Te roban el número de celular sin tocarte el teléfono, vacían tu cuenta en minutos y el banco te responde que actuaste con negligencia. Lo que debes saber antes de que eso te pase, y lo que puedes hacer si ya ocurrió.

Imagina que un día tu celular deja de tener señal. No hay llamadas, no hay mensajes, no hay datos. Piensas que es un problema del operador, reinicias el teléfono un par de veces y esperas. Lo que no sabes es que en ese mismo momento, alguien más está usando tu número telefónico para recibir los códigos de verificación de tu banco, cambiar tus claves de acceso y vaciar tus cuentas.

Eso es el SIM swapping. Y en Colombia ocurre con una frecuencia que las entidades financieras prefieren no publicitar.

Qué es exactamente el SIM swapping

El SIM swapping, o clonación de SIM, es una modalidad de fraude en la que un delincuente logra convencer a un operador de telefonía móvil de que él es el titular de tu número y solicita una reposición de la SIM card. Una vez que el operador activa la nueva SIM, tú pierdes toda conectividad y el atacante toma el control de tu línea telefónica.

¿Para qué le sirve tu número? Para una cosa muy específica y muy valiosa: recibir los mensajes de texto con los códigos de autenticación de dos factores que los bancos envían cuando alguien intenta acceder a tus cuentas, realizar transferencias o modificar tus datos de seguridad.

En otras palabras: tu número de celular es hoy la llave maestra de tu cuenta bancaria. Y los delincuentes lo saben mejor que tú.

Cómo ocurre el ataque paso a paso

El proceso es más sencillo de lo que parece y más difícil de detectar de lo que cualquier banco admitirá públicamente.

Primero, el atacante recopila tus datos personales: nombre completo, número de cédula, operador, y si es posible, los últimos dígitos de tu SIM o algunos datos de tu historial de llamadas. Esa información la obtiene por múltiples vías: bases de datos filtradas que circulan en la internet profunda, ingeniería social, phishing, o simplemente comprándola a empleados de operadores o de entidades que manejan tus datos.

Segundo, se presenta ante el operador —ya sea en un punto de atención físico con documentos falsificados, o mediante una llamada al servicio al cliente— y solicita una reposición de SIM bajo algún pretexto: pérdida del teléfono, daño del chip, o actualización.

Tercero, una vez que el operador activa la nueva SIM, el atacante tiene tu número. Desde ese momento, ingresa a tu banca en línea, solicita recuperación de contraseña, recibe el código de verificación en tu número —que ahora controla él— y accede a tus cuentas con plena autorización del sistema.

Cuarto: transfiere el dinero. Fraccionado, rápido, hacia cuentas de mulas financieras que a su vez mueven los recursos en cuestión de minutos. Para cuando tú te das cuenta de lo que pasó, el rastro ya se ha complicado.

“El banco diseñó un sistema de seguridad que depende de tu número de celular. Cuando ese sistema falla por una debilidad estructural, la responsabilidad no puede trasladarse al usuario.”

Por qué el banco sigue siendo responsable

Este es el punto donde la mayoría de las víctimas cede: el banco les dice que las transacciones fueron autorizadas con sus credenciales y los códigos de seguridad enviados a su número, y que por lo tanto la responsabilidad es de quien no protegió su información personal.

Esa posición es jurídicamente cuestionable, y en muchos casos insostenible.

La falla del motor antifraude

Los sistemas bancarios cuentan con motores de análisis de comportamiento que monitorean cada transacción en tiempo real. Esos sistemas evalúan variables como el dispositivo desde el que se accede, la ubicación geográfica, el horario, el monto, la frecuencia y el patrón histórico del cliente. Un acceso desde un dispositivo nuevo, seguido de cambio de clave, seguido de transferencias de alto monto en un perfil de cliente que no tiene ese comportamiento habitual, debería disparar alertas y detener las operaciones automáticamente.

Si el motor antifraude no lo hizo, la entidad financiera tiene una responsabilidad técnica que no puede ser trasladada al cliente. El deber de vigilancia activa no es una cortesía del banco: es una obligación derivada de la Circular Básica Jurídica de la Superintendencia Financiera y de los estándares de gestión del riesgo operacional que toda entidad vigilada debe cumplir.

La responsabilidad objetiva del sistema

La jurisprudencia colombiana, particularmente la sentencia SC5176-2020 de la Corte Suprema de Justicia, ha desarrollado con claridad el concepto de responsabilidad objetiva del sistema financiero frente al fraude electrónico. La entidad que diseña y opera el sistema asume el riesgo inherente a ese sistema. Cuando el fraude ocurre dentro del sistema —usando credenciales que el sistema validó como correctas porque su propio mecanismo de seguridad fue vulnerado— esa responsabilidad no desaparece por el hecho de que las credenciales fueran técnicamente válidas.

La carga dinámica de la prueba

El artículo 167 del Código General del Proceso, interpretado a la luz de la doctrina de la carga dinámica de la prueba, establece que quien está en mejor posición de probar un hecho debe asumir esa carga. En disputas de fraude electrónico, el banco tiene acceso a logs de acceso, registros de IP, datos de geolocalización, registros del motor antifraude y trazabilidad completa de cada transacción. El usuario no tiene nada de eso. Corresponde al banco demostrar que su sistema funcionó correctamente y que las medidas de seguridad fueron adecuadas, no al usuario demostrar que no fue él quien realizó las operaciones.

Qué hacer si ya eres víctima

PROTOCOLO DE LAS PRIMERAS 24 HORAS1. Llama al banco de inmediato y reporta el fraude. Solicita el bloqueo de todas las cuentas y tarjetas.2. Pide el número de radicado de la reclamación. Si no te lo dan, insiste: es tu derecho.3. Llama a tu operador de telefonía y reporta el robo de línea. Solicita la reactivación de tu SIM original.4. Interpón denuncia ante la Fiscalía por fraude informático (Art. 269G del Código Penal).5. Solicita al banco por escrito los registros de acceso, IPs, dispositivos y logs del motor antifraude.6. No borres ningún mensaje, correo ni notificación relacionada. Todo es evidencia.7. Consulta con un abogado especializado antes de firmar cualquier documento que te envíe el banco.

El tiempo en estos casos importa. Los registros técnicos que sustentan una reclamación exitosa tienen ventanas de conservación limitadas. Cada día que pasa sin actuar es un día que la evidencia se vuelve más difícil de obtener.

Lo que hemos visto en nuestra práctica

En Moratto Abogados hemos manejado casos de SIM swapping donde la entidad financiera negó inicialmente cualquier responsabilidad, argumentando que los códigos de autenticación habían sido correctamente enviados y recibidos. En todos esos casos, el análisis técnico del comportamiento transaccional y de los registros del sistema de seguridad del banco reveló anomalías que el motor antifraude debió haber detectado y no detectó.

La respuesta inicial del banco no es la respuesta definitiva. Es la primera línea de defensa de una entidad que cuenta con que la mayoría de las víctimas no sabe que puede pelear, y que si pelea, no sabe cómo hacerlo.

Nosotros sí sabemos.

¿Tu cuenta fue vaciada y el banco dice que el problema es tuyo?Lo primero que debes hacer es no aceptar esa respuesta. Contáctanos y analizamos tu caso sin costo.