FatGPS

Celular robado y fraude bancario: el plan de 60 minutos

Te roban el celular y en menos de 22 minutos ya vaciaron tu cuenta. El plan exacto: bloquea SIM, congela banca, denuncia ante el Ministerio Público en el orden correcto.

Reloj analógico sobre superficie de madera junto a pantalla oscura de celular, iluminación lateral dramática, estética de urgencia
En esta página 7 secciones
¿Te lo acaban de robar? No persigas al ladrón. Ponte en un lugar seguro, consigue cualquier celular o computadora prestada, y sigue los pasos a continuación en orden. Si estás en peligro inmediato, marca 911 antes de continuar.

Un celular arrebatado de la mano en el Metro de la Ciudad de México vale unos 15,000 pesos como hardware. Con la pantalla desbloqueada y una app bancaria activa, puede valer diez veces eso. La CONDUSEF registró más de 33,000 millones de pesos en reclamaciones por fraude financiero digital en 2023, y la ventana promedio entre el robo y la primera transferencia fraudulenta es de menos de 22 minutos. Esta es la secuencia exacta que cierra esa ventana.

Guía completa para recuperar tu celular robado

Lo que necesitas recordar

  • La autenticación por notificación push en un celular desbloqueado aprueba transferencias bancarias automáticamente, sin ninguna acción adicional del titular
  • La ventana promedio entre robo y primera transferencia es de menos de 22 minutos
  • Bloquear la SIM detiene los códigos de un solo uso por SMS; debe ocurrir antes de ir al Ministerio Público
  • Cada app bancaria guarda una sesión activa que permanece vigente hasta que la revoques desde otro dispositivo
  • Un NIP de cuenta en tu operadora, configurado antes del robo, previene la mayoría de los SIM swaps
  • CONDUSEF actúa como árbitro vinculante en disputas de fraude bancario; tener el folio de denuncia el mismo día fortalece tu caso
  • Apple Pay en México requiere Face ID, Touch ID o el NIP del dispositivo para cada pago; el riesgo real es la sesión activa de la app bancaria

Por qué un celular robado equivale a una cuenta bancaria robada

El robo de celulares cruzó un umbral alrededor de 2021. Antes, perder el equipo significaba gestionar el seguro y recuperar contactos. Ahora significa un acceso directo a cada cuenta financiera que tiene la víctima. Tres vulnerabilidades interconectadas explican por qué.

La autenticación por notificación push es la primera. La mayoría de las apps bancarias envían una notificación push al dispositivo registrado para aprobar una transferencia. Un ladrón con el celular abierto no necesita interceptar nada. La notificación llega a la pantalla que ya controla. Un toque aprueba una transferencia de 50,000 pesos. Los sistemas del banco ven una aprobación legítima desde el dispositivo registrado y procesan el pago.

La autenticación biométrica guarda tokens de sesión, no biometría. Face ID y la huella digital dan sensación de seguridad, pero lo que hacen es desbloquear una sesión guardada que la app bancaria mantiene activa por horas o días. Un ladrón que toma un celular desbloqueado hereda esa sesión. No necesita tu cara. Necesita el celular en su estado desbloqueado actual, que un arrebatazo provee en segundos.

Las contraseñas guardadas y el autocompletado cierran la superficie de ataque. El gestor de contraseñas del celular (iCloud Keychain, Google Password Manager o una app como 1Password) suele rellenar automáticamente las credenciales bancarias. Combinado con los códigos de un solo uso por SMS que llegan a la SIM robada, el atacante puede entrar a cuentas que nunca había tocado, resetear el correo y cambiar el número de recuperación, todo antes de que el titular se dé cuenta.

El riesgo del app autenticadora es específico y subestimado. Apps como Google Authenticator guardan los códigos de tiempo de forma local en el dispositivo. No hace falta interceptar la red. Un ladrón que puede ver la pantalla puede leer el código de seis dígitos e ingresarlo en otra computadora para aprobar transferencias. Por eso el plan de 60 minutos trata las apps autenticadoras por separado de los códigos por SMS.

Cómo los ladrones sortean la autenticación biométrica

La autenticación biométrica detiene una parte importante de los ataques. Pero quedan tres rutas de acceso, y los grupos organizados de robo de celulares las conocen todas.

El NIP espiado por encima del hombro es el más común. Los ladrones en el Metro CDMX, en Insurgentes o en zonas turísticas trabajan en parejas. Uno distrae o se posiciona detrás de la víctima; el otro observa cómo ingresa su NIP. Lo memorizan y arrebatan el celular segundos después. Con el NIP pueden desactivar Face ID, cambiar la contraseña del Apple ID, desactivar Buscar (Find My) y empezar las transferencias bancarias. La Secretaría de Seguridad Ciudadana de la CDMX advierte específicamente sobre esta técnica porque precede a la mayoría de los casos de fraude de alto valor.

El desbloqueo facial durante el arrebato es menos frecuente pero está documentado en robos nocturnos. La víctima aún sostiene el celular cuando se lo quitan, y la cámara del dispositivo captura el rostro del dueño durante el movimiento. Los iPhone modernos requieren detección de atención (ojos abiertos, mirando la pantalla), lo que limita esta técnica, pero los dispositivos más viejos y la mayoría de los Android con desbloqueo facial básico siguen siendo vulnerables.

El restablecimiento de fábrica vía modo de recuperación es la ruta de ingeniería social para dispositivos bloqueados. Un ladrón que no puede desbloquear el celular puede llamar a la operadora, alegar que lo compró de segunda mano sin que el dueño anterior quitara sus credenciales, e intentar que deshabiliten el Bloqueo de activación de iCloud o la Protección de restablecimiento de fábrica de Android (FRP). Por eso el Modo Perdido en iPhone importa: agrega un mensaje de contacto y exige las credenciales de iCloud para cualquier restablecimiento, cerrando esa ruta.

El plan de 60 minutos: secuencia exacta

Los pasos a continuación están numerados en orden. No los saltes ni los reorganices. La lógica de la secuencia importa: cada paso detiene el fraude en curso o preserva evidencia necesaria para reclamar la devolución después.

Paso 1 (0-3 minutos): Consigue cualquier celular, tablet o computadora prestada. No pierdas tiempo intentando bloquear tu número desde tu propia SIM. Necesitas un dispositivo funcional de inmediato.

Paso 2 (3-5 minutos): Bloquea tu SIM con la operadora. Llama a la línea de reporte de robo de tu compañía. Telcel: 55-2581-3300 o desde otro Telcel marca *264. AT&T México: *611 desde otra línea AT&T o al 800-288-2020. Movistar México: *611 desde otra línea Movistar o al 800-888-8366. Di: “me robaron el celular, bloquea mi SIM de inmediato.” Esto detiene los códigos de un solo uso por SMS antes de que lleguen a las manos del ladrón. Este paso, hecho en los primeros 5 minutos, bloquea la mayoría de los fraudes bancarios por SMS antes de que ocurran.

Paso 3 (5-10 minutos): Activa Modo Perdido en iPhone o Proteger dispositivo en Android. Entra a icloud.com/find o android.com/find. Marca el dispositivo como perdido. Esto bloquea la pantalla con un mensaje, suspende Apple Pay y mantiene el reporte de ubicación activo. No lo borres todavía. El Modo Perdido preserva el rastro de ubicación como evidencia para tu denuncia y la disputa ante el banco. Borrar de inmediato destruye esa evidencia.

Paso 4 (10-15 minutos): Congela todas las apps bancarias desde otro dispositivo. Inicia sesión en cada app bancaria o sitio web desde un dispositivo diferente. Transfiere saldos a ahorro si tu cuenta de débito está en riesgo. Usa las funciones de congelamiento de tarjeta dentro de la app. Llama a la línea de fraude de tu banco si no puedes entrar de forma remota. BBVA México: 55-5226-2663. Banamex/Citibanamex: 55-1226-2639. Santander México: 55-5169-4300. Banorte: 81-8156-9600. Para los demás bancos, marca la línea de atención al cliente de tu banco de inmediato; todos tienen línea de reporte de robo 24/7. También puedes llamar a la CONDUSEF al 55-5340-0999 para orientación sobre los pasos siguientes.

Paso 5 (15-20 minutos): Cierra sesión en Apple ID o cuenta de Google de forma remota. En icloud.com, ve a configuración de cuenta y elimina el dispositivo robado de los dispositivos de confianza. En myaccount.google.com, ve a Seguridad, luego a Tus dispositivos, y cierra sesión en el celular robado. Esto revoca las sesiones guardadas y obliga a un inicio de sesión nuevo en todas las apps vinculadas a esas cuentas.

Paso 6 (20-25 minutos): Desactiva Apple Pay y Google Wallet. En icloud.com, selecciona el dispositivo robado y da clic en Eliminar. Esto anula todas las tarjetas guardadas. En pay.google.com, ve a Métodos de pago y elimina el dispositivo. No esperes a que el congelamiento de la app bancaria cubra esto. Apple Pay y Google Wallet operan con sistemas de tokens separados.

Paso 7 (25-30 minutos): Cambia la contraseña de tu correo electrónico desde otro dispositivo. El correo es la llave maestra de cada cuenta. Los restablecimientos de contraseña de banca, plataformas de inversión (GBM+, Kuspit, CETES Directo) y servicios de pago llegan al correo. Un ladrón con la sesión de tu correo puede dar clic en cada enlace de “olvidé mi contraseña”. Cámbiala ahora, antes de que él lo haga.

Paso 8 (30-40 minutos): Rota las cuentas que usaban autenticación por celular. Inicia sesión en Google, Microsoft, Dropbox y cualquier cuenta financiera que usara tu celular como autenticador. Usa códigos de respaldo, un correo secundario o llama al soporte. Revoca la sesión del autenticador anterior. Si usabas Google Authenticator sin códigos de respaldo y no puedes entrar a la cuenta, llama directamente a la línea de recuperación de cuentas del servicio.

Paso 9 (40-45 minutos): Denuncia ante el Ministerio Público o en línea. En la CDMX puedes denunciar en el Centro de Atención a Víctimas (CAVI) o en el Ministerio Público de tu alcaldía. En el resto del país, acude a la Fiscalía estatal o al MP de tu municipio. También puedes iniciar la denuncia en el portal de tu Fiscalía estatal si está disponible. Necesitas el número de folio o acta de hechos para cada disputa bancaria que siga. Pídelo por escrito.

Paso 10 (45-50 minutos): Presenta los reportes de fraude en cada banco. Llama a cada institución y declara: “Me robaron el celular a las [hora] en [lugar]. Creo que se han intentado o realizarán transacciones no autorizadas usando las apps bancarias en el dispositivo robado. Presento un reporte de fraude y solicito una suspensión por disputa.” Da el número de folio del Ministerio Público.

Paso 11 (50-55 minutos): Cambia las contraseñas de todas las credenciales guardadas en el celular. Prioriza en este orden: correo, banca, cuentas de inversión, servicios de pago como Mercado Pago, Nu, Klar o CoDi, y por último redes sociales que puedan usarse para ingeniería social. Usa un gestor de contraseñas en otro dispositivo para actualizarlas de forma sistemática.

Paso 12 (55-60 minutos): Configura un NIP de cuenta con tu operadora si aún no lo tienes. Llama a tu operadora y pide agregar un NIP verbal o numérico a tu cuenta. Esto bloquea los intentos de SIM swap en los que un ladrón llama haciéndose pasar por ti. Telcel, AT&T México y Movistar ofrecen esta protección. Actívala ahora para que proteja tu nueva SIM.

La cadena del SIM swap

El SIM swap es el vector de ataque que las víctimas descubren de último y que los bancos disputan con más agresividad. Entenderlo fortalece tu caso de fraude.

El SIM swap promedio en celulares robados tarda menos de 30 minutos desde la primera llamada a la operadora hasta el porteo completo del número. El ladrón llama a tu compañía usando datos encontrados en tu celular (contactos con nombres como “Mamá” o “Banco BBVA”, tu nombre completo visible en Ajustes, o tu dirección de correo). Alega que perdió el dispositivo y necesita trasladar el número a una nueva SIM. Un agente de atención al cliente, siguiendo un guion con verificación mínima, completa el traspaso.

Una vez portado, cada código de verificación por SMS que envían las apps bancarias llega al ladrón. Entra a tu banco con las credenciales guardadas en tu celular o de un robo de datos anterior, solicita el código de un solo uso, lo recibe en el número portado, aprueba la transferencia. Los sistemas del banco ven un nombre de usuario correcto, una contraseña correcta y un código correcto. Procesan el pago.

Configurar un NIP de cuenta con tu operadora antes de cualquier robo es la prevención más efectiva. Obliga a quien llame a verificar el NIP antes de hacer cambios en la cuenta. El Instituto Federal de Telecomunicaciones (IFT) tiene competencia sobre las operadoras en México para establecer protocolos de portabilidad y verificación de identidad.

Protección al consumidor: México y LATAM

País/RegulaciónMarcoPlazo de respuestaCarga de la pruebaEscalación
México (CONDUSEF)Ley de Protección y Defensa al Usuario de Servicios Financieros45 días hábiles para resoluciónBanco debe demostrar autorizaciónCONDUSEF, luego CNBV
México (UNE bancaria)Circular Única de Bancos CNBVAtención inmediata, resolución 5 días hábiles en casos urgentesBanco debe acreditar la operaciónEscala a CONDUSEF si no resuelve
Argentina (Defensoría)Ley 26.993 + Defensor del Pueblo30 díasEntidad financiera debe probar autorizaciónDefensoría del Pueblo
Colombia (Superfinanciera)Circular 018 de 2021 (SFC)15 días hábilesEntidad financieraSuperfinanciera

La palabra “negligencia” es donde comienzan la mayoría de los argumentos de rechazo bancario. Los bancos en México y LATAM a veces alegan que ingresar tu NIP (incluso bajo observación) o tener la app bancaria instalada constituye negligencia del titular. La CONDUSEF ha emitido resoluciones rechazando este argumento cuando: (1) el robo se reportó en las primeras horas, (2) existe el folio del Ministerio Público, y (3) la víctima tenía configuraciones de seguridad estándar. Documenta los tres puntos.

Zonas de riesgo de robo de celular y prevención

Cuando el banco rechaza la devolución

Los bancos rechazan reclamaciones de fraude en celulares robados por tres razones declaradas: “autorizaste la transacción con biometría”, “tenías tu NIP guardado en el dispositivo” o “tu configuración de seguridad era insuficiente”. Ninguna de estas es automáticamente una defensa válida bajo la regulación CONDUSEF.

Primer paso: Presenta una reclamación formal por escrito ante la UNE de tu banco (Unidad Especializada de Atención a Clientes). Todo banco regulado por la CNBV está obligado a tener una. Adjunta el folio del Ministerio Público, el timestamp de las transacciones fraudulentas y la hora de tu reporte. El banco tiene un plazo para responder formalmente.

Si el banco no resuelve a tu favor: Escala la queja ante la CONDUSEF al 55-5340-0999. La CONDUSEF actúa como árbitro entre tú y el banco. Su resolución puede ser vinculante para el banco. También puedes usar el sistema REUNE (Registro de Quejas y Reclamaciones) en línea.

Si el monto es alto o hay elementos penales: Acude a la FGR (Fiscalía General de la República) o a la Fiscalía estatal correspondiente para denunciar el fraude bancario bajo el Artículo 387 del Código Penal Federal (fraude genérico) o el Artículo 386 CPF (fraude agravado). Las instituciones bancarias están obligadas a colaborar con las fiscalías en estos casos.

Para lectores fuera de México

PaísFraude bancario/financieroDatos personalesEmergencia
ArgentinaDefensoría del Pueblo / BCRA Comunicación A 6462AAIP911
ColombiaSuperfinanciera / línea gratuita 01-800-910-97-19SIC123
ChileCMF / SERNAC FinancieroConsejo para la Transparencia133
PerúSBS / INDECOPIANPD105
EspañaBanco de España / OCUAEPD112

Prevención a largo plazo: cuatro cambios que funcionan

Guía completa de Find My iPhone

Guía completa de Google Find My Device

Activa el NIP de la SIM. En iPhone: Ajustes, Celular, PIN de SIM. En Android: Ajustes, Seguridad, Bloqueo de tarjeta SIM. Requiere un PIN de 4 dígitos para usar la SIM en cualquier dispositivo. Un ladrón que saca tu SIM y la mete en otro celular no puede recibir llamadas ni SMS hasta ingresarlo. Tres intentos fallidos bloquean la SIM de forma permanente.

Usa una app autenticadora con su propio NIP, no códigos por SMS. Microsoft Authenticator y Duo permiten un NIP o bloqueo biométrico dentro de la propia app. Aunque el ladrón tenga el celular abierto, no puede leer los códigos del autenticador sin el NIP de la app. Google Authenticator no tiene esta función por defecto, lo que representa una brecha significativa para uso bancario.

Configura un NIP de la app bancaria diferente al de desbloqueo del celular. La mayoría de los bancos MX (BBVA México, Banorte, Santander, Citibanamex, HSBC) permiten un NIP dentro de la app distinto al código del dispositivo. Actívalo. Un ladrón que espió tu NIP del celular sigue sin poder abrir la app bancaria sin este segundo código.

Pon un NIP de cuenta con tu operadora. Llama a la línea de atención al cliente de Telcel, AT&T México o Movistar y pide agregar un NIP de seguridad o contraseña verbal a tu cuenta. Este paso previene la gran mayoría de los SIM swaps que siguen al robo de celular.

Ninguno de estos cambios tarda más de 10 minutos. Combinados, reducen la superficie de ataque financiero de un celular robado de “todo accesible” a “NIP de operadora más NIP de app más NIP de autenticador”, lo que no vale el tiempo de ningún ladrón.

Zonas de riesgo de robo de celular y prevención


Si hay violencia doméstica o acoso de pareja en tu situación: la Línea Acude de la SEGOB atiende los 365 días al año en 800-108-4053. La CONDUSEF también puede orientarte si el fraude financiero forma parte de una situación de violencia patrimonial. Para asegurar cuentas sin alertar a una pareja abusiva, el equipo de SAPTEL al 55-5259-8121 brinda acompañamiento psicológico y orientación de seguridad las 24 horas.

Preguntas frecuentes

Lo que más nos preguntan

7 preguntas · Actualizado may 2026

¿Mi banco está obligado a devolver el dinero si me robaron el celular y vaciaron mi cuenta?
En México, la CONDUSEF y la Comisión Nacional Bancaria y de Valores (CNBV) establecen que los bancos deben responder ante reclamaciones por transacciones no reconocidas. Presenta la denuncia ante el Ministerio Público ese mismo día y reporta el fraude a tu banco con ese folio en la mano. Si el banco rechaza la devolución, escala la queja ante la CONDUSEF, que actúa como árbitro vinculante. Mientras más rápido reportes, más sólida es tu posición.
¿Primero llamo a la operadora o primero voy al Ministerio Público?
Primero la operadora. Es el paso que más gente omite. Bloquear la SIM corta los códigos de un solo uso por SMS que el ladrón usa para aprobar transferencias en cuestión de minutos. Levantar el acta en el Ministerio Público toma entre 20 y 40 minutos y no detiene ni una sola transferencia fraudulenta mientras esperas. Bloquea la SIM, luego congela las cuentas bancarias, luego levanta la denuncia. Puedes hacer los tres pasos a la vez con dispositivos distintos.
¿Qué pasa con Apple Pay y Google Wallet si me roban el celular?
Apple Pay y Google Wallet requieren autenticación biométrica o el NIP del dispositivo para cada pago. Si el ladrón no sabe tu NIP, los pagos sin contacto quedan bloqueados. El riesgo real es la app bancaria, que suele guardar una sesión activa y tiene su propio NIP, diferente al desbloqueo del celular. Desactiva Apple Pay desde icloud.com de inmediato y contacta a tu banco para congelar la sesión de la app. Google Wallet se puede suspender desde pay.google.com.
¿Un ladrón puede usar mi app de autenticación después de robarme el celular?
Sí, si el celular está desbloqueado o el ladrón conoce tu NIP. Google Authenticator y Authy guardan los códigos basados en tiempo de forma local en el dispositivo. Un ladrón con acceso a la pantalla puede leer el código de seis dígitos y aprobar una transferencia bancaria antes de que reacciones. Microsoft Authenticator y algunas apps bancarias agregan un NIP dentro de la propia app, lo que crea una barrera adicional. Después de cualquier robo, rota de inmediato todas las cuentas que usaban autenticación por celular, con códigos de respaldo, otro dispositivo o llamando directamente al servicio.
¿Qué es el SIM swap y cómo permite que vacíen mis cuentas?
El SIM swap es un ataque de ingeniería social: el ladrón llama a tu operadora, se hace pasar por ti usando datos encontrados en tu celular (contactos, notas, correo), y convence a un agente de trasladar tu número a una SIM nueva que controla él. Una vez portado el número, todos los códigos de verificación por SMS de tus bancos llegan al ladrón. El swap promedio toma menos de 30 minutos. Las operadoras MX tienen pasos de verificación, pero la ingeniería social los sigue sorteando. Un NIP de cuenta con tu operadora detiene la mayoría de los intentos.
Mi banco dice que la transferencia fue 'autorizada' porque pasó la verificación en dos pasos. ¿Qué hago?
Impúgnalo por escrito. La CONDUSEF reconoce que autenticación biométrica o por NIP en un celular robado no equivale a autorización genuina del titular. Presenta una reclamación formal con el folio del Ministerio Público y el timestamp de la transacción fraudulenta versus la hora de tu denuncia. Si el banco sigue negándose, escala a CONDUSEF, que puede ordenar la devolución. También puedes acudir a la UNE (Unidad Especializada de Atención a Clientes) de tu banco antes de ir a CONDUSEF.
¿Cómo evito que vuelva a pasarme esto cuando tenga un celular nuevo?
Cuatro cambios hacen un celular mucho más difícil de explotar financieramente si te lo roban: primero, pon un NIP de cuenta en tu operadora para que nadie pueda portar tu número sin verificarlo; segundo, usa una app autenticadora con su propio NIP (Microsoft Authenticator, Duo) en lugar de códigos por SMS; tercero, activa un NIP de la app bancaria diferente al de desbloqueo del celular; cuarto, activa el NIP de la SIM en los ajustes del celular para que se bloquee tras tres intentos fallidos. Ninguno de estos pasos tarda más de 10 minutos en total.