La mayoría de la gente no se plantea demasiado compartir su número de teléfono, pero si lo piensas bien, es un excelente punto de partida para alguien que quiera robarte. Lo usas para la banca, para recibir códigos de autenticación en dos factores e incluso para iniciar sesión en redes sociales.
Si te preguntas qué puede hacer alguien con tu número de teléfono, la respuesta no es sencilla. Abre puertas a los atacantes, pero no supone un problema si tienes medidas de protección adecuadas.
Un atacante no puede acceder a tu dispositivo solo con un número de teléfono. Pero si lo combina con otra información obtenida en una filtración de datos o en registros públicos, los riesgos aumentan. Pueden usarlo como parte de una campaña de phishing o para tomar el control de una cuenta y, en el peor de los casos, cometer robo de identidad.
Lo que debe saber:
- Un número de teléfono por sí solo no puede hackear directamente tu dispositivo.
- Los estafadores usan números de teléfono para phishing, suplantación de identidad y reinicios de contraseña.
- El riesgo más grave es el intercambio de SIM, que permite interceptar códigos de acceso.
- El riesgo aumenta cuando tu número se combina con otros datos personales filtrados.
- Problemas inesperados de servicio o alertas de inicio de sesión pueden indicar un problema.
- Una autenticación robusta y protecciones del operador reducen el riesgo de forma significativa.
¿Qué pueden hacer los estafadores con tu número de teléfono?
Los estafadores que consiguen tu número pueden enviar mensajes de phishing por SMS (smishing), suplantar el identificador de llamadas y solicitar restablecimientos de contraseña en tus cuentas. En muchos casos, tu número forma parte de una estrategia más amplia para defraudarte. Es importante destacar que ninguno de estos ataques requiere acceso físico a tu dispositivo: con el número suelen poder empezar.
Una de las tácticas más habituales es el smishing: mensajes de phishing basados en SMS que se hacen pasar por empresas con las que tratas habitualmente, como bancos, servicios de reparto o administraciones. Normalmente incluyen un enlace a una página con un formulario para que introduzcas tus datos, o te instan a llamar a una línea de soporte falsa. Estos textos parecen proceder de una fuente oficial, por lo que muchas personas responden sin pensarlo dos veces.
En algunos casos, tu número se usa para activar un restablecimiento de contraseña. Es práctica habitual que los servicios envíen un código de un solo uso por SMS cuando se solicita un restablecimiento. Si esto ocurre y el atacante ya conoce tu correo electrónico, puede iniciar el proceso y luego tratar de interceptar el código o usar ingeniería social para que se lo entregues.
¿Pueden los estafadores acceder a tus cuentas solo con tu número?
Normalmente, un número de teléfono por sí solo no basta para acceder directamente a tus cuentas. Para que un ataque prospere, necesitarán al menos otro dato, como tu dirección de correo electrónico o una contraseña filtrada.
La principal vulnerabilidad está en el proceso de restablecimiento de contraseña. Si un servicio utiliza la verificación por SMS como única opción de recuperación y un atacante puede recibir tus mensajes de texto, podrá acceder a tu cuenta. Para ello, el atacante tendría que haber obtenido acceso a tus mensajes mediante un intercambio de SIM o mediante malware en tu dispositivo.
Muchas empresas están dejando de usar SMS como segundo factor para operaciones sensibles porque estas situaciones ocurren con demasiada frecuencia. Hay varios casos sonados de toma de control de cuentas que han afectado a propietarios de criptomonedas, periodistas y otras personas.
Protégete de los estafadores por teléfono
Kaspersky Premium ayuda a monitorizar filtraciones de datos, detectar actividad sospechosa en tus cuentas y reforzar la protección frente a tomas de control relacionadas con intercambios de SIM.
Probar Kaspersky Premium gratis¿Pueden los estafadores suplantarte o dirigirse a tus contactos?
Sí. La suplantación del identificador de llamadas permite a un atacante realizar llamadas o enviar mensajes que aparentan venir de tu número. Este método se ha generalizado gracias a avances en la tecnología IA que facilitan la suplantación. Esta tecnología es de fácil acceso, económica y sencilla de usar.
Una vez que un estafador ha suplantado tu número, puede llamar a tus contactos y pedir transferencias de dinero por emergencia, enviar enlaces de pago falsos o solicitar códigos de verificación. Es fácil entender por qué estos ataques funcionan: el contacto ve en su pantalla un nombre en el que confía y es probable que siga la petición.
Si descubres que alguien está suplantando tu número, avisa a tus contactos de inmediato. Utiliza un canal bajo tu control (por ejemplo, un mensaje grupal desde tu propio dispositivo o un correo electrónico) y denuncia el incidente a tu operador.
¿Puede tu número usarse para el robo de identidad?
Un número de teléfono por sí solo no basta para el robo de identidad. Se convierte en un problema cuando se combina con otros datos personales identificables (PII), como tu nombre completo, fecha de nacimiento o número de la Seguridad Social. Si un atacante dispone de dos o más datos, puede intentar abrir tarjetas de crédito a tu nombre, presentar declaraciones fiscales fraudulentas o acceder a tus cuentas financieras.
El problema para los usuarios es saber cuánto de su información ya está disponible. Con frecuencia hay filtraciones masivas de datos en las que se exponen millones de números de teléfono junto con nombres de clientes, direcciones y detalles de cuentas.
Estos registros pueden acabar en la dark web, donde los atacantes pueden comprarlos como parte de bases de datos. Por eso muchas empresas consideran los números de teléfono como datos sensibles: cuando se usan junto a otros datos personales, la sensibilidad de la información de un número se dispara. Y, en la mayoría de los casos, esa exposición no se debe a algo que hayas hecho mal.
¿Cómo consiguen los estafadores tu número de teléfono en primer lugar?
Los estafadores obtienen números a través de filtraciones de datos, sitios de búsqueda de personas, formularios de phishing y sistemas de marcación automática que detectan líneas activas. Ten en cuenta que a menudo transcurre mucho tiempo, incluso años, entre que tu número se ve comprometido y que notes actividad sospechosa.
Si te preguntas cómo consiguen tu número, casi siempre se reduce a una de estas fuentes.
Otra fuente habitual son los registros públicos. Expedientes judiciales, listados electorales y registros de propiedad suelen incluir números de teléfono y en muchas jurisdicciones están disponibles en línea. Rellenar una tarjeta de registro de garantía o apuntarte a un programa de fidelización puede introducir tu número en bases de datos de marketing que más tarde se filtran o revenden.
¿Qué papel juegan las filtraciones de datos y los brokers de datos?
Las filtraciones de datos son la principal fuente de números filtrados, y los brokers de datos agravan el problema al hacer que la información sea fácilmente accesible.
Cuando una empresa sufre una filtración, los registros de clientes suelen aparecer en foros y mercados de la dark web en cuestión de días. A partir de ahí, los atacantes los cotejan con otras bases de datos para completar el perfil de cada persona.
Los intermediarios de datos (brokers) como Whitepages, Spokeo y BeenVerified agrupan datos públicos y comerciales en bases consultables. Por una pequeña tarifa, cualquiera puede buscar un número de teléfono y obtener el nombre, la dirección y otros detalles personales asociados. Es posible eliminar tu información de estos sitios, pero tendrás que enviar una solicitud de exclusión a cada broker individualmente.
¿Cómo saber si tu número está comprometido?
Tu número puede estar comprometido si de repente pierdes cobertura móvil o recibes mensajes de restablecimiento de contraseña que no has solicitado. Otros signos incluyen notificaciones de cambios en cuentas que no has hecho y avisos de contactos que afirman haber recibido mensajes sospechosos desde tu número.
Presta atención si se producen varios de estos indicios en un corto periodo. Una sola llamada de spam no es motivo de alarma. La situación preocupante es la pérdida total de señal, aunque tu dispositivo y la tarjeta SIM estén físicamente intactos, junto con alertas de inicio de sesión o solicitudes de autenticación que no hayas activado. Ese patrón suele indicar un intercambio de SIM.
![\"Diagrama](\"https://content.kaspersky-labs.com/fm/press-releases/dc/dc9d4f3710a6e6ffa844dc1c49a18548/processed/sim-swap-process-diagram-q93.png\")
Si algo te resulta sospechoso, revisa rápidamente tu cuenta con el operador en busca de cambios no autorizados. Llama desde otro teléfono o acude a una tienda en persona. Luego inicia sesión en tu correo electrónico, banca y redes sociales para comprobar si hay modificaciones que no hayas hecho.
¿Qué es un intercambio de SIM y por qué es la mayor amenaza?
Un intercambio de SIM es un ataque en el que un estafador convence al operador móvil para transferir tu número a una tarjeta SIM que controla. Eso permite al estafador interceptar todas las llamadas y mensajes que se envían a tu número. Es la amenaza más grave relacionada con el número de teléfono porque elude por completo la protección que ofrecen los códigos de verificación SMS utilizados como segundo factor.
Si un intercambio de SIM tiene éxito, el atacante recibirá cada código de verificación enviado por SMS a tu teléfono. Piensa en todas las ocasiones en las que eso puede ocurrir: contraseñas de un solo uso para correo y banca, verificaciones en exchanges de criptomonedas y acceso a redes sociales.
El daño puede escalar rápidamente si también se compromete tu correo electrónico, ya que el estafador podrá iniciar restablecimientos de contraseña en docenas de servicios. Para ayudar a los usuarios, la advertencia sobre intercambios de SIM de la FCC explica las protecciones a nivel de operador, los pasos para denunciarlo, cómo funciona y qué indicios buscar.
¿Cómo funciona un intercambio de SIM?
Para que un intercambio de SIM funcione, el atacante recopila primero información personal sobre la víctima y después se hace pasar por ella para contactar con el operador y transferir el número.
El atacante reúne datos como nombre, dirección, número de cuenta y los últimos cuatro dígitos del número de la Seguridad Social a partir de filtraciones previas o perfiles en redes sociales. A continuación, inicia la solicitud de intercambio de SIM con el operador a través del portal en línea o la línea de soporte. Al disponer de tu información, logra completar el proceso de verificación y la transferencia se aprueba.
En algunos casos, los ataques implican sobornar o manipular socialmente a empleados del operador. Una variante del intercambio de SIM, llamada fraude de portabilidad (port-out), sigue un proceso similar, pero transfiere el número a otro operador.
A los estafadores les gustan los intercambios de SIM porque cualquier ataque que redirija mensajes SMS elude instantáneamente la seguridad de todas las cuentas que dependen de esos códigos.
¿Deberías preocuparte si alguien tiene tu número de teléfono?
Que alguien tenga tu número no es motivo para alarmarse de inmediato. Lo más probable es que recibas llamadas de spam y algún SMS de phishing ocasional, pero eso por sí solo no implica peligro para tus cuentas o tu identidad.
El riesgo es mayor si usas tu número para la recuperación de cuentas por SMS (correo, banca u otras cuentas). Y el riesgo aumenta si tu número ha salido a la luz junto con otros datos en una filtración. Si un hacker tiene tu correo y una contraseña filtrada, dispone de mucho más que alguien que solo encontró tu número en redes sociales.
¿Qué diferencia hay entre spam normal y una amenaza seria?
El spam normal es un enfoque masivo que incluye llamadas automáticas, telemarketing y mensajes genéricos enviados a miles de números. Son molestos pero poco peligrosos; las acciones necesarias son bloquearlos y denunciarlos.
En cambio, las amenazas serias suelen ser mensajes dirigidos que incluyen tu nombre real, referencias a tu banco o transacciones recientes, lo que indica que el remitente tiene más que tu número. Códigos de restablecimiento de contraseña repetidos son una señal de que alguien está intentando activamente acceder a tus cuentas. En un intercambio de SIM, tu teléfono puede mostrar de repente “Sin servicio”.
¿Qué debes hacer si un estafador tiene tu número de teléfono?
Si crees que un estafador tiene tu número, debes bloquear inmediatamente tu cuenta con el operador, cambiar las contraseñas de tus cuentas más importantes y mejorar tus métodos de autenticación. También debes denunciar el incidente.
Todo esto debe hacerse cuanto antes, porque el tiempo entre un intercambio de SIM y una toma de control completa de las cuentas puede ser de apenas unos minutos. Saber qué hacer cuando un estafador tiene tu número depende de la rapidez de tu reacción.
Si no sabes por dónde empezar, protege primero la cuenta con tu operador. Usa otro teléfono (una línea fija o el de un familiar) o acude a una tienda física y solicita que pongan una congelación inmediata para cambios de SIM y solicitudes de portabilidad.
Una vez segura la cuenta del operador, comprueba primero tus cuentas de correo (ya que controlan los reinicios del resto), luego las bancarias y, finalmente, las redes sociales. Si sospechas que has sido víctima de robo de identidad, congela tu crédito en las tres agencias (Equifax, Experian, TransUnion) y presenta una denuncia en IdentityTheft.gov.
Al presentar la denuncia, documenta todo con el máximo detalle posible. Incluye capturas de pantalla, marcas de tiempo y números de referencia de llamadas al operador, ya que es posible que necesites impugnar cargos fraudulentos más adelante.
¿Cómo asegurar tu cuenta con el operador?
Para proteger la cuenta con tu operador, debes establecer un PIN de la tarjeta SIM, crear un código de acceso sólido y único para la cuenta y habilitar las protecciones contra transferencia de número.
Un PIN de la tarjeta SIM es un código que debe introducirse antes de que la tarjeta pueda usarse en un nuevo dispositivo. Puedes configurarlo en los ajustes de tu teléfono o llamando al soporte. Además, la cuenta del operador (donde entras para ver facturación) necesita un código de acceso fuerte que sea distinto del PIN de la tarjeta.
Por último, la mayoría de los operadores ofrecen la opción de bloqueo de número o congelación de portabilidad para evitar transferencias no autorizadas. Puedes activar estas opciones desde tu cuenta en línea. Para una visión completa sobre seguridad móvil, las recomendaciones de NIST sobre seguridad de dispositivos móviles ofrecen un marco útil que cubre la mayoría de los casos.
¿Cómo proteger tus cuentas en línea?
Sustituye la autenticación en dos factores basada en SMS por alternativas con aplicaciones o dispositivos físicos. Usa una app de autenticación como Google Authenticator, Microsoft Authenticator o Authy para generar códigos temporales en tu dispositivo; así tus cuentas quedarán protegidas frente a intercambios de SIM.
Para reforzar aún más tus cuentas importantes, puedes usar una llave de seguridad hardware como YubiKey. Estas hacen imposible la toma de control remota porque requieren la posesión física de la llave para autorizar un inicio de sesión.
Reutilizar contraseñas también aumenta la vulnerabilidad: si un sitio que usas se ve comprometido, el atacante puede usar esa misma contraseña para intentar acceder a otros servicios. Para reducir ese riesgo, utiliza un gestor de contraseñas que genere y guarde contraseñas únicas para cada cuenta.
Para una protección más sólida, activa la autenticación multifactor mediante una app o un método hardware en lugar de SMS. Así, los códigos de verificación estarán vinculados a tu dispositivo y no a tu número de teléfono, lo que dificulta mucho que los atacantes los intercepten.
![\"Comparación](\"https://content.kaspersky-labs.com/fm/press-releases/aa/aa40d166ee5b0caccafb8bad0b77f46a/processed/authentication-methods-comparison-q93.png\")
¿Cómo proteger tu número a largo plazo?
Para proteger tu número a largo plazo, el objetivo es reducir los lugares donde aparece y minimizar su papel en la seguridad de tus cuentas. Lamentablemente no es una solución única, y es algo que puede tocar repetir unas cuantas veces al año.
Empieza por eliminar tu número donde esté publicado en línea: redes sociales y directorios profesionales. También puedes darte de baja en sitios de brokers de datos, ya sea manualmente con solicitudes de exclusión u usando un servicio como DeleteMe.
Haz una lista de las cuentas que usan tu número para recuperación y cámbialas a autenticación por aplicación.
Como capa adicional, puedes usar un número secundario prepago con una tarjeta SIM o un servicio VoIP para registrarte en aplicaciones de reparto y cuentas comerciales. Es un número que puedes reemplazar con facilidad si se ve comprometido.
Revisa tus ajustes de privacidad periódicamente, porque las opciones por defecto de las plataformas pueden cambiar tras actualizaciones. Un campo de perfil que antes era privado puede volverse público sin que te des cuenta. Entender qué información se puede obtener a partir de tu número facilita decidir qué bloquear y qué eliminar. Esto solo requiere unos 10 minutos cada trimestre, pero evitará muchas gestiones posteriores. Considera usar una solución de seguridad integral como Kaspersky Premium para monitorizar filtraciones de datos que afecten a tu información personal, incluido tu número de teléfono.
Artículos relacionados:
- ¿Cómo prevenir eficazmente los ataques de intercambio de SIM?
- ¿Cómo protegerse frente a estafas en el móvil?
- ¿Qué riesgos conllevan los ataques de smishing?
- ¿Cómo mejorar hoy la seguridad de tu teléfono móvil?
Productos recomendados:
Preguntas frecuentes
¿Alguien puede rastrear mi ubicación con solo mi número de teléfono?
No. El rastreo de ubicación mediante un número de teléfono requiere acceso a la infraestructura del operador o la instalación de spyware en tu dispositivo. El rastreo de este tipo está restringido a las fuerzas de seguridad y suele necesitar una orden judicial. Existen sitios de estafa que ofrecen rastrear números; casi siempre son trampas de phishing o fraude.
¿Pueden acceder a mi cuenta bancaria solo con mi número de teléfono?
Un número de teléfono por sí solo no basta para acceder a tu cuenta bancaria. Sin embargo, si se combina con otros datos personales, podría utilizarse para realizar un intercambio de SIM. Eso permitiría a un atacante interceptar códigos de verificación SMS y, potencialmente, acceder a tus cuentas.
¿Debo cambiar mi número de teléfono tras un robo de identidad?
No. Solo tiene sentido cambiar de número si eres víctima de un intercambio de SIM o de acoso. La mayoría de las vulnerabilidades se solucionan asegurando la cuenta con el operador, mejorando la autenticación y congelando el crédito. Los pasos de recuperación por robo de identidad de la FTC (Comisión Federal de Comercio) pueden ayudarte a decidir.
