Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 13 de junio de 2026

Prevención del Fraude por Intercambio de SIM: Cómo la Verificación Telefónica Detiene la Toma de Control de Cuentas (ES)

Un intercambio de SIM le da a un atacante control del número de teléfono de su usuario y de cada contraseña de un solo uso (OTP) que sigue. Aprenda cómo la verificación telefónica, las señales de dispositivo e IP, y la.

Por DiditActualizado el
sim-swap-fraud-prevention.png

Un ataque de intercambio de SIM es una técnica de toma de control de cuentas en la que un estafador convence a un operador de telefonía móvil para que transfiera el número de teléfono de una víctima a una tarjeta SIM que el atacante controla. Una vez que son dueños del número, cada contraseña de un solo uso (OTP) enviada a ese número, ya sea para iniciar sesión, restablecer la contraseña o aprobar una transacción, llega a sus manos, no a las del titular legítimo de la cuenta.

El ataque es particularmente efectivo porque derrota la capa de autenticación que la mayoría de los usuarios y muchas plataformas creen que es segura. Comprender cómo funcionan los intercambios de SIM, por qué las OTP por SMS por sí solas son insuficientes y cómo aplicar controles más estrictos es la base de una defensa eficaz contra la toma de control de cuentas (ATO).

Puntos clave

  • Un intercambio de SIM transfiere el número de teléfono de una víctima a una SIM controlada por un atacante mediante ingeniería social al equipo de atención al cliente de un operador de telefonía móvil.
  • Una vez que un atacante es propietario del número, puede recibir OTP por SMS (contraseñas de un solo uso) para iniciar sesión, restablecer la contraseña y confirmar transacciones en nombre de la víctima.
  • La OTP por SMS por sí sola no es un factor de autenticación suficiente para cuentas de alto valor; es vulnerable a ataques de intercambio de SIM, interceptación SS7 y phishing de OTP.
  • La combinación de la verificación telefónica con señales de dispositivo e IP, y la exigencia de una autenticación biométrica para acciones sensibles, cierra la superficie de ataque que deja abierta la OTP por SMS.
  • Didit ofrece verificación telefónica multicanal (SMS, WhatsApp, Telegram, RCS, voz) junto con Análisis de IP ($0.03), Detección de Vida Pasiva ($0.10) y Autenticación Biométrica ($0.10) que se combinan en una pila de autenticación por pasos.

Cómo funciona un ataque de intercambio de SIM

La secuencia de ataque es sencilla:

  1. Selección del objetivo — el atacante identifica a una víctima, generalmente a través de registros de filtraciones de datos o investigación en redes sociales, y confirma el número de teléfono asociado a su cuenta.
  2. Suplantación del operador — el atacante llama al operador de telefonía móvil de la víctima, haciéndose pasar por el titular de la cuenta. Utilizando información de identificación personal (PII) obtenida de datos de filtraciones o fuentes públicas, solicita una transferencia de SIM — "Perdí mi teléfono y necesito activar mi número en esta SIM".
  3. Número portado — el operador, incapaz de distinguir al estafador del cliente legítimo, completa la transferencia. El teléfono de la víctima pierde el servicio; la SIM del atacante recibe todas las llamadas y SMS entrantes.
  4. Toma de control de la cuenta — el atacante activa un restablecimiento de contraseña en la plataforma objetivo. La OTP por SMS llega a su dispositivo. Establecen una nueva contraseña y controlan la cuenta.

La víctima generalmente se da cuenta solo cuando su teléfono pierde el servicio inesperadamente o recibe alertas de acciones que no realizó, a menudo después de que el daño ya está hecho.

Por qué la OTP por SMS no es suficiente por sí sola

La OTP por SMS fue diseñada como un segundo factor que asume que un número de teléfono está vinculado de forma segura a una sola persona. El intercambio de SIM rompe esa suposición a nivel del operador, fuera del control de la plataforma. Pero no es la única debilidad:

Vulnerabilidades del protocolo SS7 — el protocolo Signaling System 7 (SS7) que enruta el tráfico telefónico a nivel global tiene vulnerabilidades documentadas que permiten a actores sofisticados interceptar mensajes SMS en tránsito sin acceso físico a la SIM.

Phishing de OTP — los kits de phishing en tiempo real proxy un flujo de autenticación, extrayendo la OTP que la víctima ingresa en el sitio falso del atacante y reproduciéndola contra la plataforma real dentro de la ventana de validez de la OTP.

SIM-farming — las redes de fraude organizadas operan grandes inventarios de tarjetas SIM registradas bajo identidades sintéticas, utilizándolas para recibir OTP para cuentas que ya han comprometido mediante relleno de credenciales.

El patrón es consistente: cualquier sistema que trate la OTP por SMS como la comprobación de seguridad final tiene un único punto de falla que puede eludirse sin tocar los propios controles de seguridad de la plataforma.

La pila de defensa: capas que funcionan juntas

Una defensa eficaz contra el intercambio de SIM no es un único control, es una pila de señales y pasos de verificación que hace que el ataque no sea rentable en cada etapa.

Capa 1: Inteligencia telefónica en el registro

Antes de emitir una OTP, recopile información sobre el propio número de teléfono. Las señales útiles incluyen:

  • Tipo de línea: ¿es este un número móvil o un número VoIP (Voz sobre IP)? Los números VoIP se pueden aprovisionar instantáneamente sin verificación del operador y se usan comúnmente en operaciones de fraude.
  • Operador y país: ¿coincide el operador con el país declarado por el usuario? Un número registrado en un operador de un país que el usuario no reclamó merece ser marcado.
  • Accesibilidad: ¿se puede entregar realmente la OTP? La entrega multicanal (SMS, WhatsApp, Telegram, RCS o voz) prueba la accesibilidad al tiempo que ofrece opciones al usuario.

Estas señales están disponibles antes de enviar una sola OTP. Le permiten aplicar controles más estrictos a los números de mayor riesgo sin afectar la experiencia de los usuarios legítimos.

Capa 2: Señales de dispositivo e IP junto con la OTP

El Análisis de IP a $0.03 agrega un contexto que la inteligencia telefónica por sí sola no puede proporcionar: ¿es la IP consistente con la ubicación declarada del dispositivo? ¿La conexión proviene de una VPN, proxy o nodo de salida de Tor? ¿Esta IP ha sido asociada con intentos de fraude anteriores?

Un intercambio de SIM generalmente coincide con una nueva sesión de dispositivo; el atacante tiene un dispositivo diferente al que el usuario legítimo haya usado alguna vez. La huella digital del dispositivo que rastrea la consistencia de la sesión (tipo de dispositivo, huella digital del navegador/aplicación, zona horaria, configuración de idioma) puede marcar un dispositivo por primera vez que accede a una cuenta de alto valor durante una acción sensible, incluso antes de que se complete la OTP.

Capa 3: Autenticación biométrica para acciones sensibles

El control más fuerte para momentos de alto riesgo (grandes retiros, nuevos métodos de pago, recuperación de cuentas, cambios de dirección) es una autenticación biométrica que requiere que el usuario realice una verificación de vida que coincida con su biometría registrada.

Una autenticación biométrica no es algo que un atacante de intercambio de SIM pueda satisfacer. Tienen el número de teléfono; no tienen la cara. La Detección de Vida Pasiva a $0.10 y la Autenticación Biométrica a $0.10 son las verificaciones que detienen la toma de control de cuentas en el punto donde causaría el mayor daño.

El principio es la fricción proporcionada: las sesiones de bajo riesgo proceden normalmente; las acciones de alto riesgo activan una verificación biométrica rápida y nativa del móvil que el usuario legítimo apenas nota, pero que el atacante no puede pasar.

Cómo ayuda Didit

La verificación telefónica de Didit entrega OTP a través de múltiples canales (SMS, WhatsApp, Telegram, RCS y voz), llegando a los usuarios donde se encuentran y brindando una flexibilidad de entrega que el SMS de un solo canal no puede igualar. La entrega multicanal también pone a prueba la accesibilidad del número a través de los protocolos: un número que no puede recibir un mensaje de WhatsApp, sino solo SMS, tiene un perfil de riesgo diferente al de uno que es accesible a través de todos los canales.

Junto con la verificación telefónica, el flujo de trabajo componible de Didit le permite agregar capas:

  • Análisis de IP ($0.03) — detección de VPN/proxy/Tor, consistencia de IP a país, puntuación de riesgo de fraude.
  • Detección de Vida Pasiva ($0.10) — una verificación de vida biométrica de menos de 2 segundos que verifica que el usuario es real y está presente, no una foto estática.
  • Coincidencia Facial 1:1 ($0.05) — compara la captura en vivo con el retrato registrado desde la incorporación.
  • Autenticación Biométrica ($0.10) — una verificación completa por pasos que reproduce la coincidencia biométrica bajo demanda para acciones de cuenta sensibles.

Todo esto se combina en un único flujo de trabajo sin código configurado en la Consola de Negocios. El disparador de autenticación por pasos, es decir, qué puntuación de riesgo o tipo de acción escala a la biométrica, es una configuración del Creador de Flujos de Trabajo, no un cambio de código.

Casos de uso

Seguridad de cuentas de neobancos e IED — las solicitudes de retiro de alto valor y las nuevas adiciones de beneficiarios son los momentos de mayor riesgo en una cuenta financiera. La autenticación biométrica en estos puntos cierra la ventana que explotan los intercambios de SIM.

Recuperación de cuenta de intercambio de criptomonedas — los flujos de recuperación de cuentas son la ruta más explotada en la toma de control de cuentas de intercambio de criptomonedas. Exigir una coincidencia biométrica durante la recuperación de la cuenta hace que el flujo sea a prueba de intercambio de SIM.

Gestión de cuentas de iGaming — los cambios en los métodos de depósito y las solicitudes de retiro son el objetivo específico en la toma de control de cuentas de juegos porque los pagos son rápidos y, a menudo, irreversibles. La verificación por pasos en estos puntos de contacto es una expectativa regulatoria en los mercados con licencia.

Mercados de consumo con métodos de pago almacenados — las plataformas que almacenan credenciales de pago para cuentas de comprador y vendedor necesitan una verificación por pasos cuando un usuario cambia su cuenta bancaria de pago, un objetivo común en la toma de control de cuentas.

Preguntas frecuentes

¿Cuánto cuesta la verificación telefónica?

El precio de la verificación telefónica de Didit es variable y depende del canal de entrega y el volumen. El análisis de IP cuesta $0.03; la detección de vida pasiva cuesta $0.10; la autenticación biométrica cuesta $0.10. Todos incluyen 500 verificaciones gratuitas al mes sin mínimos.

¿La verificación telefónica previene todos los ataques de intercambio de SIM?

La verificación telefónica por sí sola no lo hace; un atacante que ya ha completado un intercambio de SIM recibe la OTP. La defensa proviene de la superposición de inteligencia telefónica, señales de dispositivos y autenticación biométrica para que la entrega de OTP no sea la verificación final.

¿Cuál es la diferencia entre la Detección de Vida Pasiva y la Autenticación Biométrica?

La Detección de Vida Pasiva ($0.10) verifica que el usuario es real y está presente al momento de la incorporación. La Autenticación Biométrica ($0.10) realiza una comparación facial con coincidencia de vida contra el retrato registrado para la autenticación por pasos a mitad de sesión, la verificación que detiene la toma de control de cuentas en puntos de acción sensibles.

¿Puede un atacante eludir la autenticación biométrica por pasos?

Una autenticación biométrica por pasos requiere el rostro en vivo del usuario legítimo. Un atacante de intercambio de SIM tiene el número de teléfono, no el rostro. La Detección de Vida Pasiva con más de 200 señales de fraude y la certificación iBeta Nivel 1 PAD de Didit (0% IAPAR / 360 ataques) está diseñada para detectar ataques de presentación (fotos, videos, máscaras) en la puerta de la autenticación por pasos.

¿Esto funciona para la reverificación a mitad de sesión?

Sí. El mecanismo AWAITING_USER de Didit, tomado del motor de Monitoreo de Transacciones, puede pausar una acción sensible, activar una autenticación biométrica por pasos y reanudar la acción automáticamente una vez que el usuario la autoriza.

¿Listo para empezar?

La verificación telefónica, el análisis de IP, la detección de vida pasiva y la autenticación biométrica son módulos componibles en la plataforma unificada de identidad y fraude de Didit; configúrelos juntos en el Creador de flujos de trabajo sin escribir código de integración adicional.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Prevención Fraude SIM Swap: Verificación Telefónica Detiene ATO.