← Alertas
Fraude Alto Activa

Robo de número telefónico: cómo un atacante toma el control de cuentas bancarias sin tocar el teléfono de la víctima

Un atacante que convence a la operadora telefónica de transferir el número de una víctima a una nueva tarjeta SIM bajo su control toma el control de todos los servicios que usan el teléfono como segundo factor de verificación — incluyendo banca en línea, correo y WhatsApp. No necesita acceso físico al teléfono. La víctima no recibe ninguna advertencia hasta que su número deja de funcionar.

2026-06-22 · Dark Reading

Qué ocurrió

Un atacante que obtiene suficiente información personal de una víctima puede llamar a su operadora telefónica, hacerse pasar por ella y pedir que el número sea transferido a una nueva tarjeta SIM bajo su control. En el momento en que la transferencia se completa, la víctima pierde señal en su teléfono — y el atacante recibe todos sus mensajes de texto, incluyendo los códigos de verificación que los bancos y servicios usan para confirmar operaciones. No hay alerta previa. El teléfono simplemente deja de funcionar.

Quién está expuesto

Cualquier persona cuyas cuentas críticas — banca en línea, correo corporativo, WhatsApp, plataformas de inversión — usen un código por SMS como segunda verificación. Es especialmente riesgoso para directivos, personas con acceso a cuentas corporativas, y quienes tienen activos significativos en plataformas digitales. Los datos personales que necesita el atacante para suplantar a la víctima ante la operadora suelen obtenerse de filtraciones de datos previas.

A considerar

Migrar los segundos factores de autenticación de SMS a una aplicación de autenticación (Google Authenticator, Microsoft Authenticator, Authy) en cuentas bancarias y corporativas críticas. Los códigos que genera una app viven en el dispositivo físico — un atacante que controla el número telefónico no puede acceder a ellos. Consultar con el banco si ofrece protección adicional contra cambios de SIM no autorizados o portabilidad de número sin verificación presencial.

Impacto potencial

Un atacante con el número de teléfono bajo su control puede restablecer la contraseña del correo, luego la del banco, y completar transferencias usando los códigos de confirmación por SMS — todo en minutos, antes de que la víctima entienda qué está pasando. El teléfono sin señal es la única señal de alerta, y para entonces el daño puede estar hecho.

Leer fuente original →