tu plan de protección contra SIM swapping:
- ✅ Llama a tu operadora HOY y pon un PIN de seguridad para cambios → 5 minutos
- ✅ Cambia 2FA de SMS a app en email, banco y servicios críticos → Guía 2FA
- ✅ Contraseñas únicas y fuertes para cada servicio → Genera las tuyas
- ✅ No publiques tu número en redes sociales ni webs públicas
- ✅ Alertas bancarias activadas para detectar movimientos al instante
- ✅ Protege tu WhatsApp con PIN de verificación → Guía WhatsApp
- ✅ Minimiza tu huella digital → Cómo borrarla
- ✅ Considera usar eSIM como capa extra de protección
Con estas medidas, un ataque de SIM swapping pasará de ser un desastre financiero a ser una molestia menor. El atacante puede obtener tu número, pero si tus cuentas no dependen del SMS, no conseguirá nada con él.
🛡️ La contraseña es tu primera línea de defensa
Si un atacante hace SIM swap pero tus contraseñas son fuertes y únicas, no puede acceder a tus cuentas sin más.
⚡ Generar Contraseña Segura Gratis