xmr.club
EN 中文 ES RU
← todo #OPSEC52
#OPSEC52 · semana 04 / 52 · Digital identity compartmentalization

Compartimentación del número de teléfono — un número nunca fue pensado para ser tu identidad

Tu número de teléfono supera al correo como llave maestra — es un ancla del mundo real que operadoras, brokers de datos y atacantes de SIM swap tratan como si fueras tú. Deja de dar el mismo número a tu banco, a tu exchange y a un foro cualquiera, y deja de confiar en que un SMS proteja nada.

Digital identity compartmentalization beginner $0–$5/mo (free app numbers + data-only eSIM; pay-per-use verification SMS) 2026-06-22

OPSEC52 / Semana 4 — Compartimentación del número de teléfono

Tu número de teléfono supera al correo como llave maestra — es un ancla del mundo real que operadoras, brokers de datos y atacantes de SIM swap tratan como si fueras tú. Deja de dar el mismo número a tu banco, a tu exchange y a un foro cualquiera, y deja de confiar en que un SMS proteja nada.

Modelo de amenaza: un atacante de SIM swap que se apodera de tu número para vaciar cuentas con 2FA por SMS; intercepción de SMS de clase SS7; y brokers de datos y apps que unen tus cuentas a través de un número compartido y ligado a la operadora que apunta directo a tu nombre legal y tu dirección.

La semana pasada le dimos a cada servicio su propio alias de correo. Esta semana arreglamos el identificador que es peor que un correo reutilizado: tu número de teléfono. El correo lo puedes rotar; un número de operadora está soldado a tu identidad legal, a tu dirección de facturación y a una SIM física que un atacante puede arrebatarte con ingeniería social.

Por qué un número es una llave maestra peor que el correo

Un alias de correo es solo una regla de reenvío. Un número de operadora es un ancla de identidad del mundo real: está atado a una cuenta con KYC, a una dirección de facturación y a una tarjeta SIM en una ranura que cualquiera en el mostrador de una tienda puede reemitir. Tres problemas se acumulan:

  1. Correlaciona. El mismo número entregado a tu exchange, tu banco, tu app de citas y un foro con fugas permite a los brokers unirlos todos, y un número es mucho más fácil de revertir a un nombre que un correo.
  2. Centraliza. Quien controle el número puede ejecutar «olvidé mi contraseña → mándame un código por SMS» en cada cuenta que lo permita.
  3. Es intercambiable. A diferencia de un correo que controlas de extremo a extremo, tu número vive en una operadora cuyo soporte puede ser convencido, sobornado o phisheado para portarlo a la SIM de un atacante. Eso es un SIM swap, y es la forma más común en que se vacían las cuentas cripto y de alto valor.

El 2FA por SMS es el eslabón débil, no la red de seguridad

Los códigos por SMS dan sensación de seguridad; son lo contrario. El SMS viaja por protocolos (SS7) que nunca se diseñaron para la confidencialidad, y todo se derrumba en el instante en que alguien controla tu número. Un número que usas para 2FA es un único punto de fallo para cada cuenta que hay detrás. La regla: el SMS es aceptable como canal de entrega para registros sin importancia, nunca como el candado de algo que odiarías perder.

Compartimenta: un número por nivel de confianza

La misma idea que las personas y los alias: haz que el identificador coincida con el contexto:

  1. Tu número real de operadora — nivel cero. No se lo des casi a nadie. Familia, quizá tu médico. Nunca a un exchange, un mercado ni nada de cara a internet. Si nunca toca una cuenta, no puede desbloquear ninguna.
  2. Un número VoIP / de app estable — cuentas cotidianas. Un número de larga duración de un proveedor VoIP o de app para las cuentas que conservas pero que no son tus joyas de la corona. Sobrevive, pero no es tu línea de operadora, así que un swap ahí no toca tu SIM real.
  3. Números de verificación desechables — de usar y tirar. Para los interminables muros de «verifica tu número para continuar» en servicios que usarás una vez, alquila un número de un solo uso por registro y deséchalo. El registro recibe un código; nunca expones un número que apunte a ti. Los proveedores de SMS / números de xmr.club cubren las opciones sin KYC aquí.

Para el lado de los datos, una eSIM solo de datos te mantiene conectado sin poner una línea de voz con KYC en tu dispositivo, útil al viajar o cuando simplemente no quieres que una identidad de operadora te siga entre contextos.

La prueba del SIM swap

Aquí está la recompensa, igual que la «prueba de filtración» de la semana pasada funcionó para el correo. Imagina a un atacante que intercambia tu número de operadora esta noche con éxito. En el mundo del número compartido, ejecuta restablecimientos de contraseña en tu exchange, tu banco, tu correo y tus redes antes de que notes que se apagan las barras de señal: fin del juego. En el mundo compartimentado, ese número no desbloquea nada, porque nada importante lo usa y nada importante confía en el SMS. El swap se convierte en una molestia (reemitir la SIM) en lugar de una catástrofe. Ese es todo el punto: ningún identificador único debería poder arruinarte la semana.

Errores comunes

Ver también

Curado por Cyber Satoshi

Compartir en X: twitter.com/intent/tweet