Celular robado y fraude bancario: el plan de 60 minutos
Te roban el celular y en menos de 22 minutos ya vaciaron tu cuenta. El plan exacto: bloquea SIM, congela banca, denuncia ante el Ministerio Público en el orden correcto.
En esta página 7 secciones
- Por qué un celular robado equivale a una cuenta bancaria robada
- Cómo los ladrones sortean la autenticación biométrica
- El plan de 60 minutos: secuencia exacta
- La cadena del SIM swap
- Protección al consumidor: México y LATAM
- Cuando el banco rechaza la devolución
- Prevención a largo plazo: cuatro cambios que funcionan
Un celular arrebatado de la mano en el Metro de la Ciudad de México vale unos 15,000 pesos como hardware. Con la pantalla desbloqueada y una app bancaria activa, puede valer diez veces eso. La CONDUSEF registró más de 33,000 millones de pesos en reclamaciones por fraude financiero digital en 2023, y la ventana promedio entre el robo y la primera transferencia fraudulenta es de menos de 22 minutos. Esta es la secuencia exacta que cierra esa ventana.
Guía completa para recuperar tu celular robado
Lo que necesitas recordar
- La autenticación por notificación push en un celular desbloqueado aprueba transferencias bancarias automáticamente, sin ninguna acción adicional del titular
- La ventana promedio entre robo y primera transferencia es de menos de 22 minutos
- Bloquear la SIM detiene los códigos de un solo uso por SMS; debe ocurrir antes de ir al Ministerio Público
- Cada app bancaria guarda una sesión activa que permanece vigente hasta que la revoques desde otro dispositivo
- Un NIP de cuenta en tu operadora, configurado antes del robo, previene la mayoría de los SIM swaps
- CONDUSEF actúa como árbitro vinculante en disputas de fraude bancario; tener el folio de denuncia el mismo día fortalece tu caso
- Apple Pay en México requiere Face ID, Touch ID o el NIP del dispositivo para cada pago; el riesgo real es la sesión activa de la app bancaria
Por qué un celular robado equivale a una cuenta bancaria robada
El robo de celulares cruzó un umbral alrededor de 2021. Antes, perder el equipo significaba gestionar el seguro y recuperar contactos. Ahora significa un acceso directo a cada cuenta financiera que tiene la víctima. Tres vulnerabilidades interconectadas explican por qué.
La autenticación por notificación push es la primera. La mayoría de las apps bancarias envían una notificación push al dispositivo registrado para aprobar una transferencia. Un ladrón con el celular abierto no necesita interceptar nada. La notificación llega a la pantalla que ya controla. Un toque aprueba una transferencia de 50,000 pesos. Los sistemas del banco ven una aprobación legítima desde el dispositivo registrado y procesan el pago.
La autenticación biométrica guarda tokens de sesión, no biometría. Face ID y la huella digital dan sensación de seguridad, pero lo que hacen es desbloquear una sesión guardada que la app bancaria mantiene activa por horas o días. Un ladrón que toma un celular desbloqueado hereda esa sesión. No necesita tu cara. Necesita el celular en su estado desbloqueado actual, que un arrebatazo provee en segundos.
Las contraseñas guardadas y el autocompletado cierran la superficie de ataque. El gestor de contraseñas del celular (iCloud Keychain, Google Password Manager o una app como 1Password) suele rellenar automáticamente las credenciales bancarias. Combinado con los códigos de un solo uso por SMS que llegan a la SIM robada, el atacante puede entrar a cuentas que nunca había tocado, resetear el correo y cambiar el número de recuperación, todo antes de que el titular se dé cuenta.
El riesgo del app autenticadora es específico y subestimado. Apps como Google Authenticator guardan los códigos de tiempo de forma local en el dispositivo. No hace falta interceptar la red. Un ladrón que puede ver la pantalla puede leer el código de seis dígitos e ingresarlo en otra computadora para aprobar transferencias. Por eso el plan de 60 minutos trata las apps autenticadoras por separado de los códigos por SMS.
Cómo los ladrones sortean la autenticación biométrica
La autenticación biométrica detiene una parte importante de los ataques. Pero quedan tres rutas de acceso, y los grupos organizados de robo de celulares las conocen todas.
El NIP espiado por encima del hombro es el más común. Los ladrones en el Metro CDMX, en Insurgentes o en zonas turísticas trabajan en parejas. Uno distrae o se posiciona detrás de la víctima; el otro observa cómo ingresa su NIP. Lo memorizan y arrebatan el celular segundos después. Con el NIP pueden desactivar Face ID, cambiar la contraseña del Apple ID, desactivar Buscar (Find My) y empezar las transferencias bancarias. La Secretaría de Seguridad Ciudadana de la CDMX advierte específicamente sobre esta técnica porque precede a la mayoría de los casos de fraude de alto valor.
El desbloqueo facial durante el arrebato es menos frecuente pero está documentado en robos nocturnos. La víctima aún sostiene el celular cuando se lo quitan, y la cámara del dispositivo captura el rostro del dueño durante el movimiento. Los iPhone modernos requieren detección de atención (ojos abiertos, mirando la pantalla), lo que limita esta técnica, pero los dispositivos más viejos y la mayoría de los Android con desbloqueo facial básico siguen siendo vulnerables.
El restablecimiento de fábrica vía modo de recuperación es la ruta de ingeniería social para dispositivos bloqueados. Un ladrón que no puede desbloquear el celular puede llamar a la operadora, alegar que lo compró de segunda mano sin que el dueño anterior quitara sus credenciales, e intentar que deshabiliten el Bloqueo de activación de iCloud o la Protección de restablecimiento de fábrica de Android (FRP). Por eso el Modo Perdido en iPhone importa: agrega un mensaje de contacto y exige las credenciales de iCloud para cualquier restablecimiento, cerrando esa ruta.
El plan de 60 minutos: secuencia exacta
Los pasos a continuación están numerados en orden. No los saltes ni los reorganices. La lógica de la secuencia importa: cada paso detiene el fraude en curso o preserva evidencia necesaria para reclamar la devolución después.
Paso 1 (0-3 minutos): Consigue cualquier celular, tablet o computadora prestada. No pierdas tiempo intentando bloquear tu número desde tu propia SIM. Necesitas un dispositivo funcional de inmediato.
Paso 2 (3-5 minutos): Bloquea tu SIM con la operadora. Llama a la línea de reporte de robo de tu compañía. Telcel: 55-2581-3300 o desde otro Telcel marca *264. AT&T México: *611 desde otra línea AT&T o al 800-288-2020. Movistar México: *611 desde otra línea Movistar o al 800-888-8366. Di: “me robaron el celular, bloquea mi SIM de inmediato.” Esto detiene los códigos de un solo uso por SMS antes de que lleguen a las manos del ladrón. Este paso, hecho en los primeros 5 minutos, bloquea la mayoría de los fraudes bancarios por SMS antes de que ocurran.
Paso 3 (5-10 minutos): Activa Modo Perdido en iPhone o Proteger dispositivo en Android. Entra a icloud.com/find o android.com/find. Marca el dispositivo como perdido. Esto bloquea la pantalla con un mensaje, suspende Apple Pay y mantiene el reporte de ubicación activo. No lo borres todavía. El Modo Perdido preserva el rastro de ubicación como evidencia para tu denuncia y la disputa ante el banco. Borrar de inmediato destruye esa evidencia.
Paso 4 (10-15 minutos): Congela todas las apps bancarias desde otro dispositivo. Inicia sesión en cada app bancaria o sitio web desde un dispositivo diferente. Transfiere saldos a ahorro si tu cuenta de débito está en riesgo. Usa las funciones de congelamiento de tarjeta dentro de la app. Llama a la línea de fraude de tu banco si no puedes entrar de forma remota. BBVA México: 55-5226-2663. Banamex/Citibanamex: 55-1226-2639. Santander México: 55-5169-4300. Banorte: 81-8156-9600. Para los demás bancos, marca la línea de atención al cliente de tu banco de inmediato; todos tienen línea de reporte de robo 24/7. También puedes llamar a la CONDUSEF al 55-5340-0999 para orientación sobre los pasos siguientes.
Paso 5 (15-20 minutos): Cierra sesión en Apple ID o cuenta de Google de forma remota. En icloud.com, ve a configuración de cuenta y elimina el dispositivo robado de los dispositivos de confianza. En myaccount.google.com, ve a Seguridad, luego a Tus dispositivos, y cierra sesión en el celular robado. Esto revoca las sesiones guardadas y obliga a un inicio de sesión nuevo en todas las apps vinculadas a esas cuentas.
Paso 6 (20-25 minutos): Desactiva Apple Pay y Google Wallet. En icloud.com, selecciona el dispositivo robado y da clic en Eliminar. Esto anula todas las tarjetas guardadas. En pay.google.com, ve a Métodos de pago y elimina el dispositivo. No esperes a que el congelamiento de la app bancaria cubra esto. Apple Pay y Google Wallet operan con sistemas de tokens separados.
Paso 7 (25-30 minutos): Cambia la contraseña de tu correo electrónico desde otro dispositivo. El correo es la llave maestra de cada cuenta. Los restablecimientos de contraseña de banca, plataformas de inversión (GBM+, Kuspit, CETES Directo) y servicios de pago llegan al correo. Un ladrón con la sesión de tu correo puede dar clic en cada enlace de “olvidé mi contraseña”. Cámbiala ahora, antes de que él lo haga.
Paso 8 (30-40 minutos): Rota las cuentas que usaban autenticación por celular. Inicia sesión en Google, Microsoft, Dropbox y cualquier cuenta financiera que usara tu celular como autenticador. Usa códigos de respaldo, un correo secundario o llama al soporte. Revoca la sesión del autenticador anterior. Si usabas Google Authenticator sin códigos de respaldo y no puedes entrar a la cuenta, llama directamente a la línea de recuperación de cuentas del servicio.
Paso 9 (40-45 minutos): Denuncia ante el Ministerio Público o en línea. En la CDMX puedes denunciar en el Centro de Atención a Víctimas (CAVI) o en el Ministerio Público de tu alcaldía. En el resto del país, acude a la Fiscalía estatal o al MP de tu municipio. También puedes iniciar la denuncia en el portal de tu Fiscalía estatal si está disponible. Necesitas el número de folio o acta de hechos para cada disputa bancaria que siga. Pídelo por escrito.
Paso 10 (45-50 minutos): Presenta los reportes de fraude en cada banco. Llama a cada institución y declara: “Me robaron el celular a las [hora] en [lugar]. Creo que se han intentado o realizarán transacciones no autorizadas usando las apps bancarias en el dispositivo robado. Presento un reporte de fraude y solicito una suspensión por disputa.” Da el número de folio del Ministerio Público.
Paso 11 (50-55 minutos): Cambia las contraseñas de todas las credenciales guardadas en el celular. Prioriza en este orden: correo, banca, cuentas de inversión, servicios de pago como Mercado Pago, Nu, Klar o CoDi, y por último redes sociales que puedan usarse para ingeniería social. Usa un gestor de contraseñas en otro dispositivo para actualizarlas de forma sistemática.
Paso 12 (55-60 minutos): Configura un NIP de cuenta con tu operadora si aún no lo tienes. Llama a tu operadora y pide agregar un NIP verbal o numérico a tu cuenta. Esto bloquea los intentos de SIM swap en los que un ladrón llama haciéndose pasar por ti. Telcel, AT&T México y Movistar ofrecen esta protección. Actívala ahora para que proteja tu nueva SIM.
La cadena del SIM swap
El SIM swap es el vector de ataque que las víctimas descubren de último y que los bancos disputan con más agresividad. Entenderlo fortalece tu caso de fraude.
El SIM swap promedio en celulares robados tarda menos de 30 minutos desde la primera llamada a la operadora hasta el porteo completo del número. El ladrón llama a tu compañía usando datos encontrados en tu celular (contactos con nombres como “Mamá” o “Banco BBVA”, tu nombre completo visible en Ajustes, o tu dirección de correo). Alega que perdió el dispositivo y necesita trasladar el número a una nueva SIM. Un agente de atención al cliente, siguiendo un guion con verificación mínima, completa el traspaso.
Una vez portado, cada código de verificación por SMS que envían las apps bancarias llega al ladrón. Entra a tu banco con las credenciales guardadas en tu celular o de un robo de datos anterior, solicita el código de un solo uso, lo recibe en el número portado, aprueba la transferencia. Los sistemas del banco ven un nombre de usuario correcto, una contraseña correcta y un código correcto. Procesan el pago.
Configurar un NIP de cuenta con tu operadora antes de cualquier robo es la prevención más efectiva. Obliga a quien llame a verificar el NIP antes de hacer cambios en la cuenta. El Instituto Federal de Telecomunicaciones (IFT) tiene competencia sobre las operadoras en México para establecer protocolos de portabilidad y verificación de identidad.
Protección al consumidor: México y LATAM
| País/Regulación | Marco | Plazo de respuesta | Carga de la prueba | Escalación |
|---|---|---|---|---|
| México (CONDUSEF) | Ley de Protección y Defensa al Usuario de Servicios Financieros | 45 días hábiles para resolución | Banco debe demostrar autorización | CONDUSEF, luego CNBV |
| México (UNE bancaria) | Circular Única de Bancos CNBV | Atención inmediata, resolución 5 días hábiles en casos urgentes | Banco debe acreditar la operación | Escala a CONDUSEF si no resuelve |
| Argentina (Defensoría) | Ley 26.993 + Defensor del Pueblo | 30 días | Entidad financiera debe probar autorización | Defensoría del Pueblo |
| Colombia (Superfinanciera) | Circular 018 de 2021 (SFC) | 15 días hábiles | Entidad financiera | Superfinanciera |
La palabra “negligencia” es donde comienzan la mayoría de los argumentos de rechazo bancario. Los bancos en México y LATAM a veces alegan que ingresar tu NIP (incluso bajo observación) o tener la app bancaria instalada constituye negligencia del titular. La CONDUSEF ha emitido resoluciones rechazando este argumento cuando: (1) el robo se reportó en las primeras horas, (2) existe el folio del Ministerio Público, y (3) la víctima tenía configuraciones de seguridad estándar. Documenta los tres puntos.
Zonas de riesgo de robo de celular y prevención
Cuando el banco rechaza la devolución
Los bancos rechazan reclamaciones de fraude en celulares robados por tres razones declaradas: “autorizaste la transacción con biometría”, “tenías tu NIP guardado en el dispositivo” o “tu configuración de seguridad era insuficiente”. Ninguna de estas es automáticamente una defensa válida bajo la regulación CONDUSEF.
Primer paso: Presenta una reclamación formal por escrito ante la UNE de tu banco (Unidad Especializada de Atención a Clientes). Todo banco regulado por la CNBV está obligado a tener una. Adjunta el folio del Ministerio Público, el timestamp de las transacciones fraudulentas y la hora de tu reporte. El banco tiene un plazo para responder formalmente.
Si el banco no resuelve a tu favor: Escala la queja ante la CONDUSEF al 55-5340-0999. La CONDUSEF actúa como árbitro entre tú y el banco. Su resolución puede ser vinculante para el banco. También puedes usar el sistema REUNE (Registro de Quejas y Reclamaciones) en línea.
Si el monto es alto o hay elementos penales: Acude a la FGR (Fiscalía General de la República) o a la Fiscalía estatal correspondiente para denunciar el fraude bancario bajo el Artículo 387 del Código Penal Federal (fraude genérico) o el Artículo 386 CPF (fraude agravado). Las instituciones bancarias están obligadas a colaborar con las fiscalías en estos casos.
Para lectores fuera de México
País Fraude bancario/financiero Datos personales Emergencia Argentina Defensoría del Pueblo / BCRA Comunicación A 6462 AAIP 911 Colombia Superfinanciera / línea gratuita 01-800-910-97-19 SIC 123 Chile CMF / SERNAC Financiero Consejo para la Transparencia 133 Perú SBS / INDECOPI ANPD 105 España Banco de España / OCU AEPD 112
Prevención a largo plazo: cuatro cambios que funcionan
Guía completa de Find My iPhone
Guía completa de Google Find My Device
Activa el NIP de la SIM. En iPhone: Ajustes, Celular, PIN de SIM. En Android: Ajustes, Seguridad, Bloqueo de tarjeta SIM. Requiere un PIN de 4 dígitos para usar la SIM en cualquier dispositivo. Un ladrón que saca tu SIM y la mete en otro celular no puede recibir llamadas ni SMS hasta ingresarlo. Tres intentos fallidos bloquean la SIM de forma permanente.
Usa una app autenticadora con su propio NIP, no códigos por SMS. Microsoft Authenticator y Duo permiten un NIP o bloqueo biométrico dentro de la propia app. Aunque el ladrón tenga el celular abierto, no puede leer los códigos del autenticador sin el NIP de la app. Google Authenticator no tiene esta función por defecto, lo que representa una brecha significativa para uso bancario.
Configura un NIP de la app bancaria diferente al de desbloqueo del celular. La mayoría de los bancos MX (BBVA México, Banorte, Santander, Citibanamex, HSBC) permiten un NIP dentro de la app distinto al código del dispositivo. Actívalo. Un ladrón que espió tu NIP del celular sigue sin poder abrir la app bancaria sin este segundo código.
Pon un NIP de cuenta con tu operadora. Llama a la línea de atención al cliente de Telcel, AT&T México o Movistar y pide agregar un NIP de seguridad o contraseña verbal a tu cuenta. Este paso previene la gran mayoría de los SIM swaps que siguen al robo de celular.
Ninguno de estos cambios tarda más de 10 minutos. Combinados, reducen la superficie de ataque financiero de un celular robado de “todo accesible” a “NIP de operadora más NIP de app más NIP de autenticador”, lo que no vale el tiempo de ningún ladrón.
Zonas de riesgo de robo de celular y prevención
Si hay violencia doméstica o acoso de pareja en tu situación: la Línea Acude de la SEGOB atiende los 365 días al año en 800-108-4053. La CONDUSEF también puede orientarte si el fraude financiero forma parte de una situación de violencia patrimonial. Para asegurar cuentas sin alertar a una pareja abusiva, el equipo de SAPTEL al 55-5259-8121 brinda acompañamiento psicológico y orientación de seguridad las 24 horas.
Preguntas frecuentes
Lo que más nos preguntan
7 preguntas · Actualizado may 2026