Ataques SIM swap en cuentas de exchange cripto: qué bloquear primero
Checklist práctica para evitar SIM swap en exchanges: dejar de depender de SMS, proteger el email, añadir passkeys de respaldo, bloquear retiros y saber qué hacer si tu línea móvil cambia sin aviso.
Cómo revisamos esta guía
- Revisamos páginas oficiales de Coinbase sobre ataques por teléfono, verificación fuerte y bloqueo de cuenta; soporte de Kraken sobre passkeys, 2FA múltiple y teléfono perdido; orientación de Binance sobre códigos anti-phishing y API; y material de Ledger sobre malware de portapapeles para verificar transferencias.
Un SIM swap no es solo un problema del operador móvil. Para una cuenta de exchange cripto puede ser el camino más rápido desde “mi teléfono se quedó sin señal” hasta “alguien intenta restablecer mi acceso y retirar fondos”.
La buena noticia: puedes hacer que un SIM swap sea mucho menos útil antes de que ocurra. La meta es que tu número no sea la llave maestra para iniciar sesión, recuperar el email y aprobar retiros.
Respuesta corta
Si tu exchange todavía depende de SMS, corrígelo antes de añadir fondos importantes. Usa passkey o llave de seguridad cuando exista, protege el email asociado, añade un método de respaldo confiable y activa protecciones de retiro antes de necesitarlas.
| Riesgo | Ajuste más seguro |
|---|---|
| Inicio de sesión | Usa passkey, llave hardware o app autenticadora en vez de solo SMS. |
| Recuperación | Evita recuperación por teléfono cuando sea posible y protege el email con 2FA fuerte. |
| Retiros | Activa lista de direcciones o demoras para nuevas direcciones. |
| Alertas | Trata una pérdida repentina de señal como evento de seguridad. |
| Largo plazo | Mueve monedas que no operas a una wallet propia. |
Cómo afecta un SIM swap a una cuenta cripto
Coinbase describe los ataques telefónicos como casos en los que el atacante logra transferir el número de la víctima a un dispositivo bajo su control. Eso amenaza cuentas con verificación por SMS y cuentas recuperables por teléfono.
El camino típico es simple:
- Tu teléfono pierde servicio de repente.
- El atacante recibe códigos SMS o intentos de restablecimiento.
- Intenta entrar al exchange o al email vinculado.
- Si los retiros no están bloqueados, intenta mover fondos rápido.
El número de teléfono no debería bastar para abrir la cuenta, restablecer el email y aprobar retiros.
Qué bloquear primero
1. Sustituye la 2FA solo por SMS
Usa el método más fuerte que permita tu exchange. Coinbase recomienda métodos más fuertes como llave de seguridad, passkey o app autenticadora para prevenir ataques telefónicos. Kraken explica que las passkeys están vinculadas a la identidad real del sitio o la app, lo que ayuda contra phishing.
SMS puede servir para alertas, pero no debe ser el único factor de una cuenta con dinero.
2. Añade un respaldo que no sea el mismo número
La seguridad puede salir mal si tu único factor fuerte está en un teléfono perdido o robado. Coinbase documenta varios métodos 2FA y Kraken admite configuraciones con varias passkeys o 2FA.
Un buen patrón:
- una passkey o autenticador de uso diario;
- una llave hardware o passkey sincronizada guardada aparte;
- códigos de recuperación offline si la plataforma los ofrece.
No añadas a otra persona como respaldo por comodidad salvo que realmente deba controlar la cuenta.
3. Protege el email del exchange
Si tu email puede recuperarse con el mismo número, el exchange sigue expuesto. Usa contraseña única, 2FA fuerte y elimina teléfonos o emails de recuperación antiguos.
Es una tarea aburrida, pero muchos restablecimientos y avisos de retiro pasan por email.
4. Activa la lista de retiro antes de una emergencia
La lista de direcciones ayuda porque es incómoda. Si una nueva dirección tiene demora, un atacante no puede añadir una dirección fresca y vaciar la cuenta en minutos.
Configúrala con calma. Añade tu wallet, verifica la dirección y prueba con una cantidad pequeña. Nuestra lista de seguridad para cuenta de exchange cubre listas de retiro, códigos anti-phishing, API y dispositivos.
5. No guardes holdings de largo plazo en el exchange
Una cuenta endurecida sigue siendo una cuenta de exchange. Si compras para varios años, usa el exchange para entrar y luego retira a una wallet propia.
Empieza con mover cripto de un exchange a una hardware wallet. Si aún no elegiste wallet, mira mejor wallet cripto para principiantes.
Qué hacer si tu teléfono pierde servicio de repente
No hagas clic en enlaces de mensajes de pánico. Usa marcadores, URLs escritas o apps oficiales.
| Paso | Acción |
|---|---|
| 1 | Contacta al operador desde un canal confiable y pregunta si hubo cambio de SIM o portabilidad. |
| 2 | Bloquea o congela cuentas de exchange si sospechas acceso no autorizado. Coinbase documenta bloqueo de cuenta comprometida. |
| 3 | Protege primero el email si aún entras; después revisa sesiones y retiros. |
| 4 | Revoca sesiones desconocidas, cambia contraseñas y reemplaza 2FA comprometida. |
| 5 | Si quedan fondos, retira solo tras confirmar la dirección desde una wallet confiable. |
También hay riesgo de suplantación de soporte. Lee estafa de llamada de soporte cripto antes de seguir instrucciones urgentes.
SIM swap frente a malware de portapapeles y address poisoning
Un SIM swap ataca login y recuperación. Es distinto del malware que cambia una dirección pegada o del address poisoning que te hace copiar una dirección parecida del historial.
La guía de Ledger sobre portapapeles sigue siendo relevante: la pérdida final suele ocurrir durante una transferencia apurada. Verifica la dirección en una pantalla confiable.
| Amenaza | Qué ataca | Mejor hábito |
|---|---|---|
| SIM swap | Login o recuperación por teléfono | No uses SMS como único control. |
| Página phishing | Contraseña o 2FA | Usa passkeys, marcadores y evita enlaces. |
| Malware de portapapeles | La dirección pegada | Compara en pantalla confiable. |
| Falso soporte | Tu pánico | Nunca compartas códigos, seed phrase ni acceso remoto. |
Para quién es prioritario
Es urgente si usas un exchange con saldo relevante, SMS como 2FA principal, email recuperable por teléfono, retiros próximos a self-custody o claves API activas.
Si aún eliges exchange, empieza con mejor exchange cripto para principiantes y Kraken vs Coinbase.
Cómo revisamos esta guía
Revisamos páginas oficiales de Coinbase sobre ataques por teléfono, verificación fuerte y bloqueo de cuenta; soporte de Kraken sobre passkeys, 2FA múltiple y teléfono perdido; orientación de Binance sobre códigos anti-phishing y API; y material de Ledger sobre malware de portapapeles para verificar transferencias.
Conclusión
Un SIM swap es peligroso porque convierte tu número en superficie de ataque. Reduce su importancia: usa inicio de sesión resistente a phishing, protege la recuperación del email, bloquea retiros y mueve holdings de largo plazo a self-custody.
Recibe el resumen de Coin Buyer Guide
Un correo semanal práctico con nuevas guías de wallets, exchanges, tarjetas, impuestos y seguridad cripto, además de notas útiles del sector. Sin hype.