Existe una categoría de ciberataque que no requiere malware, no explota una vulnerabilidad de software y no depende de que la víctima cometa un error. Se dirige a algo mucho más fundamental: la confianza implícita entre una persona y su identidad móvil. El SIM swapping — también conocido como SIM hijacking — es exactamente este tipo de ataque y, a pesar de ser responsable de algunas de las brechas de seguridad más graves de la última década, sigue siendo poco comprendido fuera de los círculos especializados. La premisa es engañosamente simple. Para la mayoría de las personas y organizaciones, un número de teléfono móvil es la columna vertebral de la identidad digital. Códigos de autenticación de dos factores, flujos de recuperación de contraseñas, confirmaciones bancarias; todo ello pasa por un número que, en manos equivocadas, se convierte en una llave maestra. El SIM swapping funciona transfiriendo ese número a una tarjeta SIM controlada por el atacante. Una vez completada la transferencia, el propietario legítimo pierde la señal; el atacante obtiene acceso a todos los sistemas que utilizan ese número para la autenticación.

Cómo se desarrolla el ataque

El ataque rara vez comienza con una llamada telefónica al operador. Comienza días, semanas o incluso meses antes, con una fase de reconocimiento. El atacante construye un perfil de la víctima — fecha de nacimiento, dirección, datos de identificación nacional, los últimos cuatro dígitos del número de la seguridad social — recopilados mediante phishing, bases de datos de data brokers o conjuntos de datos filtrados previamente que circulan en los mercados de la dark web. Armado con esta información, el atacante contacta con el operador de red móvil de la víctima, ya sea por teléfono o en persona en una tienda, haciéndose pasar por el titular de la cuenta y solicitando un cambio de SIM o una transferencia de número. La ingeniería social puede ir mucho más allá de una simple llamada telefónica. En casos documentados, los atacantes han sobornado o cooptado directamente al personal del operador. En otros — cada vez más, a medida que los operadores trasladan la verificación de identidad a canales digitales — la barrera se ha superado mediante vídeos deepfake o síntesis de voz capaces de pasar los controles automatizados. La sofisticación del ataque escala con el valor del objetivo, y los objetivos no siempre son individuos. Las consecuencias son inmediatas y se van acumulando. La toma de control de la cuenta de Jack Dorsey en Twitter en 2019 ilustró públicamente lo que la comunidad de ciberseguridad llevaba tiempo documentando en privado: el control de un número de teléfono se traduce, en cuestión de minutos, en el control del correo electrónico, los monederos de criptomonedas y cualquier servicio que confíe en los SMS como segundo factor. La FTC informó de un fuerte aumento de las denuncias por SIM swap entre 2018 y 2023, con pérdidas concentradas principalmente en el sector de las criptomonedas pero en absoluto limitadas a él. El Centro de Denuncias de Delitos en Internet del FBI documentó pérdidas por SIM swap superiores a 72 millones de dólares solo en 2022.

¿Cambia algo el paso a la eSIM?

Con la aceleración de la adopción de las eSIM en los dispositivos de consumo, ha surgido una pregunta razonable: ¿reduce significativamente el riesgo el paso de la SIM física a la integrada? En las redes MNO públicas, la respuesta es matizada pero en gran medida pesimista. La vulnerabilidad en un SIM swap no reside en la tarjeta física, sino en el proceso de verificación de identidad del operador. Una eSIM sigue siendo aprovisionada por un operador, y esa solicitud de aprovisionamiento puede seguir siendo iniciada por un atacante que se haga pasar por el titular de la cuenta. El SIM swapping sigue siendo una amenaza significativa independientemente del tipo de SIM, porque el nivel de riesgo depende más de las prácticas de verificación del operador que del formato de la SIM en sí. La naturaleza integrada de la eSIM impide el robo físico de la tarjeta, pero no cierra el vector de ingeniería social. El panorama cambia sustancialmente en los despliegues de redes privadas, y aquí es donde el argumento de la eSIM se vuelve genuinamente interesante.

El punto ciego del 5G privado

El despliegue de redes 4G y 5G privadas se ha acelerado notablemente en entornos industriales, logísticos, de campus e infraestructuras críticas. Estas redes operan fuera de la infraestructura MNO pública, otorgando a las organizaciones control directo sobre el acceso radio, el core network y, de forma crítica, el aprovisionamiento de SIM. En entornos 5G privados, la tecnología eSIM actúa como identificador único de los dispositivos que se conectan a la red, habilitando el control de la conectividad a nivel de dispositivo. Este control es un activo, pero conlleva una responsabilidad que muchas organizaciones aún no están gestionando plenamente. En una red pública existe, aunque sea imperfecto, un proceso de verificación de identidad. Un atacante que intente un SIM swap debe interactuar con un operador regulado, navegar por los procedimientos de autenticación y dejar un rastro. La fricción es real, aunque no siempre suficiente. En una red privada, esa fricción desaparece por completo. Las tarjetas SIM y eSIM son aprovisionadas directamente por el administrador de la red — no existe un proceso de operador, ningún flujo de verificación regulado, ningún rastro de auditoría externo. En este modelo, la seguridad de cada identidad de dispositivo en la red depende enteramente del rigor de los controles de acceso internos. Y aquí la dinámica de la eSIM se invierte: en lugar de ser una vulnerabilidad, una eSIM en una red privada bien gestionada puede ser una ventaja de seguridad. La desactivación remota, el binding criptográfico del dispositivo y la imposibilidad de extracción física de la tarjeta significan que, cuando el proceso de aprovisionamiento está correctamente controlado, la eSIM reduce considerablemente la superficie de ataque en comparación con las SIM físicas, que pueden ser extraídas, duplicadas o reprogramadas fuera del sistema. La expresión clave, sin embargo, es «cuando el proceso de aprovisionamiento está correctamente controlado». Una cuenta de administrador comprometida, un empleado descontento o un ataque de ingeniería social dirigido al personal interno pueden traducirse en la reasignación silenciosa de una identidad de dispositivo, sin que ninguna parte externa detecte la anomalía. El atacante no necesita engañar a un agente del centro de atención telefónica. Solo necesita acceder a la interfaz de aprovisionamiento.

Por qué la orquestación de red es una decisión de seguridad, no operativa

La respuesta a esta vulnerabilidad es una disciplina arquitectónica. Las organizaciones que operan redes 4G o 5G privadas deben tratar su infraestructura de gestión de SIM y eSIM con el mismo rigor que aplican a la gestión de identidades y accesos en el resto de su stack de TI empresarial. Esto significa, en la práctica, que la elección de la plataforma de gestión y orquestación de red es inseparable de la postura de seguridad de la organización. Una plataforma robusta debe proporcionar una gestión centralizada de SIM/eSIM con un control de acceso avanzado basado en roles: la capacidad de aplicar permisos granulares que distingan, por ejemplo, entre quién puede ver el inventario de SIM, quién puede activar o desactivar un perfil y quién puede realizar una reasignación. No son operaciones equivalentes y no deben regirse por el mismo nivel de acceso. Igualmente importante es la capa de observabilidad. Una plataforma bien instrumentada que opera a través de una red privada multi-vendor y multi-sede — lo que el sector denomina «single pane of glass» — debería detectar automáticamente comportamientos anómalos en el aprovisionamiento: reasignaciones de SIM inesperadas, cambios de configuración realizados fuera del horario operativo o intentos de acceso desde orígenes no reconocidos. Sin esta visibilidad, un SIM swap en una red privada puede pasar desapercibido indefinidamente, sin que ningún operador público ni regulador emita una alerta. Para las organizaciones en sectores regulados — energía, transporte, defensa, sanidad — las consecuencias van más allá de la interrupción operativa. Una identidad de dispositivo comprometida puede ser el punto de entrada para una intrusión de red más amplia, o la fuente de telemetría falsificada con consecuencias físicas en el mundo real. A la escala de las infraestructuras críticas, la ausencia de gobernanza de las SIM no es una laguna en una lista de verificación. Es una exposición sistémica. La conversación que el sector necesita tener El SIM swapping no es una amenaza nueva. Pero su relevancia se está expandiendo a medida que prolifera la infraestructura celular privada y que la línea entre la seguridad de TI y OT continúa difuminándose. El debate público ha avanzado de forma significativa en la concienciación de los MNO y los consumidores sobre los riesgos de la autenticación basada en SMS. La conversación equivalente — sobre la gobernanza de identidades en los despliegues de redes privadas — apenas ha comenzado. Las organizaciones que han invertido en infraestructura 4G o 5G privada deberían auditar sus flujos de aprovisionamiento de SIM y eSIM como una prioridad absoluta. No para cumplir un requisito regulatorio, sino porque en ausencia de controles externos, la integridad de cada identidad de dispositivo conectado descansa íntegramente en la gobernanza interna. Esa responsabilidad es gestionable — pero solo con la arquitectura de plataforma adecuada, el modelo de control de acceso correcto y una cultura de seguridad que extienda sus límites hasta incluir la propia capa de red. El atacante que apunta a una red privada no necesita hacerse pasar por un cliente ante un servicio de asistencia. Solo necesita encontrar el eslabón más débil en un modelo de acceso que, en demasiados despliegues, fue diseñado como una ocurrencia tardía.