Guía de tecnologías

Cómo protegerte del reciclaje de números de teléfono

9 min read Ciberseguridad Actualizado 19 Sep 2025
Protégete del reciclaje de números de teléfono
Protégete del reciclaje de números de teléfono

Un teléfono con un ícono rojo de reciclaje al lado

Por qué el reciclaje de números es peligroso

Los números de teléfono no son ilimitados. Cuando un operador marca un número como inactivo, lo devuelve al grupo disponible y lo reasigna a un nuevo cliente. Muchos servicios usan el número telefónico para verificación, recuperación de cuenta y como identificador principal (por ejemplo, algunas aplicaciones de mensajería). Si no desvinculas tu número antes de que se recicle, el nuevo titular podrá:

  • Recibir códigos de verificación y mensajes de recuperación por SMS.
  • Activar aplicaciones que usan el número como identificador único (p. ej., WhatsApp) y, en algunos casos, acceder a contactos y metadatos.
  • Suplantar identidad o forzar restablecimientos de contraseña.

Los atacantes buscan activamente números reciclados comparando bloques de números y cruzándolos con filtraciones para identificar cuentas potenciales que puedan explotar.

Qué es el período de enfriamiento y cuál es su papel

Los operadores suelen aplicar un período de enfriamiento antes de volver a asignar un número. Ese periodo varía según la compañía, pero típicamente es de 45–90+ días. Algunas aplicaciones usan su propio umbral para eliminar cuentas inactivas: por ejemplo, WhatsApp elimina una cuenta tras 120 días de inactividad. El periodo de enfriamiento ayuda al propietario anterior a desvincular servicios, pero no es infalible: muchos servicios no verifican la inactividad del número y reasignan acceso rápidamente.

Dato clave:

  • Período de enfriamiento común: 45–90+ días
  • WhatsApp: eliminación por inactividad a los 120 días

Cómo los atacantes explotan números reciclados

  • Recolección: buscan listas de números disponibles o paquetes secuenciales.
  • Correlación: cruzan números con bases de datos filtradas para identificar cuentas asociadas.
  • Ataque: solicitan códigos de verificación, solicitan restablecimientos por SMS o activan aplicaciones basadas en número.

Contraejemplo: si todas tus cuentas usan passkeys o autenticadores TOTP y no dependen del SMS, un número reciclado tiene impacto mínimo. Sin embargo, muchos servicios todavía permiten recuperación por SMS, que es el vector explotado.

Antes de desactivar o cambiar un número: plan de acción (SOP)

Sigue estos pasos en orden. Cada paso incluye resultados esperados y criterios para marcar como completado.

  1. Inventario de cuentas
    • Objetivo: enumerar todas las cuentas que usan tu número para verificación o recuperación.
    • Cómo hacerlo:
      • Buscar en tu correo electrónico términos con comillas: "09991234567" o tu número con formato local.
      • Revisar tu gestor de contraseñas para entradas que incluyan el número.
      • Abrir páginas de conexiones sociales (Google: Aplicaciones conectadas; Facebook: Aplicaciones y sitios web).
      • Revisar mensajes SMS y correos para ver servicios que envían notificaciones o promociones.
    • Resultado: lista completa de cuentas con URL de gestión.

Buscar en Gmail con barra de búsqueda en foco

  1. Desvinculación y migración de 2FA

    • Objetivo: eliminar el número como método de recuperación y 2FA cuando sea posible.
    • Acciones:
      • Entrar en cada cuenta y eliminar el número en la sección de datos personales o seguridad.
      • Añadir métodos alternativos: correo secundario, autenticador TOTP (Google Authenticator, Authy), o passkeys si están disponibles.
      • Para servicios que requieren número (mensajería), usar la opción oficial de cambio de número.
    • Resultado: número eliminado o método de recuperación alternativo configurado.

  2. Migración en aplicaciones de mensajería

    • WhatsApp: Ajustes → Cuenta → Cambiar número (o Eliminar cuenta si ya no usarás el servicio). Haz copia de seguridad si quieres conservar chats.
    • Signal: Ajustes → Cuenta → Cambiar número/registrar nuevo.
    • Telegram: en Ajustes, verifica sesiones y añade un nuevo número si aplica.
    • Resultado: cuenta re-asociada o eliminada correctamente.

Lista de aplicaciones conectadas en la cuenta de Google

  1. Cancelar suscripciones y promociones

    • Responde a mensajes promocionales con STOP o UNSUBSCRIBE cuando indique la opción.
    • Revisa configuraciones de comunicación en cada servicio y quita la casilla de mensajes promocionales.
    • Resultado: reducción de datos de marketing que podrían ayudar al nuevo propietario a identificarte.

  2. Notificar contactos críticos

    • Enviar un mensaje a contactos importantes (trabajo, familia, proveedores) informando tu cambio de número. Incluye instrucciones para actualizar su libreta.
    • Plantilla rápida: “Cambio de número: mi nuevo número es +34 6XXXXXXXX. Por favor, actualiza mis datos.”

  3. Monitoreo post-desactivación

    • Durante el período de enfriamiento, revisa actividad en cuentas y correo por intentos de restablecimiento.
    • Mantén el antiguo número activo si es crítico (ver sección de prevención más abajo).

Opciones de cuenta en WhatsApp mostrando Cambiar número y Eliminar cuenta

Checklist rápido (lista imprimible)

  • Buscar número en correo con comillas
  • Revisar gestor de contraseñas
  • Revisar Google/Facebook/Apple: aplicaciones conectadas
  • Eliminar número en bancos y servicios financieros (si es posible, confirmar por teléfono)
  • Cambiar número en mensajería (o eliminar cuenta)
  • Desactivar SMS promocionales y darse de baja en correos
  • Notificar contactos críticos
  • Mantener línea activa si no se puede desvincular todo

Plantillas útiles

Mensaje a contactos:

Hola, cambio de número. Mi nuevo número es +34 6XXXXXXXX. Guarda este número y avísame si necesitas confirmar algo.

Correo a servicio / data broker para solicitud de eliminación:

Asunto: Solicitud de eliminación de número telefónico

Hola,

Solicito que se elimine o actualice mi número de teléfono +34 6XXXXXXXX de sus bases de datos y listados públicos relacionados con mi persona. Favor confirmar por escrito la eliminación.

Gracias.

Alternativas a la verificación por SMS (qué usar en su lugar)

  • Passkeys: autenticación sin contraseñas, resistente a phishing. Si un servicio lo soporta, es la mejor opción.
  • Autenticadores TOTP: aplicaciones como Authy, Microsoft Authenticator o Google Authenticator.
  • Notificaciones push para 2FA: más seguras que SMS y fáciles de usar.
  • Correo electrónico seguro para recuperación: usar un correo secundario con 2FA activado.

Importante: Si tu banco exige tu número, verifica con la entidad cómo mitigan la reasignación de números (pregunta por procesos de validación adicionales).

Mapa de decisión (¿debo mantener o desactivar el número?)

flowchart TD
  A[¿Cambiar número?] -->|No| B[Mantener número activo: pagar facturas o recargar]
  A -->|Sí| C[¿El número está vinculado a cuentas críticas?]
  C -->|Sí| D[Desvincular todas esas cuentas → Migrar 2FA]
  C -->|No| E[Desactivar y notificar contactos]
  D --> F{¿Todo desvinculado?}
  F -->|Sí| E
  F -->|No| G[Mantener línea hasta completar desvinculación]
  G --> E

Role-based checklists (tareas por rol)

Individual / Usuario promedio:

  • Inventariar cuentas personales.
  • Configurar autenticador TOTP y correo secundario.
  • Cambiar número en mensajería o eliminar cuenta.

Pequeña empresa / Emprendedor:

  • Actualizar registros de clientes y canales de atención.
  • Informar a clientes sobre cambio de canal telefónico.
  • Validar con banco y proveedores de servicios que la nueva gestión es segura.

Administrador de TI / Seguridad:

  • Bloquear recuperación por SMS cuando sea posible.
  • Enrollar passkeys y gestionar tokens de hardware o U2F.
  • Crear procedimiento de offboarding para números de empleados.

Cuando las mitigaciones pueden fallar (casos límite)

  • El operador reasigna el número antes de que completes la desvinculación.
  • Un servicio no permite eliminar el número sin verificación por SMS y esa verificación ya no es posible.
  • El número aparece en terceros (data brokers) que no responden rápidamente a solicitudes de eliminación.

Mitigaciones para estos fallos:

  • Mantener la línea activa hasta completar todos los pasos.
  • Contactar soporte del servicio y activar alternativas de verificación (correo, verificación presencial en banco).
  • Usar medidas legales o protección de datos (ver sección legal) para exigir eliminación.

Matriz de riesgos y mitigaciones

  • Riesgo: Toma de cuenta por SMS

    • Probabilidad: Media–Alta
    • Impacto: Alto
    • Mitigación: Eliminar SMS como método de recuperación; usar passkeys/TOTP

  • Riesgo: Suplantación en aplicaciones de mensajería

    • Probabilidad: Media
    • Impacto: Medio–Alto
    • Mitigación: Cambiar número en la app o eliminar cuenta y verificar contactos esenciales

  • Riesgo: Filtración de identidad a través de mensajes promocionales

    • Probabilidad: Media
    • Impacto: Medio
    • Mitigación: Darse de baja de listas y eliminar datos de brokers

Notas legales y de privacidad (RGPD/CCPA)

  • En la Unión Europea (RGPD), puedes solicitar la rectificación o supresión de tus datos personales a empresas y data brokers.
  • En jurisdicciones con CCPA/privacidad similar, pide la eliminación o el opt-out de venta de datos.
  • Conserva registros (capturas de pantalla, correos) de tus solicitudes de eliminación como evidencia.

Nota: No todos los data brokers responden con rapidez; recurrir a servicios especializados de eliminación de datos puede acelerar el proceso pero tiene coste.

Consejos específicos para servicios populares

  • WhatsApp: usar Ajustes → Cuenta → Cambiar número para migrar chats; usar Eliminar cuenta si te desvinculas completamente.
  • Signal: registrar la nueva línea dentro de la app y transferir datos si es necesario.
  • Telegram: puedes usar sesiones en múltiples dispositivos y cambiar el número en Ajustes.

Riesgos adicionales y prácticas recomendadas

  • No uses el número como único factor para cuentas valiosas (correo, banco, redes sociales).
  • Activa notificaciones de seguridad en tus cuentas (alertas de inicio de sesión).
  • Revisa periódicamente (cada 6–12 meses) el inventario de cuentas asociadas a tu número.

Resumen final

El reciclaje de números es un riesgo real y evitable: planifica con antelación, desvincula números de tus cuentas, migra a métodos de autenticación sin SMS y usa el playbook anterior cuando vayas a cambiar o desactivar un número. Si no puedes desvincular todo, mantén la línea activa hasta completar el proceso.

Importante: mantener la línea activa (pagando la tarifa o recargando el prepago) es la forma más sencilla de evitar reinicios no deseados si no puedes eliminar todas las asociaciones.

Notas:

  • Antes de desactivar: crea un inventario y sigue la SOP.
  • Si detectas actividad sospechosa después de ceder un número, contacta a los servicios afectados y al operador inmediatamente.
Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

Podman en Debian 11: instalación y uso
DevOps

Podman en Debian 11: instalación y uso

Apt-pinning en Debian: guía práctica
Sistemas

Apt-pinning en Debian: guía práctica

OptiScaler: inyectar FSR 4 en casi cualquier juego
Guía técnica

OptiScaler: inyectar FSR 4 en casi cualquier juego

Dansguardian + Squid NTLM en Debian Etch
Redes

Dansguardian + Squid NTLM en Debian Etch

Arreglar error de instalación Android en SD
Android

Arreglar error de instalación Android en SD

Conectar carpetas de red con KNetAttach
Redes

Conectar carpetas de red con KNetAttach