Tu banco invierte millones en ciberseguridad, pero el eslabón más débil de la cadena podrías ser tú, y ni siquiera lo sabes. Imagina esta escena: recibes una llamada perdida de un número desconocido, no le das importancia y sigues con tu día. Horas después, tu móvil se queda sin cobertura de repente. Lo que parece una simple avería es, en realidad, el inicio de una pesadilla silenciosa, el primer paso de un fraude sofisticado que está dejando a cero las cuentas bancarias de cientos de personas en España. ¿El objetivo? Tu tarjeta SIM.
Lo más aterrador es que este ataque se ejecuta sin que necesiten robarte el móvil, tu cartera o tus contraseñas. Los ciberdelincuentes han encontrado una grieta en el sistema que no está en tu ordenador ni en la web de tu entidad financiera, sino en un lugar mucho más insospechado, porque el fraude consiste en duplicar tu tarjeta SIM para recibir los SMS de verificación que envía el banco. Una vez lo consiguen, tienen la llave maestra para autorizar transferencias y vaciar tus ahorros en cuestión de minutos. Y tu banco no puede hacer casi nada para detenerlo.
¿CÓMO ES POSIBLE QUE UNA LLAMADA PERDIDA VACÍE MI CUENTA?
La llamada perdida, en realidad, es solo la punta del iceberg, una distracción o una simple comprobación de que tu número está activo. El verdadero ataque no va dirigido a ti, sino a tu compañía telefónica. Armados con tus datos personales, obtenidos previamente a través de filtraciones o engaños, los estafadores llaman a tu operador haciéndose pasar por ti, ya que suplantan tu identidad con una historia creíble para solicitar un duplicado de tu tarjeta SIM. Cuentan una excusa convincente: que has perdido el móvil, que te lo han robado o que la tarjeta está dañada.
En el momento en que un empleado de la compañía telefónica cae en el engaño y activa esa nueva SIM para los delincuentes, la tuya se desactiva automáticamente. Es por eso que te quedas sin cobertura de repente. A partir de ese instante, los criminales tienen el control total de tu línea, puesto que reciben todas tus llamadas y mensajes, incluidos los códigos de seguridad de un solo uso que manda tu banco para confirmar operaciones. Con acceso a tu banca online y a esos códigos, tienen vía libre para hacer transferencias y dejar tus ahorros de toda una vida temblando.
LA ANATOMÍA DEL GOLPE: PASO A PASO, ASÍ ACTÚAN
Este fraude, conocido como «SIM swapping», no es un acto impulsivo, sino una operación meticulosamente planificada. Antes de atacar, los delincuentes dedican tiempo a recopilar información sobre ti. Te han estudiado. Pueden haber conseguido tus datos de la «dark web», a través de un ataque de «phishing» en el que picaste hace meses o incluso de tus redes sociales, pues necesitan tu nombre completo, DNI y a veces tu dirección para superar las preguntas de seguridad del operador. Con esa información, suplantar tu identidad resulta alarmantemente sencillo para ellos.
Una vez tienen tus datos, ejecutan el plan, normalmente fuera del horario de oficina para que tardes más en reaccionar. Llaman a la compañía, y con una mezcla de urgencia y buenas dotes de actor, convencen al agente para que tramite el duplicado de la SIM. En cuanto la activan, entran en la app de tu banco, que ya han instalado en su propio dispositivo. Solicitan el envío de los códigos de recuperación de contraseña si es necesario y, una vez dentro, realizan transferencias por importes elevados a cuentas puente, a menudo en el extranjero, para hacer que el rastro del dinero se pierda casi al instante.
«ME DESPERTÉ Y NO TENÍA LÍNEA»: HISTORIAS REALES QUE TE HELARÁN LA SANGRE
El testimonio de las víctimas se repite con un patrón escalofriante. Fue un domingo por la mañana», cuenta Marcos, un arquitecto de Madrid. «Vi que el móvil no tenía señal, pero pensé que sería un problema de la red en mi zona. No le di importancia». Lo que no sabía es que, en ese preciso momento, su línea ya no le pertenecía. El verdadero terror llegó al día siguiente, porque la primera señal de alarma inequívoca es la pérdida súbita e inexplicable de la cobertura móvil. Si te ocurre, no lo ignores jamás: cada minuto cuenta.
«El lunes, al ir a pagar un café, me denegaron la tarjeta», continúa. «Entré en la aplicación de mi banco desde el wifi de la oficina y sentí un vacío en el estómago. Faltaban 30.000 euros». Habían realizado varias transferencias durante la madrugada del domingo. «Llamé a mi banco, desesperado, pero las operaciones ya estaban hechas y confirmadas con los SMS que yo nunca recibí». La sensación de impotencia es absoluta, pues los delincuentes aprovechan la noche o el fin de semana para que la víctima tarde más en detectar el fraude y no pueda contactar fácilmente con su banco.
TU BANCO NO PUEDE HACER NADA (O CASI NADA) UNA VEZ OCURRE
Aquí reside la genialidad y la crueldad de este fraude: para los sistemas de seguridad del banco, todo parece correcto. La operación se inicia desde un dispositivo, sí, pero se valida con el código de seguridad enviado al número de teléfono registrado. A ojos de la tecnología, eres tú quien está autorizando esas transferencias. Es por eso que las alarmas no saltan, porque el banco interpreta que el usuario legítimo está confirmando las operaciones a través del sistema de doble autenticación. Es un ataque que explota la confianza en un sistema que, hasta ahora, considerábamos casi infalible.
Recuperar el dinero es una auténtica odisea. El proceso implica presentar una denuncia en la policía, notificar al banco el fraude, y esperar que la reclamación prospere, lo que puede llevar meses de incertidumbre. En muchos casos, las entidades se resisten a devolver el dinero alegando que no ha habido un fallo de seguridad por su parte. La clave legal está en demostrar la negligencia del operador telefónico, pues la responsabilidad suele recaer en la compañía de telecomunicaciones por no verificar correctamente la identidad del solicitante, pero la batalla legal es larga y agotadora.
BLINDA TU LÍNEA: LAS MEDIDAS URGENTES QUE DEBES TOMAR HOY MISMO
La buena noticia es que puedes ponerles las cosas mucho más difíciles a los delincuentes con un par de gestos sencillos. La prevención es tu mejor arma. Lo primero que debes hacer, hoy mismo, es llamar a tu operador de telefonía y solicitar que añadan una capa extra de seguridad para cualquier gestión relacionada con tu tarjeta SIM, ya que puedes exigir que para autorizar un duplicado de SIM se requiera una contraseña específica o una pregunta de seguridad que solo tú sepas. Esta simple medida frena en seco la mayoría de estos ataques.
Además, desconfía de cualquier llamada, SMS o correo que te pida datos personales. Tu banco nunca te los solicitará por estas vías. Revisa periódicamente los movimientos de tu cuenta y activa todas las alertas de notificaciones que ofrezca la aplicación de tu banco. Al final, la seguridad de tu dinero ya no depende solo de la fortaleza de tu contraseña, sino de lo protegida que tengas tu línea telefónica. En esta nueva era, el teléfono se ha convertido en la llave de nuestra caja fuerte, y es nuestra responsabilidad asegurarnos de que solo nosotros tengamos la copia.
