Números reciclados: la amenaza de seguridad que no ves
Los números de teléfono reciclados representan una brecha de seguridad silenciosa que afecta a millones de personas en todo el mundo. Cuando abandonás un número celular, los operadores no lo dejan fuera de circulación; lo reasignan a un nuevo usuario después de algunos meses. El problema: ese número sigue vinculado a tus cuentas de email, redes sociales, banca y servicios críticos. Un investigador de la Universidad de Princeton descubrió que el 66% de los números reciclados examinados todavía tenían acceso activo a cuentas existentes, lo que permite account takeover completo si el nuevo propietario sabe qué hacer.
En 30 segundos
- Los números de teléfono reciclados son líneas que los operadores reasignan a nuevos usuarios después de que el propietario original las abandona.
- El 66% de los números estudiados aún tenían acceso a cuentas del usuario anterior, permitiendo robo de credenciales y acceso a 2FA.
- SMS es el método de autenticación más vulnerable a este ataque porque no verifica quién posee realmente el número en cada momento.
- Alternativas más seguras incluyen aplicaciones de autenticación (Google Authenticator, Authy), WebAuthn y passkeys que no dependen del número de teléfono.
- Antes de cambiar de número, desvinculalo de todas tus cuentas y cambia 2FA a un authenticator app.
¿Qué son los números de teléfono reciclados?
Un número de teléfono reciclado es una línea telefónica que un operador de telefonía reasigna a un nuevo usuario después de que el propietario anterior la abandona. Los números de teléfono son un recurso finito, así que los operadores (Movistar, Personal, Claro, etc.) mantienen un ciclo de reutilización para maximizar el inventario disponible.
El proceso es simple: abandonás tu número, lo dejas sin usar durante 3 a 12 meses (período de enfriamiento que varía por operador), y la compañía lo oferta a un nuevo cliente. Ese nuevo cliente recibe una línea “perfectamente normal” pero con un pasado digital que desconoce. Y acá viene el tema: todos los servicios en los que el usuario anterior se registró con ese número nunca fueron notificados del cambio de propietario. Tu banco, tu email, tus redes sociales, tus apps de inversión, todos siguen pensando que ese número te pertenece.
Cómo funcionan los ataques contra números reciclados
Ponele que compraste un número de teléfono usado. Recibís un SMS: “Código de verificación para tu cuenta de Google: 748392”. No es para vos, pero el código es válido. Esperás a que llegue otro SMS de Instagram: “Tu código de seguridad es 821554”. Nuevo. Distinto. También válido. En ese momento, sin hacer nada especial, ya tenés acceso potencial a las cuentas del usuario anterior si sabés cómo recuperar la contraseña usando el método de “enviar código al número registrado”.
El flujo de ataque es así:
- Obtenés un número reciclado (comprándolo en el mercado negro, robándolo de datos filtrados, o simplemente siendo el nuevo usuario que lo recibe).
- Visitás la página de recuperación de contraseña de cualquier servicio importante (Gmail, Outlook, Meta, etc.).
- Ingresás el número. El servicio envía un código de 6 dígitos por SMS.
- Recibís el código en el número reciclado.
- Usás el código para resetear la contraseña y accedés a la cuenta completa del usuario anterior.
Todo esto ocurre sin que el usuario original sepa nada hasta que (si es que se entera) empiece a recibir notificaciones extrañas o vea que sus datos fueron accedidos desde otro dispositivo.
Riesgos específicos para autenticación de dos factores (2FA)
El 2FA por SMS fue diseñado con la asunción fundamental de que si recibís un código en tu número, nadie más puede. La idea parece sólida. En la práctica, es vulnerable cuando ese número cambia de dueño. Complementá con ejecutar sistemas sin exposición de datos.
Ojo: el atacante no necesita piratear nada. No necesita acceso a tu teléfono, no necesita hacer phishing, no necesita malware. Solo necesita poseer el número reciclado y el conocimiento público (tu email, tu nombre de usuario de Netflix, lo que sea) para entrar como si fuera vos.
El estudio de la Universidad de Princeton examinó 259 números reciclados. De esos, 171 (66%) aún tenían acceso activo a cuentas existentes. De los 171, 100 (39% del total) tenían credenciales filtradas disponibles públicamente en internet (breaches históricos). Eso significa que cualquiera podría obtener esas credenciales de una base de datos comprometida y usarlas en combinación con el número reciclado para entrar sin fricción.
Pero hay más. 19 de los números estudiados recibían mensajes sensibles regularmente: códigos 2FA, recordatorios médicos, alertas bancarias, confirmaciones de pagos. El nuevo propietario del número, sin intención maliciosa, simplemente recibía información privada de otra persona todos los días.
Por qué SMS es el método más débil de autenticación
SMS no es 2FA moderno. Es un parche de seguridad del 2000 que todavía funciona porque es simple de implementar, y la mayoría de usuarios tiene teléfono. Pero NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) recomendó desde 2017 no usarlo para sistemas federales precisamente por vulnerabilidades como esta.
Los problemas de SMS:
- No está cifrado. Cualquiera con acceso a la infraestructura de telecomunicaciones (y sí, eso pasa) puede interceptarlo.
- No verifica propiedad actual. El servicio no sabe si el número te pertenece ahora o si fue reciclado.
- Es fuera de banda pero no es seguro. Muchos usuarios copian el código de SMS directamente a sus navegadores en el mismo dispositivo.
- Es vulnerable a SIM swapping: un atacante convence a tu operador de clonar tu SIM en otro teléfono.
- Es vulnerable a reciclaje: simplemente comprás o heredás el número.
En resumen: SMS confunde “tengo acceso a este número en este momento” con “poseo este número de forma legítima”, y esa confusión es la brecha.
Datos reales: el estudio de la Universidad de Princeton
En 2021, investigadores de Princeton (dirigidos por Kevin Lee y Arvind Narayanan) publicaron un análisis detallado de este problema. Compraron 259 números de teléfono reciclados en el mercado secundario y examinaron qué pasaba con ellos.
Los números exactos:
- 259 números examinados.
- 171 (66%) aún vinculados a cuentas de usuario activas.
- 100 (39%) tenían credenciales filtradas en breaches públicos.
- 19 recibían mensajes sensibles (SMS de 2FA, alertas médicas, transacciones bancarias).
- 45 recibían recordatorios de dos factores de servicios populares.
Lo más interesante: algunos números recibían códigos de verificación un par de veces al mes. El nuevo propietario no necesitaba ser un hacker; solo necesitaba aprovechar el flujo de recuperación de contraseña cuando llegaba un código.
Los investigadores notificaron a T-Mobile en diciembre de 2020. La empresa reconoció el problema pero no implementó cambios sustantivos de inmediato. El problema persiste hoy porque los servicios no tienen forma simple de verificar si un número cambió de propietario.
Casos reales de ataques documentados
Meta (Facebook/Instagram) fue criticada públicamente en 2021 cuando investigadores demostraron que podían acceder a cuentas de usuarios usando números reciclados. La empresa conocía el riesgo pero consideraba que era responsabilidad del usuario cambiar su número de recuperación. Tema relacionado: importancia de la privacidad digital.
En Rumania, la campaña FAN Courier (un servicio de logística) sufrió un ataque donde cuentas de más de 1 millón de usuarios fueron comprometidas parcialmente usando números reciclados. Los atacantes no obtuvieron acceso completo pero sí pudieron ver información de envíos y direcciones.
Casos de account takeover bancario también surgieron: un nuevo propietario de un número reciclado recibe el código de 2FA para un banco, accede a la cuenta, y realiza transferencias no autorizadas antes de que el usuario original se dé cuenta. Esto es raro porque los bancos son más cautos que Meta, pero sigue siendo posible si la verificación de identidad es laxo.
Alternativas más seguras a SMS para autenticación
Aplicaciones de autenticación (TOTP)
Google Authenticator, Authy, Microsoft Authenticator y aplicaciones similares generan códigos de 6 dígitos usando un algoritmo Time-based One-Time Password (TOTP). El código cambia cada 30 segundos y es imposible de interceptar porque se genera localmente en tu teléfono, no enviado por SMS.
Ventaja sobre SMS: la app genera el código, no depende de quién posea tu número. Incluso si tu número es reciclado, el código no llega por SMS al nuevo propietario.
Autenticación biométrica y WebAuthn
WebAuthn es un estándar moderno donde tu teléfono, computadora o una llave de seguridad física comprueban tu identidad sin enviar nada por internet. Tu huella digital o tu cara, autenticada localmente, es prácticamente imposible de suplantación sin poseer el dispositivo físico.
Passkeys
Las passkeys son la evolución de WebAuthn. Google, Apple y Microsoft ya las soportan. Funcionan de forma similar a WebAuthn pero están integradas en el ecosistema de dispositivos de cada fabricante. Sin teléfono que perder, sin código que interceptar. Ya lo cubrimos antes en herramientas de seguridad de última generación.
El estándar de seguridad (de mejor a peor): Passkeys > WebAuthn > TOTP > SMS. Si un servicio te deja elegir, elegí en ese orden.
Cómo protegerse antes de cambiar de número
Si planeás abandonar tu número, no esperes a que alguien lo reasigne y después se dé cuenta del problema. Hacé esto antes de cambiar:
- Desvincula el número de todas tus cuentas principales. Gmail, Outlook, Facebook, Instagram, TikTok, banco, PayPal, Wise, Stripe, etc. Entra a cada una, ve a “Seguridad” o “Configuración de cuenta”, y elimina el número de teléfono como método de recuperación.
- Cambia 2FA a una app de autenticación. Antes de desvincularlo, configura Google Authenticator o Authy como tu segundo factor en los servicios que importan.
- Actualiza tu dirección de email de recuperación. Asegurate de que tienes un email secundario guardado por si la principal se compromete.
- Notifica a tu operador. Algunos operadores te dejan “aparcar” tu número por un tiempo adicional si se lo pedís. Es raro que lo hagan gratis, pero vale preguntar.
- Revisa tu actividad reciente. Antes de abandonar el número, verifica en Gmail, Facebook, Amazon, etc. que no haya acceso no autorizado. Si ves logins extraños, cambia las contraseñas de inmediato.
Una nota práctica: el período entre que abandonás el número y que se reasigna es tu ventana de seguridad. Cuanto menos tiempo el número esté sin usar, mejor. Pero los operadores típicamente esperan 3 a 6 meses para reasignar, así que tenés tiempo si actuás rápido.
Errores comunes que comete la gente
Pensar que cambiar la contraseña resuelve el problema
Si tu número está vinculado como método de recuperación, un atacante puede saltarse tu contraseña completamente usando “Olvidé mi contraseña → Enviar código al número”. Cambiar la contraseña no ayuda si el atacante puede resetearla.
Asumir que un número “viejo” ya no está conectado
Muchos usuarios piensan “dejé de usar ese número hace dos años, no importa”. Incorrecto. Si nunca lo desvinculaste, sigue siendo tu método de recuperación por defecto en todas partes.
Confiar en que los servicios verifican la propiedad del número
Servicios como Google saben que SMS es vulnerable, pero no implementan verificación de propiedad en tiempo real. Simplemente envían el código. Tu responsabilidad es asegurar que el número sea tuyo. Esto se conecta con lo que analizamos en plataformas empresariales seguras.
Acá tenés más detalles en Recycled phone numbers pose a major security risk today and .
Usar SMS como único método de 2FA en cuentas críticas
Si tu banco, tu email o tus criptomonedas solo usan SMS para 2FA, estás expuesto. Configurá una app de autenticación como respaldo.
Tabla comparativa de métodos de autenticación
| Método | Seguridad | Facilidad | Vulnerable a números reciclados | Casos de uso |
|---|---|---|---|---|
| SMS | Baja | Muy alta | Sí | Solo como último recurso |
| Llamada telefónica | Baja | Alta | Sí | Recuperación de cuentas |
| TOTP (Google Authenticator) | Alta | Media | No | Recomendado para la mayoría |
| WebAuthn/FIDO2 | Muy alta | Media | No | Servicios modernos (Google, GitHub, AWS) |
| Passkeys | Muy alta | Media-alta | No | Futuro, ya disponible en Google/Apple/Microsoft |
Preguntas Frecuentes
¿Qué son exactamente los números de teléfono reciclados?
Son números que abandonaste y que los operadores reasignaron a nuevos clientes después de 3-12 meses. El nuevo propietario recibe un número que, para todos los servicios en línea, sigue siendo tuyo porque nunca lo desvinculaste.
¿Cuál es el riesgo real si pierdo acceso a mi número?
Si no desvinculaste el número de tus cuentas, cualquier persona que lo reciba puede entrar a Gmail, Instagram, TikTok, WhatsApp, y potencialmente a tu banco usando los flujos de recuperación de contraseña. El 66% de los números estudiados tenían acceso a cuentas activas del usuario original.
¿SMS para 2FA es seguro o no?
SMS es mejor que nada, pero es el método más débil de 2FA. NIST lo desaconseja desde 2017. Es vulnerable a números reciclados, SIM swapping e interceptación. Si tu servicio permite TOTP o WebAuthn, usá eso en lugar de SMS.
¿Cómo verifico si un número viejo mío aún está vinculado a mis cuentas?
Entra a cada servicio importante (Gmail, Facebook, Instagram, banco, PayPal) y ve a la sección de Seguridad o Configuración de cuenta. Busca “Número de teléfono” o “Métodos de recuperación”. Si ves tu número viejo listado ahí, desvinculalo inmediatamente.
¿Qué app de autenticación recomendás?
Google Authenticator es simple y ampliamente soportado. Authy tiene interface más amigable y permite respaldar tus códigos en la nube. Microsoft Authenticator es buena si usás ecosistema Microsoft. Cualquiera de las tres es más segura que SMS.
Conclusión
Los números de teléfono reciclados no son un problema hipotético. La Universidad de Princeton demostró que el 66% de los números reasignados aún tenían acceso a cuentas de usuarios previos. Eso significa que millones de personas están en riesgo ahora mismo, y la mayoría no lo sabe.
El verdadero culpable acá es SMS. Fue un parche de seguridad temporal que se convirtió en estándar, y ahora tiene un peso muerto de casi 20 años de inercia. Los servicios grandes (Google, Meta, bancos) tienen la capacidad técnica para detectar cuándo un número cambió de propietario, pero no lo hacen porque implementaría costos de verificación constante.
Te puede interesar...
Cloudflare refuerza la seguridad de tu WordPress
Cloudflare ha anunciado nuevas funciones de seguridad para WordPress que incluyen protección contra ataques de inyección de código y detección avanzada de actividades sospechosas.
Conocé la nueva alternativa HTTP para Python
Explorá por qué se desarrolló una nueva alternativa de cliente HTTP para Python, mejorando sobre HTTPX. Un análisis detallado de sus ventajas.
Ataque zero-day a Adobe Reader: ¡Actúa ahora!
Una vulnerabilidad crítica en Adobe Reader está siendo explotada activamente por hackers desde diciembre de 2026. Descubre cómo proteger tu equipo.
Google AI Overviews: ¿Cómo afecta tu SEO?
Google AI Overviews está cambiando las reglas del juego SEO. Descubre cómo esta tecnología expone las estrategias de SEO promedio y qué significa para tu posicionamiento en línea.
Domina los PRs Apilados en GitHub
Los PRs apilados son una técnica en GitHub que permite revisar y fusionar cambios de forma más eficiente. Descubre cómo funcionan y cuándo usarlos.
Docker Imágenes Endurecidas: Seguridad Probada
Hace un año elegimos el camino más difícil: implementar Docker imágenes endurecidas. Este análisis comparte nuestros aprendizajes, configuración y resultados tras 12 meses en producción.
