Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
La Corte Suprema mexicana falló por unanimidad contra AT&T por entregar un duplicado de tarjeta SIM sin verificar adecuadamente la identidad de la persona solicitante. La víctima no solo perdió el control de su actividad digital, además sufrió la divulgación de imágenes íntimas. El fallo sienta un precedente crucial estableciendo negligencia empresarial por no demostrar una verificación rigurosa al entregar la nueva SIM. Hablemos también de dónde salen los datos para la suplantación.
Este fraude permite que un atacante transfiera el número telefónico de una víctima a una tarjeta bajo su control. No es un hackeo técnico complejo, sino una mezcla de ingeniería social y fallas en los procesos de los operadores. El método aprovecha nuestra dependencia del número celular como pieza central de identidad y validación (frecuentemente usado para el “doble factor de autenticación”), permitiendo el acceso a bancos y redes sociales mediante el restablecimiento de contraseñas vía SMS.
En Colombia el SIM swapping es un riesgo creciente usualmente asociado con fraude bancario. Aparece en la cartilla metodológica de delitos informáticos de la Fiscalía y, en 2025, la Superintendencia de Industria y Comercio inició investigaciones a los cuatro principales operadores de celular por prácticas indebidas en la reposición de tarjetas. Cabe señalar que la experiencia de la víctima es traumática y silenciosa: una pérdida repentina de señal celular que termina en el descubrimiento de que alguien, que tenía tu información personal, ha suplantado su identidad frente al operador para “reponer” una SIM por supuesto robo o pérdida.
Eso fue lo que le pasó a la mujer en México. Quien obtuvo su número accedió a sus cuentas y difundió fotos íntimas que encontró allí. Para la Corte, la negligencia de AT&T fue clara: reconoció el reemplazo, pero solo indicó que entregó la tarjeta revisando una “identificación oficial”. No pudo explicar qué documento se presentó, qué datos verificó, ni mostró registros, firmas o evidencia objetiva del trámite.
En un mundo cada vez más digitalizado, este fallo demuestra que el número telefónico es una pieza central de nuestra identidad. La sentencia asigna responsabilidad civil a AT&T, indicando que existe una obligación reforzada de cuidado en la protección de datos personales, si no cumple es negligente y tendrá que reparar a la víctima. Para la Corte el SIM swapping es un riesgo grave para la privacidad, los datos personales, la seguridad patrimonial y la integridad emocional de las personas que usan los servicios celulares.
Además, la Corte hizo un llamado vital a la rama judicial para incorporar una perspectiva de género en estos casos, no deben trasladar a la víctima la responsabilidad por la violencia digital que sufre. El fallo lleva este delito más allá de lo financiero: hay otros impactos, esta mujer sufrió también afectaciones a su dignidad, honor y vida privada.
Finalmente, veamos otro ángulo: los criminales que se dedican al SIM swapping se alimentan de un mercado clandestino donde encuentran la información precisa para engañar a los operadores.
Hace un mes, a propósito del ciberataque a la DIAN que pudo exponer nuestros datos, señalé que ColCERT había actuado ligeramente. Como coordinador nacional de seguridad digital, debe mantener una postura más rigurosa en su función de prevenir y gestionar vulnerabilidades. Este mes, me alegró encontrar su informe trimestral sobre la exfiltración de datos -el robo o transferencia no autorizada de información- de colombianos.
Utilizando la metodología OSINT, el informe identifica nueve actores maliciosos y más de 40 entidades comprometidas, especialmente en los sectores de salud, educación y gobierno (el caso de la DIAN no aparece). Dos datos son reveladores: la mayoría no fueron ataques sofisticados y la causa es sobre todo la ausencia de procesos básicos de gestión de vulnerabilidades.
En el SIM swapping existe una responsabilidad ineludible de los operadores, pero también de las entidades que fallan en la protección de datos personales -como cédulas y contactos- que terminan alimentando mercados ilícitos. Por tanto, la seguridad de nuestra identidad digital está también vinculada a la responsabilidad de entidades públicas y privadas en la custodia de sus bases de datos. A esto se suma la cultura colombiana que normalizó la solicitud y entrega de datos para múltiples trámites y a cualquiera, sin mayor cuestionamiento. Esa casi infinita circulación de información personal incrementa el riesgo de filtraciones y su eventual uso indebido.
En todo caso este informe de ColCERT es oportuno y será referencia obligatoria para corregir el rumbo. Con él ColCERT pasa de ser reactivo a explicar el problema de raíz, permite que empresas y entidades públicas trabajen en sus debilidades y hablen del problema. El informe enfrenta la cultura del silencio en torno a la seguridad digital, y lo hace a partir de información pública, permite que la sociedad civil y otros órganos de control entendamos el fenómeno para aportar soluciones y, sobre todo, comenzar a exigir responsabilidades.
