SIM Swapping ya tiene consecuencias legales en México y las operadoras son responsables

INTRODUCCIÓN

El 8 de abril de 2026, el Pleno de la Suprema Corte de Justicia de la Nación emitió un fallo que cambia las reglas del juego para millones de usuarios de telefonía en México. El caso: una mujer en Ciudad de México fue víctima de SIM swapping, su operadora entregó su número a un tercero, y el resultado fue devastador. La Corte no solo reconoció el daño obligó a responder por él.

¿QUÉ ES EL SIM SWAPPING?

El SIM swapping también conocido como SIM hijacking o intercambio de SIM es un ataque en el que un delincuente convence o engaña a tu operadora de telefonía para que transfiera tu número de celular a una tarjeta SIM que él controla.

En cuestión de minutos, tu número deja de funcionar en tu dispositivo y empieza a operar en el del atacante. Lo que parece solo un problema técnico se convierte en una catástrofe: con tu número, el atacante puede interceptar los códigos de verificación por SMS que protegen tu banca en línea, tus correos, tus redes sociales y cualquier cuenta que use tu celular como segundo factor de autenticación.

Tu número de teléfono es hoy la llave maestra de tu identidad digital. Si alguien lo controla, puede restablecer contraseñas, autorizar transferencias bancarias y acceder a información privada sin necesitar tu dispositivo ni tu contraseña.

CÓMO OCURRE EL ATAQUE

El proceso sigue un patrón casi siempre igual:

Paso 1: Recolección de información

El atacante obtiene tus datos personales: nombre completo, CURP, dirección, datos del contrato con la operadora. Esta información suele comprarse en mercados clandestinos o extraerse mediante phishing y redes sociales.

Paso 2: Contacto con la operadora

El delincuente se presenta en una tienda o llama al centro de atención suplantando tu identidad. Argumenta que perdió el teléfono o que la SIM está dañada, y solicita una reposición de tu línea.

Paso 3: Activación de la nueva SIM

Si la operadora no aplica verificaciones robustas como ocurrió en el caso ante la SCJN entrega la SIM al impostor y tu número queda activo en manos del atacante. Tu teléfono pierde señal.

Paso 4: Toma de control digital

Con tu número operativo, el atacante recibe todos tus SMS de verificación. Restablece contraseñas, accede a tu banca, correo, cuentas de almacenamiento en la nube y cualquier servicio vinculado.

Paso 5: Daño patrimonial y/o extorsión

El ataque culmina con robo de dinero, filtración de información privada incluyendo fotografías íntimas en el caso documentado por la Corte, extorsión o venta de datos en mercados negros.

EL FALLO HISTÓRICO DE LA SCJN

El caso que llegó al Pleno involucró a una mujer en Ciudad de México. Su operadora entregó una SIM con su número a un tercero con una verificación mínima: solo se mencionó la presentación de una identificación oficial, sin documentar qué datos se verificaron, sin firmas, sin registros fotográficos ni evidencia objetiva del trámite. El atacante realizó el trámite en Chihuahua mientras la usuaria se encontraba en Ciudad de México, lo que evidenció fallas graves en los procesos de validación.

El resultado fue devastador: el atacante intentó realizar operaciones bancarias, accedió a sus cuentas digitales y obtuvo fotografías íntimas que fueron posteriormente difundidas.

La Suprema Corte fue contundente:

"La empresa telefónica incurrió en responsabilidad civil extracontractual subjetiva por actuar de manera negligente. Las concesionarias de telefonía están obligadas a resguardar los datos personales, la confidencialidad de las comunicaciones y la seguridad de las líneas, y no pueden entregar una SIM a un tercero sin medidas robustas de verificación."

— Pleno de la SCJN, Amparos Directos 25 y 26/2024, 8 de abril de 2026

La Corte también rechazó explícitamente los argumentos de la empresa que intentaban responsabilizar a la víctima por almacenar fotografías íntimas. El Pleno fue claro: esas decisiones no rompen el nexo causal ni eximen la negligencia empresarial. Exigió que estos casos se juzguen siempre con perspectiva de género.

¿ES DELITO EN MÉXICO? LA VERDAD QUE NADIE ESTÁ DICIENDO

Aquí está uno de los puntos más críticos del panorama legal actual: en México no existe un tipo penal específico llamado "SIM swapping". No está tipificado así en el Código Penal Federal ni en ningún código penal estatal, lo que genera un espacio real de impunidad para los atacantes.

Sin embargo, esto no significa que el ataque quede sin consecuencias penales. Las conductas que lo componen pueden encuadrarse en delitos ya existentes dependiendo del daño causado:

— Fraude (Art. 386 CPF): cuando el atacante obtiene un beneficio económico mediante engaño o suplantación de identidad ante la operadora o institución financiera.

— Acceso ilícito a sistemas informáticos (Art. 211 bis CPF): al acceder sin autorización a cuentas digitales, bancarias o correos electrónicos de la víctima tras tomar control del número.

— Revelación de secretos (Art. 210 CPF): si el atacante divulga información privada obtenida mediante el control ilícito de la línea.

— Violación a la intimidad sexual (Art. 199 Octies CPF): en casos donde material íntimo es obtenido y difundido sin consentimiento.

La SCJN reconoció la "posible comisión de hechos delictivos" y ordenó dar vista al Ministerio Público para que se inicien investigaciones. No declaró el SIM swapping como delito autónomo eso sigue siendo una tarea pendiente del Congreso. México necesita tipificarlo de forma específica, como ya lo han hecho otros países, para cerrar el espacio de impunidad que hoy existe.

LOS NUEVOS ESTÁNDARES QUE DEBEN CUMPLIR LAS OPERADORAS

Uno de los aportes más relevantes del fallo es que la Corte estableció un estándar mínimo de seguridad obligatorio para cualquier cambio de SIM:

1. Documentar el procedimiento Registro formal de cada solicitud, con respaldo documental auditable.

2. Verificación presencial de identidad Comprobación en persona con identificación oficial vigente. No basta con "presentar una credencial" sin cotejar datos.

3. Cotejo con el contrato original Los datos presentados deben verificarse contra los registros del contrato del titular legítimo.

4. Preguntas de seguridad Preguntas específicas relacionadas con el historial de uso de la línea, que solo el titular real podría responder.

5. Registros adicionales De ser posible, registro fotográfico del solicitante durante el trámite.

6. Notificación al titular Aviso a la línea original o al correo asociado para que el titular legítimo pueda reaccionar y oponerse a tiempo.

La Corte fue explícita: las empresas de telecomunicaciones no solo prestan un servicio técnico. Ocupan una posición de garante frente a los usuarios, y de su actuación depende evitar que terceros accedan a información altamente sensible.

CÓMO PROTEGERTE AHORA MISMO

El fallo de la SCJN es un avance legal importante, pero la mejor defensa siempre es la prevención:

✓ Migra a apps de autenticación. Usa Google Authenticator, Authy o Microsoft Authenticator en lugar de SMS para tus cuentas críticas. Los códigos de estas apps no pasan por tu número telefónico.

✓ Activa un PIN o código de seguridad con tu operadora. Todas las grandes operadoras en México permiten configurar un NIP adicional para cambios de cuenta. Llámales o visita la tienda y solicítalo explícitamente.

✓ Reduce lo que compartes en redes sociales. Tu fecha de nacimiento, dirección y lugar de trabajo son el insumo que los atacantes usan para suplantar tu identidad ante la operadora.

✓ Usa contraseñas únicas y un gestor de contraseñas. Si cada cuenta tiene su propia contraseña robusta, el alcance del ataque se limita drásticamente.

✓ Configura alertas de tu banco. Activa notificaciones por email o push no solo por SMS para cualquier movimiento o acceso a tus cuentas financieras.

✓ Desconfía de la pérdida repentina de señal. Si tu teléfono pierde cobertura de forma inesperada en una zona donde normalmente tienes señal, llama de inmediato a tu operadora desde otro dispositivo. Ese podría ser el primer síntoma del ataque.

SI YA ERES VÍCTIMA: QUÉ HACER

1. Llama de inmediato a tu operadora desde otro teléfono para reportar el fraude y solicitar la suspensión o reversión del cambio de SIM. Pide número de folio de la queja.

2. Contacta a tu banco para bloquear o congelar tus cuentas. Solicita que se reviertan todas las transacciones realizadas desde el momento del ataque.

3. Cambia las contraseñas de tus cuentas críticas (email, redes sociales, servicios en la nube) desde un dispositivo seguro y una red WiFi de confianza.

4. Denuncia ante la FGR o la Fiscalía local. Guarda todos los comprobantes: capturas de pantalla, registros de llamadas, estados de cuenta.

5. Presenta queja ante el IFT (Instituto Federal de Telecomunicaciones) si tu operadora no responde adecuadamente. El fallo de la Corte establece que tienen obligaciones claras y son responsables civiles por negligencia.

6. Documenta el daño para una posible demanda civil. Gracias al criterio de la SCJN, los usuarios en México ahora tienen un precedente claro: la operadora puede ser responsable por daño moral y patrimonial si actuó negligentemente.

CONCLUSIÓN

El fallo de la SCJN es un punto de inflexión. Por primera vez, México tiene un criterio judicial vinculante que coloca a las operadoras en una posición de garante de tu seguridad digital. Eso no elimina la amenaza, pero cambia el peso legal y abre la puerta a que las víctimas puedan exigir reparación.

Tu responsabilidad como usuario es no esperar a que la ley actúe sola: activa hoy la autenticación por app, habla con tu operadora sobre el PIN de seguridad, y trata tu número de teléfono como lo que es una llave maestra de tu vida digital.

---

Fuente: Comunicado de Prensa No. 055/2026, Suprema Corte de Justicia de la Nación.

Amparos Directos 25 y 26, ambos de 2024. Resueltos en sesión de Pleno el 08 de abril de 2026.

Las sentencias son la única versión oficial.

Contenido elaborado por RTFX Cyber con fines informativos.