Qué es el SIM swapping: la estafa que vacía tu cuenta sin tocar tu teléfono
Tu móvil pierde cobertura de repente. No hay explicación aparente: no estás en el sótano, no ha caído ninguna antena. Intentas llamar y no puedes. Mandas un WhatsApp y sale con un solo tick. Piensas que es un fallo de la operadora y esperas.
Veinte minutos después, cuando conectas al wifi y abres la app del banco, tu cuenta está vacía.
Lo que acaba de ocurrir tiene un nombre técnico: SIM swapping. Y es, junto al Caller ID Spoofing, el fraude bancario digital más devastador de los últimos años. No necesita que hagas clic en ningún enlace. No necesita que descargues ningún archivo. Solo necesita que un delincuente convenza a tu operadora de que eres tú.
La buena noticia —y hay una— es que la jurisprudencia española, encabezada por el Tribunal Supremo y respaldada por el Tribunal de Justicia de la Unión Europea, ha establecido con claridad que el banco debe responder por este fraude. Entender cómo funciona el ataque y qué amparo legal tienes es el punto de partida para recuperar tu dinero.
Por qué el SIM swapping es diferente al phishing tradicional
En el phishing clásico, el delincuente necesita que la víctima cometa un error: hacer clic en un enlace falso, introducir sus datos en una web fraudulenta, responder a un correo sospechoso. Hay un momento en que la víctima, aunque engañada, toma una acción.
En el SIM swapping, la víctima no hace absolutamente nada. El fraude se produce fuera de su alcance, en una conversación entre el delincuente y la operadora telefónica. La víctima solo descubre que ha sido atacada cuando ya es demasiado tarde: su SIM está desactivada y el dinero ha desaparecido.
Esta diferencia es relevante no solo técnicamente, sino jurídicamente. Es muy difícil argumentar negligencia grave de una persona que no hizo nada.
Cómo funciona el SIM swapping paso a paso
El ataque no es improvisado. Sigue una secuencia muy definida que puede durar días o semanas de preparación antes del golpe final, que se ejecuta en minutos.
El delincuente necesita información suficiente para hacerse pasar por la víctima ante la operadora. Nombre completo, DNI, número de teléfono y a veces dirección o fecha de nacimiento. Estos datos se obtienen de filtraciones de bases de datos, redes sociales, campañas de phishing previas o mercados ilegales en la dark web.
Antes de solicitar el duplicado de SIM, el atacante ya tiene las credenciales bancarias de la víctima, obtenidas normalmente mediante phishing. Las tiene, pero no puede usarlas todavía: el banco envía un código de verificación al móvil para confirmar las operaciones. El objetivo del SIM swapping es precisamente interceptar esos códigos.
Haciéndose pasar por la víctima, el delincuente contacta con la operadora telefónica: por teléfono, por chat de atención al cliente o presentándose físicamente en una tienda. Alega que ha perdido el teléfono o que necesita un duplicado por avería. Aporta los datos personales obtenidos y, si los controles de verificación de la operadora son insuficientes, consigue la nueva SIM vinculada al número de la víctima.
En el momento en que la SIM duplicada se activa, la original queda inutilizada. La víctima pierde la señal. No puede hacer llamadas ni recibir SMS. Si no interpreta esta señal de alarma —o la interpreta como un fallo técnico de la operadora— el ataque continúa sin obstáculos.
Con la SIM duplicada activa, el delincuente accede a la banca online usando las credenciales obtenidas previamente. Los SMS de verificación llegan ahora a su teléfono, no al de la víctima. En cuestión de minutos puede realizar transferencias, operaciones por Bizum, solicitar créditos o cambiar las contraseñas de seguridad. Desde que se activa la SIM duplicada hasta que se vacían las cuentas pueden pasar menos de treinta minutos.
Si tu teléfono pierde cobertura de forma repentina e inexplicable, actúa de inmediato: llama a tu operadora desde otro dispositivo para verificar si se ha solicitado un duplicado de tu SIM, y contacta con tu banco para bloquear preventivamente tus cuentas. Cada minuto cuenta.
Es el patrón clásico del SIM swapping. El banco tiene obligación de responder. Analizamos tu caso sin compromiso.
Analizar mi casoLa sentencia del Tribunal Supremo que lo cambió todo para las víctimas
La Sentencia 571/2025, de 9 de abril, de la Sala de lo Civil del Tribunal Supremo, es el caso de referencia en SIM swapping en España. No por casualidad: los hechos que dieron lugar a esa resolución histórica son exactamente los de un ataque de este tipo.
Qué ocurrió en el caso Ibercaja
Un cliente de Ibercaja recibió un aviso de que su cuenta de correo electrónico había sido comprometida. Cuando fue a cambiar sus credenciales, los delincuentes ya tenían todo lo que necesitaban. Duplicaron la tarjeta SIM de su esposa —que era el número de contacto vinculado a la cuenta— y en una sola noche ejecutaron quince transferencias no autorizadas por un importe total superior a 83.000 euros.
El cliente avisó al banco en cuanto detectó los movimientos sospechosos. El banco intentó recuperar parte del dinero de las entidades de destino, pero solo logró 27.000 euros. El resto fue objeto de reclamación judicial.
Ibercaja alegó que las operaciones habían sido correctamente autenticadas y que el cliente había incurrido en negligencia grave. El Tribunal Supremo rechazó ambos argumentos y condenó al banco a reintegrar íntegramente el importe reclamado.
Qué estableció el Supremo: doctrina aplicable a todos los casos
La sentencia no se limitó a resolver el caso concreto. Sentó doctrina vinculante para todos los tribunales españoles en cuatro puntos fundamentales:
- Responsabilidad cuasi objetiva del banco: la entidad responde de las operaciones no autorizadas salvo que pruebe negligencia grave del cliente. La carga de esa prueba es del banco, no de la víctima.
- El SMS como segundo factor no es suficiente: el Supremo cuestionó directamente que un sistema de autenticación basado exclusivamente en códigos por SMS pueda considerarse seguro cuando existen alternativas tecnológicas más robustas. Si el banco mantiene un sistema vulnerable a técnicas de fraude conocidas, asume la responsabilidad de esa elección.
- La autenticación técnica no equivale a consentimiento: que las operaciones fueran técnicamente autenticadas no significa que el cliente las autorizara. La autenticación se realizó por el delincuente con la SIM duplicada, no por el titular legítimo de la cuenta.
- Las cláusulas exoneratorias del contrato no son válidas: el Supremo declaró inválidas las cláusulas contractuales que pretenden eximir automáticamente al banco de responsabilidad cuando el acceso fue técnicamente correcto, si dichas cláusulas contradicen la normativa vigente de servicios de pago.
Las entidades financieras no pueden considerar seguro un sistema de autenticación basado exclusivamente en códigos SMS cuando existen alternativas tecnológicas más robustas. La entidad bancaria que opta por mantener sistemas de verificación vulnerables a técnicas de fraude conocidas asume la responsabilidad derivada de dicha elección.
Por qué el banco responde aunque «el sistema funcionara correctamente»
Esta es la objeción que más repiten los bancos cuando reciben una reclamación por SIM swapping: «Los sistemas de seguridad operaron con normalidad. Las operaciones fueron autenticadas correctamente. No hubo ningún fallo técnico en nuestra parte.»
El argumento es técnicamente cierto. Y jurídicamente insuficiente.
El concepto de «deficiencia del servicio» que los bancos no pueden ignorar
La responsabilidad bancaria en estos casos no se limita a los fallos técnicos del sistema. Abarca también la elección de ese sistema. Si el banco sabe —y sabe, porque es público y notorio— que el SMS como segundo factor de autenticación es vulnerable al SIM swapping, y aun así lo mantiene como único mecanismo de verificación, la vulnerabilidad no es un accidente. Es una decisión.
La tecnología actual permite implementar sistemas de autenticación más robustos: aplicaciones específicas de autenticación que no dependen de la SIM, tokens físicos, biometría avanzada, validación conductual. Si el banco no los implementa, no puede después alegar que actuó con toda la diligencia exigible.
La obligación de detectar operaciones anómalas
Más allá del sistema de autenticación, los bancos tienen la obligación activa de detectar patrones inusuales en las operaciones de sus clientes. Quince transferencias en una sola noche, a cuentas nuevas, por importes que no corresponden al comportamiento habitual del titular, deben activar las alertas del sistema.
Si el banco permite ese vaciado sin intervenir, sin llamar al cliente, sin bloquear preventivamente las operaciones, esa inacción también genera responsabilidad. La jurisprudencia lo denomina deficiencia del servicio y sus consecuencias son las mismas que las de un fallo técnico directo.
El papel de la operadora: también puede ser responsable
En el SIM swapping hay dos entidades cuya actuación puede ser cuestionada: el banco y la operadora telefónica. Mientras la reclamación frente al banco suele centrarse en la falta de controles y la deficiencia del sistema de autenticación, la reclamación frente a la operadora se basa en algo más directo: emitió un duplicado de SIM sin verificar adecuadamente la identidad del solicitante.
Las multas millonarias de la AEPD a las operadoras españolas
La Agencia Española de Protección de Datos (AEPD) ha sancionado a las principales operadoras del país por emitir duplicados de SIM sin controles de verificación de identidad suficientes. Las multas impuestas a Vodafone, Orange, MásMóvil, Simyo, Telefónica y otras compañías han oscilado entre los 70.000 euros y los 3,94 millones de euros, con un total que supera los 5,8 millones de euros.
Estas sanciones son más que un reproche administrativo. Son el reconocimiento oficial de que los procedimientos de emisión de duplicados de las operadoras han sido, en muchos casos, manifiestamente insuficientes para proteger la identidad de sus clientes.
¿Puedes reclamar también a la operadora?
Sí, en determinadas circunstancias. Si la operadora emitió el duplicado de SIM sin seguir los protocolos de verificación adecuados, puede incurrir en responsabilidad civil por los daños causados. Esta vía puede plantearse de forma complementaria a la reclamación frente al banco, o como alternativa cuando la reclamación bancaria presenta más dificultades.
El análisis de la viabilidad de esta acción requiere conocer los detalles concretos del fraude: cómo se solicitó el duplicado, qué documentación aportó el delincuente y qué comprobaciones realizó la operadora antes de emitirlo.
Puede haber responsabilidad del banco, de la operadora o de ambos. Estudiamos cada caso individualmente para identificar todas las vías disponibles.
Consultar mi situaciónQué hacer si crees que estás sufriendo un SIM swapping ahora mismo
La velocidad de reacción es determinante. Desde que el delincuente activa la SIM duplicada hasta que vacía las cuentas pueden pasar menos de treinta minutos. Cada minuto sin actuar es un minuto que trabaja en tu contra.
Usa el teléfono de un familiar, el trabajo o cualquier otro dispositivo con conexión. Llama al servicio de atención al cliente de tu operadora e informa de que sospechas que se ha emitido un duplicado de tu SIM sin tu autorización. Pide que bloqueen la SIM duplicada y reactiven la original. Anota la hora exacta de la llamada y el nombre del agente que te atiende.
Contacta con el servicio de emergencias de tu banco —el número que aparece en tu tarjeta o en la web oficial— e informa de la situación. Pide el bloqueo preventivo de todas las cuentas, tarjetas y operaciones en curso. Si ya hay movimientos no autorizados, comunícalos uno a uno y solicita que quede constancia escrita.
Una vez recuperada la línea o usando otro dispositivo seguro, cambia las contraseñas de tu banca online, correo electrónico y cualquier cuenta vinculada a tu número de teléfono. Hazlo en ese orden: primero el correo, porque los delincuentes pueden usarlo para recuperar el acceso a otros servicios.
Interpón denuncia detallando los hechos: pérdida de cobertura, hora aproximada, movimientos bancarios no autorizados detectados y cualquier comunicación previa sospechosa. Menciona expresamente la técnica de SIM swapping. Si tu ciudad cuenta con unidad especializada en delitos tecnológicos, acude a ella.
Solicita a tu operadora el registro de la solicitud del duplicado: quién lo solicitó, cuándo, por qué canal y qué documentación se presentó. Conserva los extractos bancarios con los movimientos fraudulentos, los registros de llamadas de ese día y cualquier SMS o correo sospechoso recibido en días previos. Esa documentación será la base de la reclamación.
Envía una reclamación escrita al Servicio de Atención al Cliente de tu entidad, adjuntando la denuncia policial, los extractos con las operaciones no autorizadas y la documentación de la operadora. Solicita el reembolso íntegro. El banco tiene 15 días hábiles para responder. Guarda copia de todo lo enviado y el acuse de recibo.
Cómo reclamar al banco por SIM swapping: la vía legal explicada
Si el banco rechaza la reclamación inicial —lo que ocurre con frecuencia independientemente de los méritos del caso— el proceso no termina ahí. Hay una vía legal clara y bien respaldada jurídicamente.
Primera respuesta del banco: por qué casi siempre es negativa
El rechazo inicial del banco no suele ser una valoración individualizada de tu caso. Es una respuesta estandarizada, construida sobre los mismos argumentos de siempre: que las operaciones fueron autenticadas correctamente, que el sistema funcionó con normalidad, que no consta ningún fallo de seguridad imputable a la entidad.
Después de la STS 571/2025, esos argumentos son insuficientes por sí solos. Pero el banco los seguirá utilizando porque muchos afectados aceptan ese primer rechazo y no continúan. Es una estrategia que les funciona.
El Banco de España: un paso intermedio útil
Si el banco rechaza la reclamación o no responde en 15 días hábiles, puedes presentar el caso ante el Servicio de Reclamaciones del Banco de España. Este organismo analiza si la entidad actuó conforme a la normativa y emite un informe.
El informe no es vinculante —el banco puede ignorarlo— pero tiene un valor práctico relevante: un dictamen favorable al cliente en manos de un abogado es un argumento sólido para la fase judicial y, en muchos casos, lleva al banco a reconsiderar su posición antes de que llegue la demanda.
La vía judicial: cuando el caso está bien planteado, las probabilidades son altas
Cuando el banco mantiene su negativa, la demanda judicial es el camino. Y con la jurisprudencia actual, cuando el caso está correctamente documentado y planteado, las probabilidades de éxito son significativas.
Los elementos que fortalecen la posición del cliente en juicio son: la ausencia de prueba de negligencia grave por parte del banco, el patrón anómalo de operaciones que el banco no detectó ni bloqueó, el uso de SMS como único segundo factor en un contexto en que se sabe que esa tecnología es vulnerable al SIM swapping, y la rapidez con que el cliente notificó el fraude una vez detectado.
El plazo general de prescripción para reclamar al banco por operaciones no autorizadas en España es de cinco años desde que se produjo el fraude. Si sufriste un SIM swapping hace uno, dos o tres años y no llegaste a reclamar o el banco rechazó tu reclamación, puede que todavía estés en plazo.
Puede que el plazo siga abierto. La jurisprudencia del Tribunal Supremo que hoy te ampara no existía cuando ocurrió tu caso, pero se aplica igualmente. Consúltanos.
Comprobar si estoy en plazoPreguntas frecuentes sobre el SIM swapping bancario
¿Puede el banco alegar que yo debería haber protegido mejor mis datos?
Es un argumento que se intenta, pero que tiene muy poco recorrido jurídico en el contexto del SIM swapping. La víctima no cedió sus datos voluntariamente: fueron obtenidos sin su conocimiento, normalmente de filtraciones externas o mediante técnicas de ingeniería social. Además, el fallo crítico que permitió el fraude fue la emisión del duplicado de SIM por la operadora, algo completamente ajeno al control del cliente.
¿Qué pasa si el banco solo me devuelve una parte del dinero?
Algunos bancos ofrecen devoluciones parciales como solución extrajudicial. Antes de aceptar cualquier acuerdo, consúltalo con un abogado especializado. Aceptar una devolución parcial puede interpretarse como renuncia al resto y cerrar definitivamente la posibilidad de reclamar el importe completo. El banco siempre ofrece menos de lo que puede deber.
¿Y si las transferencias fraudulentas también incluyeron Bizum?
Sí, el Bizum entra dentro del régimen de responsabilidad por operaciones no autorizadas. La STS 571/2025 incluye expresamente operaciones realizadas por Bizum además de transferencias bancarias convencionales. El hecho de que sea un sistema de pago inmediato no exime al banco de su obligación de control y de reembolso.
¿Puedo reclamar aunque el banco diga que el fraude fue culpa de la operadora?
Sí. El banco y la operadora pueden ser responsables cada uno por su parte. El banco, por usar un sistema de autenticación vulnerable y por no detectar las operaciones anómalas. La operadora, por emitir el duplicado sin verificación adecuada. Estas responsabilidades no se excluyen entre sí. La reclamación puede dirigirse a ambos de forma independiente o coordinada.
¿Es necesario ir a juicio o puede resolverse antes?
No siempre es necesario llegar a juicio. Hay casos que se resuelven mediante acuerdo extrajudicial, especialmente cuando el banco comprende que la posición del cliente es sólida y que el riesgo de una sentencia desfavorable es real. Un abogado especializado puede negociar esa solución sin necesidad de litigar, o determinar cuándo la vía judicial es más adecuada para obtener el reembolso completo.
Lo que demuestra la STS 571/2025: el banco de tu caso puede responder igual que Ibercaja
El caso que dio lugar a la sentencia del Tribunal Supremo no es excepcional. Es el patrón habitual del SIM swapping: credenciales obtenidas previamente, duplicado de SIM, quince transferencias en una noche, el banco alega que todo fue correcto. El Supremo dijo que no era suficiente.
Ese criterio es ahora jurisprudencia vinculante. Se aplica a Ibercaja, pero también a cualquier otro banco que se encuentre en la misma posición. Si tu caso tiene los elementos que el Supremo consideró relevantes —ausencia de negligencia grave del cliente, patrón anómalo de operaciones no detectado por el banco, sistema de autenticación insuficiente— tienes una base jurídica real para reclamar.
La diferencia entre recuperar el dinero y no hacerlo suele estar en una sola decisión: reclamar o no reclamar.
¿Has sido víctima de SIM swapping?
El Tribunal Supremo ha establecido que el banco debe responder por este fraude salvo que pruebe tu negligencia grave. Si sufriste transferencias no autorizadas tras una pérdida de cobertura repentina, tienes base legal para reclamar. Cuéntanos tu caso y analizamos qué vías tienes disponibles.
Solicitar valoración de mi caso