Intro

Durante mucho tiempo, el numero de telefono fue tratado como una senal razonable de identidad. No perfecta, pero util: sirve para registrar una cuenta, recuperar acceso, recibir un codigo, validar una operacion, medir reputacion, contactar soporte o frenar abuso basico.

El problema es que esa senal se industrializo.

Una SIM farm no es solamente "muchos chips juntos". Es una forma de convertir numeros telefonicos, SMS y llamadas en infraestructura programable. Donde una empresa ve un canal de verificacion, un actor abusivo ve inventario: numeros para crear cuentas, recibir codigos, rotar identidades, enviar mensajes, probar flujos, inflar trafico y esconder patrones.

Por eso el tema no pertenece solo al mundo telecom. Pertenece tambien a seguridad, producto, antifraude, infraestructura e identidad digital.

La pregunta incomoda es simple:

Que pasa cuando un sistema sigue tratando al numero telefonico como confianza fuerte,
pero el atacante puede operar numeros como si fueran recursos descartables?

Que es una SIM farm

Una SIM farm agrupa varias tarjetas SIM en equipos capaces de enrutar mensajes, llamadas o conexiones moviles a escala. En la practica puede aparecer como SIM boxes, SIM banks, gateways GSM o racks de dispositivos dedicados.

No hace falta convertir la explicacion en una guia operativa. La idea importante es esta: en vez de depender de un telefono y una linea, el atacante puede manejar muchos numeros desde una infraestructura centralizada.

Eso permite cambiar la economia del abuso. Crear una cuenta falsa deja de ser una accion manual. Enviar miles de SMS deja de depender de un telefono comun. Recibir codigos OTP deja de ser una friccion fuerte. Rotar numeros se vuelve parte del proceso.

El Home Office britanico definio en su consulta regulatoria a las SIM farms como dispositivos con cinco o mas tarjetas SIM que permiten enrutar llamadas o enviar mensajes desde un aparato fijo hacia redes moviles. La definicion legal puede variar por pais, pero la senal tecnica es clara: muchas SIM controladas desde un punto cambian el riesgo.

No es lo mismo que SIM swapping

Conviene separar conceptos.

SIM swapping es el secuestro o transferencia fraudulenta de una linea especifica, normalmente para tomar control de cuentas asociadas a una victima concreta.

Una SIM farm no necesita tomar la linea de una victima. Su fuerza esta en el volumen: muchos numeros, muchas altas, muchos mensajes, muchas identidades desechables y capacidad de operar en paralelo.

Ambos problemas pueden cruzarse dentro de ecosistemas de fraude, pero no son lo mismo. Confundirlos lleva a controles incompletos: proteger portabilidad y recuperacion de cuenta ayuda contra SIM swapping, pero no alcanza para detectar abuso masivo basado en pools de numeros.

Por que esto importa para identidad digital

Demasiados flujos siguen usando el numero de telefono como si fuera una prueba fuerte de confianza.

Se usa para:

  • registrar cuentas nuevas;
  • recuperar contrasenas;
  • enviar codigos OTP;
  • validar operaciones sensibles;
  • detectar usuarios duplicados;
  • limitar promociones o beneficios;
  • evaluar reputacion inicial;
  • activar cuentas en marketplaces;
  • contactar soporte o confirmar identidad.

Eso funcionaba mejor cuando conseguir y operar numeros tenia suficiente costo, friccion y trazabilidad. Las SIM farms degradan justamente esas tres variables.

Cuando un actor puede operar miles de numeros, el telefono deja de ser identidad y pasa a ser capacidad. Un sistema que no distingue esa diferencia puede terminar aceptando como "usuarios nuevos" lo que en realidad es infraestructura automatizada de abuso.

Que abusos habilitan

El caso mas visible es el smishing: mensajes SMS fraudulentos que imitan bancos, couriers, servicios publicos, billeteras, marketplaces o soporte tecnico.

Pero reducir el problema a "spam por SMS" queda corto.

Las SIM farms tambien pueden usarse para crear cuentas falsas, inflar registros, abusar promociones, recibir codigos OTP, ejecutar fraude de marketplaces, alimentar scam centers, disparar llamadas automatizadas, generar reputacion artificial y producir trafico SMS que termina costando dinero a terceros.

En algunos entornos aparece tambien el SMS pumping: el atacante fuerza envios de SMS hacia numeros bajo su control o hacia rutas donde tiene incentivo economico, generando costos artificiales para la empresa que paga la verificacion.

El patron comun es el mismo: explotar sistemas que siguen asociando telefono con legitimidad.

Lo que muestran los casos recientes

Europol reporto una operacion contra SIMCARTEL en la que se incautaron aproximadamente 1.200 dispositivos SIM box que operaban 40.000 tarjetas SIM, ademas de servidores y dominios asociados al servicio. El dato importante no es solamente el volumen, sino el modelo: infraestructura ofrecida como habilitador para que otros actores cometan delitos.

El U.S. Secret Service informo tambien el desmantelamiento de una red en el area de New York con mas de 300 SIM servers y 100.000 SIM cards. En ese caso, el foco publico estuvo en la amenaza a infraestructura de comunicaciones y eventos de alto perfil, no solo en fraude de baja escala.

El gobierno britanico, por su parte, consulto una regulacion especifica para SIM farms y describio su uso en scam texts, llamadas fraudulentas y mensajes masivos. En su economic note, el Home Office marco que estos dispositivos permiten enviar grandes volumenes de SMS de forma barata, rapida y dificil de detectar.

Leido en conjunto, el mensaje es consistente: las SIM farms son una capa fisica de infraestructura para abuso digital. No son una rareza marginal.

El error de diseno: confiar demasiado en SMS

SMS no es inutil. Sigue siendo practico, ubicuo y facil de entender para usuarios.

El error esta en usarlo como factor fuerte sin compensaciones.

Un codigo por SMS puede servir como una capa de friccion, una via de contacto o un mecanismo de recuperacion con controles adicionales. Lo riesgoso es convertirlo en prueba principal de identidad, en unico limite contra automatizacion o en senal casi suficiente para aprobar acciones sensibles.

El numero telefonico es portable, revendible, reciclable, interceptable por procesos sociales y explotable a escala. Ademas, el canal SMS tiene dependencias de carriers, rutas, agregadores, costos variables y visibilidad limitada para quien lo consume como API.

Si el producto solo pregunta "el usuario recibio el codigo?", ignora demasiadas cosas.

Deberia preguntar tambien:

  • cuantas cuentas dependen de este numero;
  • con que velocidad se activo;
  • desde que dispositivo y red opera;
  • si comparte patrones con otros numeros;
  • si genera costos SMS anormales;
  • si aparece en rutas o prefijos de alto riesgo;
  • si el comportamiento posterior coincide con un usuario real;
  • si el flujo es sensible y merece un factor mas fuerte.

Controles que si ayudan

La defensa no pasa por un unico control magico. Pasa por bajar la confianza implicita en el numero y sumar contexto.

Un primer paso es reducir el rol de SMS en autenticacion fuerte. Para operaciones sensibles, conviene priorizar passkeys, TOTP, push con protecciones contra fatiga, llaves de seguridad o flujos que combinen identidad de dispositivo, sesion, riesgo y aprobaciones.

El segundo paso es mirar comportamiento. Un numero nuevo que registra una cuenta no deberia tener el mismo peso que una identidad con historial, dispositivo consistente, patron humano y baja correlacion con abuso previo.

Tambien importan los limites. No solo por numero: por cuenta, IP, ASN, dispositivo, metodo de pago, huella de navegador, velocidad, pais, prefijo, proveedor, campaña, tenant y combinaciones de esas senales.

En productos con verificacion por SMS, el monitoreo de costos es parte de la seguridad. Un pico raro de envios, destinos atipicos o conversion baja entre SMS enviado y usuario real puede ser un indicador temprano de abuso.

Y hay una capa contractual: elegir proveedores de verificacion que aporten senales de riesgo, reputacion de numeros, controles antifraude, observabilidad y herramientas para bloquear patrones anormales.

Que deberia revisar una empresa

Una empresa que usa SMS como parte de sus flujos deberia mapear donde el numero telefonico decide cosas importantes.

Preguntas utiles:

  • El numero permite crear cuenta sin otra senal fuerte?
  • Sirve para recuperar acceso a datos sensibles?
  • Desbloquea promociones, credito, saldo o beneficios?
  • Es el unico factor para operaciones de riesgo?
  • Hay limites por costo y volumen de SMS?
  • Hay alertas por prefijo, pais, proveedor o conversion?
  • Se correlacionan numeros con dispositivos, cuentas y metodos de pago?
  • Hay un camino para migrar a factores mas fuertes?
  • Que pasa cuando el numero cambia de titular o se recicla?

La respuesta no siempre sera "eliminar SMS". A veces el producto necesita mantenerlo por cobertura, accesibilidad o mercado. Pero mantenerlo no significa confiarle mas de lo que puede sostener.

La idea central

Las SIM farms muestran una debilidad estructural: muchos sistemas siguen confundiendo disponibilidad de un numero con identidad confiable.

Ese supuesto ya no alcanza.

El telefono puede ser una senal. No deberia ser la base completa de confianza.

Cuando numeros, SMS y llamadas se vuelven infraestructura barata y programable, la defensa tiene que moverse hacia controles por riesgo, contexto, comportamiento, costos y factores de autenticacion mas fuertes.

El problema no es que existan SIM cards. El problema es seguir disenando productos como si operar numeros a escala fuera dificil.

Fuentes

  • Europol, "Cybercrime-as-a-service takedown: 7 arrested": https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-service-takedown-7-arrested
  • U.S. Secret Service, "U.S. Secret Service Dismantles Imminent Telecommunications Threat in New York": https://www.secretservice.gov/newsroom/releases/2025/09/us-secret-service-dismantles-imminent-telecommunications-threat-new-york
  • GOV.UK, "Preventing the use of SIM farms for fraud": https://www.gov.uk/government/consultations/preventing-the-use-of-sim-farms-for-fraud
  • GOV.UK, "SIM farm regulation: economic note": https://www.gov.uk/government/consultations/preventing-the-use-of-sim-farms-for-fraud/sim-farm-regulation-economic-note-accessible