La Corte Suprema mexicana falló por unanimidad contra AT&T por entregar un duplicado de tarjeta SIM sin verificar adecuadamente la identidad de la persona solicitante. La víctima no solo perdió el control de su actividad digital, sino que también sufrió la divulgación de imágenes íntimas. Este fallo sienta un precedente crucial al establecer negligencia empresarial por no demostrar una verificación rigurosa al entregar la nueva SIM.
¿Qué es el SIM swapping?
Este fraude permite que un atacante transfiera el número telefónico de una víctima a una tarjeta bajo su control. No se trata de un hackeo técnico complejo, sino de una combinación de ingeniería social y fallas en los procesos de los operadores. El método aprovecha nuestra dependencia del número celular como pieza central de identidad y validación, utilizado frecuentemente para el doble factor de autenticación, permitiendo el acceso a bancos y redes sociales mediante el restablecimiento de contraseñas vía SMS.
El SIM swapping en Colombia
En Colombia, el SIM swapping es un riesgo creciente, usualmente asociado con fraude bancario. Aparece en la cartilla metodológica de delitos informáticos de la Fiscalía y, en 2025, la Superintendencia de Industria y Comercio inició investigaciones a los cuatro principales operadores de celular por prácticas indebidas en la reposición de tarjetas. La experiencia de la víctima es traumática y silenciosa: una pérdida repentina de señal celular que termina en el descubrimiento de que alguien, que tenía su información personal, ha suplantado su identidad frente al operador para reponer una SIM por supuesto robo o pérdida.
El caso de la mujer en México
Eso fue lo que le pasó a la mujer en México. Quien obtuvo su número accedió a sus cuentas y difundió fotos íntimas que encontró allí. Para la Corte, la negligencia de AT&T fue clara: reconoció el reemplazo, pero solo indicó que entregó la tarjeta revisando una identificación oficial. No pudo explicar qué documento se presentó, qué datos verificó, ni mostró registros, firmas o evidencia objetiva del trámite.
Implicaciones del fallo
En un mundo cada vez más digitalizado, este fallo demuestra que el número telefónico es una pieza central de nuestra identidad. La sentencia asigna responsabilidad civil a AT&T, indicando que existe una obligación reforzada de cuidado en la protección de datos personales. Si no cumple, es negligente y tendrá que reparar a la víctima. Para la Corte, el SIM swapping es un riesgo grave para la privacidad, los datos personales, la seguridad patrimonial y la integridad emocional de las personas que usan los servicios celulares. Además, la Corte hizo un llamado vital a la rama judicial para incorporar una perspectiva de género en estos casos: no deben trasladar a la víctima la responsabilidad por la violencia digital que sufre. El fallo lleva este delito más allá de lo financiero, reconociendo impactos en la dignidad, el honor y la vida privada.
El mercado clandestino de datos
Finalmente, veamos otro ángulo: los criminales que se dedican al SIM swapping se alimentan de un mercado clandestino donde encuentran la información precisa para engañar a los operadores. Hace un mes, a propósito del ciberataque a la DIAN que pudo exponer nuestros datos, señalé que ColCERT había actuado ligeramente. Como coordinador nacional de seguridad digital, debe mantener una postura más rigurosa en su función de prevenir y gestionar vulnerabilidades. Este mes, me alegró encontrar su informe trimestral sobre la exfiltración de datos de colombianos.
Utilizando la metodología OSINT, el informe identifica nueve actores maliciosos y más de 40 entidades comprometidas, especialmente en los sectores de salud, educación y gobierno (el caso de la DIAN no aparece). Dos datos son reveladores: la mayoría no fueron ataques sofisticados y la causa es sobre todo la ausencia de procesos básicos de gestión de vulnerabilidades.
Responsabilidades compartidas
En el SIM swapping existe una responsabilidad ineludible de los operadores, pero también de las entidades que fallan en la protección de datos personales, como cédulas y contactos, que terminan alimentando mercados ilícitos. Por tanto, la seguridad de nuestra identidad digital está vinculada a la responsabilidad de entidades públicas y privadas en la custodia de sus bases de datos. A esto se suma la cultura colombiana que normalizó la solicitud y entrega de datos para múltiples trámites y a cualquiera, sin mayor cuestionamiento. Esa casi infinita circulación de información personal incrementa el riesgo de filtraciones y su eventual uso indebido.
El informe de ColCERT
En todo caso, este informe de ColCERT es oportuno y será referencia obligatoria para corregir el rumbo. Con él, ColCERT pasa de ser reactivo a explicar el problema de raíz, permitiendo que empresas y entidades públicas trabajen en sus debilidades y hablen del problema. El informe enfrenta la cultura del silencio en torno a la seguridad digital, y lo hace a partir de información pública, permitiendo que la sociedad civil y otros órganos de control entendamos el fenómeno para aportar soluciones y, sobre todo, comenzar a exigir responsabilidades.
