SIM swapping: el fraude del duplicado de SIM y cómo protegerte
El SIM swapping clona tu número en otra tarjeta para robar los SMS de tu banco. Te contamos cómo lo hacen, las señales y cómo blindarte.
NoCall Blog
Clear guides to identify calls, prefixes and scams before you answer.
El SIM swapping es un fraude en el que un delincuente consigue un duplicado de tu tarjeta SIM y "traslada" tu número de teléfono a su móvil. Desde ese momento recibe tus llamadas y, lo más grave, los SMS con los códigos de verificación de tu banco. Aquí te explicamos cómo lo hacen, qué señales lo delatan y cómo blindarte.
A diferencia de las estafas que ya conoces, aquí no te engañan a ti con una llamada. El golpe se da contra tu operador. Por eso es tan peligroso: puedes hacer todo bien, no contestar a ningún número raro, y aun así perder el control de tu línea. La buena noticia es que hay defensas concretas, y muchas son gratis.
¿Qué es exactamente el SIM swapping?
Tu número de teléfono no vive dentro de la tarjeta SIM de plástico. Vive en los sistemas de tu operador, que asocian ese número a una SIM concreta. Cuando pides un duplicado porque has perdido el móvil o se te ha roto la tarjeta, el operador "desconecta" la SIM antigua y activa la nueva con tu mismo número. Es un servicio legítimo y necesario.
El SIM swapping (también llamado duplicado de SIM fraudulento o SIM swap) consiste en que un delincuente solicita ese duplicado haciéndose pasar por ti. Si lo consigue, tu SIM real se queda sin servicio en cuestión de minutos y tu número empieza a funcionar en el teléfono del atacante.
A partir de ahí, todo lo que dependa de tu número pasa a sus manos:
- Los SMS con códigos de verificación (el famoso 2FA u OTP) de tu banco, tu correo o tus redes sociales.
- Las llamadas de confirmación que algunas entidades hacen antes de una operación.
- Los SMS de recuperación de contraseña de decenas de servicios.
Con el código que llega por SMS, el atacante puede entrar en tu banca online, autorizar transferencias o vaciar tu cuenta. Y todo sin que tu contraseña se haya filtrado: le basta con interceptar ese segundo factor que creías seguro.
¿Cómo consiguen suplantarte ante el operador?
El duplicado de SIM no es el primer paso del fraude, sino el último. Antes, el delincuente necesita reunir suficientes datos tuyos para convencer al operador (o a un empleado) de que es el titular de la línea. Esa fase previa es pura ingeniería social.
Los datos los obtiene combinando varias fuentes:
- Filtraciones de datos: brechas de seguridad de empresas que dejan expuestos nombres, DNI, teléfonos y direcciones.
- Phishing y smishing: correos y SMS que te piden "verificar" tus datos. Si te suena, es porque es la misma mecánica que explicamos en nuestra guía sobre el smishing y las estafas por SMS.
- Vishing: llamadas en las que se hacen pasar por tu banco o tu operador para sonsacarte el DNI, la fecha de nacimiento o el número de cuenta.
- Redes sociales: información pública que tú mismo has compartido sin darle importancia.
Con ese expediente montado, contactan con tu operador por teléfono, por la web o incluso presencialmente en una tienda, y piden el duplicado. Por eso conviene entender que el SIM swapping casi siempre va precedido de otro intento de estafa. Si te ha llegado hace poco una llamada o un SMS pidiéndote datos personales, considéralo una señal de alerta. Aprende a leer las señales de riesgo de un número antes de dar cualquier dato.
¿Por qué el SMS dejó de ser un segundo factor seguro?
Durante años, recibir un código por SMS para confirmar una operación se consideró suficiente. La lógica era simple: solo tú tienes tu móvil, así que solo tú recibes el código. El SIM swapping rompe esa premisa de raíz. Si el atacante controla tu número, el código le llega a él.
Esto conecta con otros fraudes que explotan el mismo eslabón débil. Lo hemos visto en las flash calls y llamadas ping para robar OTP: los códigos de un solo uso son valiosísimos para los delincuentes, y el SMS es el canal más fácil de interceptar.
La conclusión no es "el SMS no sirve para nada", sino que el SMS es el factor más débil de los que existen. Si puedes elegir otro método de verificación, hazlo. Más abajo te explicamos cuáles.
¿Cuáles son las señales de que te están haciendo un SIM swap?
La gran ventaja defensiva que tienes es que el SIM swapping deja un rastro muy visible: tu móvil deja de funcionar. El problema es que mucha gente lo confunde con un fallo técnico y tarda horas en reaccionar. Cada minuto cuenta.
Estas son las señales que no debes ignorar:
| Señal | Qué significa |
|---|---|
| Pérdida repentina de cobertura sin motivo | Tu SIM ha sido desactivada; el número puede estar ya en otro teléfono |
| El móvil marca "Sin servicio" o "Solo emergencias" | La línea ya no está asociada a tu tarjeta |
| Dejas de recibir llamadas y SMS de golpe | El tráfico de tu número se ha desviado |
| Te llega un SMS o email avisando de un "cambio de SIM" que tú no pediste | El operador ha procesado un duplicado a tu nombre |
| Avisos del banco sobre accesos o intentos de acceso desconocidos | Alguien está usando tu número para entrar en tus cuentas |
| No puedes acceder a tu correo o redes sociales | Han iniciado el proceso de recuperación con tu número |
La señal reina es la pérdida de cobertura inexplicable. Si estás en una zona donde siempre tienes señal y de repente desaparece, y reiniciar el móvil no lo soluciona, no lo dejes para luego. Coge otro teléfono y llama a tu operador para confirmar que tu SIM sigue activa y que nadie ha pedido un duplicado.
¿Qué hago en los primeros minutos si sospecho?
La velocidad lo es todo. Si crees que estás sufriendo un SIM swap ahora mismo:
- Llama a tu operador desde otro teléfono y pide que bloqueen cualquier duplicado y reactiven tu SIM. Explica que sospechas de un fraude.
- Contacta con tu banco por su canal oficial (la app o el número del reverso de la tarjeta) y pide que congelen los accesos y las operaciones online.
- Cambia las contraseñas de tu correo principal y tu banca desde un dispositivo de confianza, no desde el móvil afectado.
- Revisa tus cuentas en busca de transferencias o cambios que no hayas hecho.
- Denuncia. Llama al 017 de INCIBE (gratuito) para que te orienten y presenta denuncia ante la Policía o la Guardia Civil.
Si ya has llegado a dar datos o has sufrido cargos, sigue el plan de acción completo que detallamos en qué hacer si ya diste tus datos en una estafa.
¿Cómo me protejo antes de que pase? El PIN de operador y otras barreras
La prevención del SIM swapping tiene dos frentes: dificultar que el atacante reúna tus datos y dificultar que el operador entregue un duplicado a quien no eres tú. La medida estrella es el PIN o contraseña de operador.
El PIN de operador: tu mejor escudo
La mayoría de las operadoras en España permiten configurar una clave o PIN de seguridad asociada a tu cuenta. Es un código que se te pedirá para cualquier gestión sensible, como un duplicado de SIM. Sin esa clave, ni siquiera con tus datos personales podrán autorizar el cambio.
No se activa solo. Tienes que pedirlo expresamente:
- Llama a tu operador o entra en tu área de cliente.
- Solicita activar una clave o PIN de seguridad para gestiones de SIM.
- Elige un código que no sea adivinable (nada de fechas de nacimiento ni DNI).
- Guárdalo donde no lo guardes todo lo demás.
Es gratis y es la barrera más eficaz que existe contra el duplicado fraudulento. Si no sabes si tu operador lo ofrece o cómo se llama exactamente en tu caso, consulta nuestra sección de operadores o pregunta directamente en atención al cliente.
Cambia el SMS por métodos de verificación más fuertes
Aunque te hagan el SIM swap, si tus cuentas críticas no dependen del SMS, el atacante se queda sin la pieza clave. Compara las opciones:
| Método de 2FA | Resistencia al SIM swap | Comodidad |
|---|---|---|
| Código por SMS | Baja: se intercepta con el duplicado | Alta |
| App de autenticación (TOTP) | Alta: el código vive en tu dispositivo, no en el número | Media |
| Llave de seguridad física (FIDO/passkey) | Muy alta: requiere el dispositivo físico | Media |
| Notificación push del banco | Alta: ligada al dispositivo, no al SMS | Alta |
La recomendación práctica: migra el segundo factor de tu banco, tu correo y tus redes sociales a una app de autenticación o a llaves/passkeys siempre que el servicio lo permita. Reserva el SMS solo para servicios donde no haya alternativa.
Reduce la huella de datos que pueden robarte
El SIM swap empieza con tus datos. Cuantos menos circulen, más difícil se lo pones:
- No des nunca datos personales por teléfono o SMS a quien te llama o escribe sin que lo hayas iniciado tú. La regla de oro es la misma de siempre: cuelga y verifica por el canal oficial.
- Desconfía de la urgencia. La presión por actuar "ya" es el sello del fraude.
- Revisa qué cuelgas en redes. Tu fecha de nacimiento, tu pueblo o el nombre de tu mascota pueden ser respuestas a preguntas de seguridad.
- Vigila las filtraciones. Si te avisan de una brecha en un servicio que usas, cambia esa contraseña y activa un 2FA robusto.
Activa avisos y refuerza el correo
Tu cuenta de correo electrónico es la llave maestra: desde ahí se recuperan casi todas las demás contraseñas. Protégela con la mejor verificación posible y un 2FA que no dependa del SMS. Activa también las notificaciones del banco para cualquier acceso o movimiento: son tu sistema de alarma temprana, porque te avisan de actividad sospechosa incluso si el atacante ya controla tu número (las push van al dispositivo, no a la línea).
¿En qué se diferencia el SIM swapping de otras estafas telefónicas?
Es fácil confundirlo, así que dejémoslo claro. En el vishing y el spoofing del identificador, el delincuente te engaña directamente a ti, fingiendo ser tu banco para que le des los datos o autorices algo. En el SIM swapping, el engaño se dirige al operador, y tú ni siquiera participas en la conversación.
Otra diferencia clave: en la mayoría de fraudes telefónicos la defensa es no contestar ni dar datos. En el SIM swapping eso no basta, porque el ataque ocurre por detrás. Aquí la defensa es estructural: el PIN de operador, el 2FA sin SMS y la vigilancia de la cobertura.
Eso sí, comparten un eslabón inicial común: la recogida de datos mediante phishing, smishing o vishing. Por eso, blindarte contra esos primeros intentos también te protege del SIM swap. Si sueles recibir muchas llamadas sospechosas, repasa cómo identificar y bloquear los números más reportados y consulta las tendencias del spam en España para saber qué patrones están circulando.
En resumen: tu plan anti-SIM swap
Si te quedas con cuatro ideas, que sean estas:
- Activa el PIN de operador hoy mismo. Es gratis y es la barrera más eficaz.
- Saca el SMS de tu 2FA en banco, correo y redes. Usa apps de autenticación o passkeys.
- Trata la pérdida súbita de cobertura como una emergencia, no como un fallo técnico.
- Protege tu correo por encima de todo y activa avisos bancarios.
El SIM swapping da miedo porque ataca un servicio que creías inviolable: tu propio número. Pero es uno de los fraudes que mejor se previene si tomas las medidas correctas a tiempo. No necesitas ser un experto en seguridad; necesitas una llamada a tu operador y media hora cambiando configuraciones.
Y recuerda que la comunidad es tu mejor radar. Muchos SIM swaps empiezan con una llamada o un SMS de recogida de datos. Si recibes uno sospechoso, búscalo y repórtalo en el directorio de números spam de NoCall: ayudas a que otra persona reconozca la amenaza antes de morder el anzuelo. Para seguir formándote, pásate por nuestras guías y por el resto del blog.
Received a suspicious call?
Look up the number in NoCall before sharing data, calling back, or clicking any link.
Search a Spanish phone number or a company name (Iberdrola, Movistar...) to check if it has been reported as spam.