El ENORME problema de la identidad e inicio de sesión a través del móvil - Recycled Numbers

by Paul McGuire | noviembre 3, 2025
Números de móvil reciclados

Utilizar un número de teléfono móvil como credencial de identidad parece algo natural en el mundo actual, que da prioridad a los dispositivos móviles y a las aplicaciones, y así debe ser. Pero bajo la comodidad se esconde un grave riesgo.

 

Cuando los números de móvil se utilizan sin estar vinculados de forma segura a la tarjeta SIM subyacente, se crean graves lagunas de seguridad. Los operadores de redes móviles (ORM) reciclan habitualmente los números de móvil inactivos y los reemiten, con una nueva tarjeta SIM, a nuevos usuarios. Este proceso puede ser rápido, a veces en cuestión de semanas. 

 

El riesgo es que el nuevo propietario del número de teléfono móvil tenga acceso a cualquier información en línea. cuentas creadas por el propietario anterior, en las que se utilizó el número de móvil para iniciar sesión. Algunos ejemplos son cuentas de redes sociales, cuentas bancarias, registros sanitarios y cuentas de comercio electrónico.

 

¿Cuál es el resultado? Adquisiciones accidentales de cuentas, fraudes y daños a la reputación de las empresas implicadas.

 

Es un gran riesgo, pero tiene fácil solución: vincular el número de móvil a la propia tarjeta SIM. Pero para entender por qué es fundamental, veamos primero cómo se producen los números reciclados y por qué se han convertido en una amenaza de seguridad tan persistente.

 

Por qué se reciclan los números

La demanda mundial de números de móvil sigue creciendo, pero la reserva de números disponibles es limitada. Para mantener el ritmo, los operadores reciclan sistemáticamente los números inactivos. Dependiendo del mercado, esto puede ocurrir en tan solo una semana. Un número que en su día estuvo vinculado a una cuenta bancaria, a un perfil en una red social o a una aplicación médica puede ser reasignado inadvertidamente a un nuevo cliente.

 

  • En Estados Unidos, cada año se reciclan unos 35 millones de números de teléfono, debido a la escasez de números asignables. 
  • En el Reino Unido, los proveedores de telefonía móvil suelen reciclar los números en un plazo de 70-180 días. 
  • A estudio de 259 números reciclados descubrió que 215 eran efectivamente reciclados y seguían siendo vulnerables a la explotación

 

El riesgo para la seguridad

Cuando los números de móvil se utilizan como identificadores digitales para cuentas en línea, los números reciclados -los que se reasignan a nuevos usuarios tras ser desconectados- pueden crear graves riesgos para la seguridad y la privacidad. Un nuevo propietario puede acceder sin saberlo a las cuentas del anterior mediante el restablecimiento de contraseñas, códigos de autenticación de dos factores o servicios vinculados que sigan vinculados a ese número. Esto puede llevar a la apropiación de cuentas, exposición de datos e incluso fraude financiero.

 

  • Adquisición de cuentas: Los restablecimientos de contraseña y los mensajes SMS de 2FA se envían a la persona equivocada.
  • Secuestro de mensajes: Servicios como WhatsApp o Telegram pueden ser reclamados por el nuevo propietario.
  • Encadenamiento de fraudes: Una vez dentro de una cuenta, los atacantes pueden pivotar e intentar obtener acceso a cuentas bancarias, monederos digitales y otros servicios vinculados.

 

No sólo corren peligro los usuarios. Las marcas que confían en los SMS OTP o en la recuperación de números de móvil se exponen a daños en su reputación cuando los números reciclados abren la puerta al fraude.

 

Por qué el SMS OTP empeora las cosas

Contraseñas de un solo uso por SMS (OTPs) son problemáticas en este contexto porque se basan en el número de teléfono y no en la propiedad verificada de la tarjeta SIM o el dispositivo. Cuando se recicla o transfiere un número, las OTP por SMS pueden enviarse a un nuevo usuario que ahora controle ese número, dándole acceso involuntario a las cuentas de otra persona. Además, los mensajes SMS pueden ser interceptados mediante ataques de intercambio de SIM o exploits a nivel de red, lo que los hace vulnerables al fraude. En resumen, los SMS OTP suponen que la persona que tiene el número es el propietario legítimo de la cuenta, lo que se rompe cuando los números se reasignan o se ven comprometidos.

 

La mejor manera: Autenticación basada en SIM

La solución no es abandonar los números de móvil -son demasiado importantes-, sino verificarlos correctamente. 

 

Cada número de móvil (llamado MSISDN) está vinculado a una tarjeta SIM (física o eSIM). Cada tarjeta SIM tiene un identificador físico (el ICCID) y un número que el operador de telefonía móvil asigna a la SIM cuando asigna un número de móvil a esa tarjeta SIM y la entrega a un usuario. Este número se denomina IMSI (Identidad internacional de abonado móvil). Es la combinación del número de móvil y la identidad SIM que debe comprobarse al utilizar el móvil como credencial de identidad.

 

Si tu método de verificación sólo comprueba el número de móvil (que es lo que hace el SMS OTP) y no la tarjeta SIM, corres el riesgo de que cuando se recicle el número de móvil no lo sepas y corras el riesgo de exponer datos de usuario, PII, y permitir el acceso no autorizado a la cuenta.

 

Al verificar no sólo el número de móvil, sino también la tarjeta SIM, puede asegurarse de que la SIM vinculada actualmente a ese número es legítima, está activa y coincide con la identidad digital establecida del usuario. Si el número se ha reciclado o la tarjeta SIM ha cambiado, el sistema puede detectar la falta de coincidencia y activar un nuevo proceso de verificación antes de conceder el acceso. En unir el número, la SIM y la identidad verificada, Además, las plataformas pueden mantener un vínculo de confianza “vivo” que se rompe automáticamente cuando se reasigna el número, lo que elimina el riesgo de que las cuentas antiguas queden expuestas a los nuevos titulares del número.

 

Construir una base de confianza con la identidad móvil

Los números reciclados son sólo un ejemplo de cómo los enfoques heredados, como el SMS OTP, ya no pueden garantizar la seguridad de los servicios digitales. El futuro está en la identidad móvil determinista y en tiempo real: verificar los números de móvil de forma segura con el operador de telefonía móvil en tiempo real, vincular los números a las SIM y eliminar al ser humano del modelo de seguridad. 

 

Este cambio no sólo reduce el fraude, sino que también ofrece la experiencia sin fricciones que los usuarios esperan ahora y crea una sólida base de confianza sobre la que construir una identidad en línea completa.

 

Descubra más sobre cómo IDlayr puede ayudarle resolver Reciclado Número riesgo.