HiCellTek HiCellTek
Productos Precios Blog Glosario Contacto
EN English
Solicitar una demo
Volver al blog
fraude imeisim swappingseguridad telecomceir

Fraude IMEI y SIM Swapping: cómo los ingenieros telecom detectan amenazas en la red

La clonación IMEI y el SIM swapping cuestan miles de millones a los operadores. Cómo la verificación TAC, las bases CEIR y el diagnóstico de campo detectan estas amenazas.

Takwa Sebai
Takwa Sebai
Fundadora HiCellTek · 15 años en telecomunicaciones
27 de marzo de 2026 · 10 min de lectura

Un analista de fraude de un MVNO europeo detecta 47 dispositivos con prefijos IMEI idénticos registrándose en 12 ciudades en 24 horas. El TAC corresponde a un modelo económico vendido principalmente en el sudeste asiático. Pero los números de serie IMEI son secuenciales: 000001 a 000047. Ningún lote de producción legítimo distribuye IMEI secuenciales en 12 ciudades simultáneamente. Esto es clonación IMEI a escala industrial.

El EIR del operador activa la alerta. En pocas horas, la investigación confirma: cada dispositivo ejecuta firmware falsificado, suplantando la identidad de un modelo legítimo para evadir las políticas de admisión de red. La exposición financiera: llamadas internacionales fraudulentas enrutadas a través de dispositivos clonados, totalizando más de 180.000 EUR en tres semanas.

Este escenario no es hipotético. Se reproduce en redes de todo el mundo, costando miles de millones cada año a la industria.

La magnitud del fraude IMEI

El impacto financiero del fraude de dispositivos en las redes móviles es alarmante. Las estimaciones de la GSMA sitúan las pérdidas globales por fraude IMEI, SIM swapping y tráfico de dispositivos falsificados en aproximadamente 2.700 millones de dólares anuales. La evaluación 2024 de Europol sobre la amenaza del crimen organizado identifica el fraude de dispositivos móviles como un vector creciente para redes criminales que operan a través de las fronteras de la UE.

El mercado de dispositivos falsificados agrava el problema. Se estima que uno de cada cinco dispositivos móviles en ciertos mercados de África y Asia del Sur porta un IMEI duplicado o falsificado (fuente: informes GSMA Device Registry). Estos dispositivos no solo evaden impuestos y aranceles de importación, sino que también comprometen la integridad de la red: los chipsets de banda base falsificados frecuentemente no cumplen con los estándares de radio 3GPP, provocando interferencias, llamadas cortadas y degradación del rendimiento para los suscriptores legítimos.

El SIM swapping añade otra dimensión. El FBI (IC3) recibió más de 2.000 denuncias por SIM swap en 2023, con pérdidas reportadas superiores a 48 millones de dólares en Estados Unidos. En Europa, el fraude por SIM swap ha sido vinculado al robo de criptomonedas, espionaje corporativo y ataques dirigidos contra ejecutivos y figuras públicas.

Anatomía del IMEI y su importancia para la seguridad

Comprender la estructura del IMEI es esencial para detectar fraude a nivel de red. El International Mobile Equipment Identity es un número de 15 dígitos asignado a cada dispositivo móvil, definido en 3GPP TS 23.003.

Estructura del IMEI (15 dígitos)
TAC (8 dígitos)
Type Allocation Code
Identifica fabricante + modelo
Asignado por la GSMA
SNR (6 dígitos)
Número de serie
Único por dispositivo
Asignado por el fabricante
CD (1 dígito)
Dígito de control
Validación algoritmo de Luhn
Detección de errores

TAC: la primera línea de identificación

El Type Allocation Code (primeros 8 dígitos) es asignado por la GSMA a los fabricantes de dispositivos. Cada TAC corresponde a un fabricante y modelo específicos. La GSMA mantiene una base de datos global con más de 220.000 TAC asignados que cubren cada dispositivo móvil certificado.

Cuando un dispositivo se registra en una red, el EIR (Equipment Identity Register) extrae el TAC y lo confronta con la base de datos GSMA. Un TAC que no existe en la base, o que corresponde a un modelo inconsistente con las capacidades reportadas, es una señal de alerta inmediata.

Utilice la herramienta de consulta TAC para verificar cualquier TAC contra la base de datos global.

Validación del dígito de control Luhn

El dígito 15 se calcula mediante el algoritmo de Luhn. Aunque simple, esta verificación detecta errores básicos de manipulación. Un IMEI clonado con un solo dígito modificado fallará la validación Luhn. Sin embargo, las operaciones de clonación sofisticadas calculan el dígito de control correcto, por lo que Luhn por sí solo es insuficiente.

CEIR: la infraestructura global de lista negra

El Central Equipment Identity Register (CEIR) es una base de datos gestionada por la GSMA que agrega reportes de dispositivos robados, perdidos y falsificados de los países participantes. Cuando un dispositivo se reporta como robado en España, su IMEI se transmite al CEIR. Cualquier operador en un país participante puede entonces consultar el CEIR y bloquear el dispositivo.

En 2025, más de 150 países participan en el ecosistema CEIR, con niveles de aplicación variables. El sistema procesa millones de consultas de estado IMEI diariamente.

SIM Swapping: el ataque de ingeniería social que evade la 2FA

El SIM swapping es fundamentalmente diferente del fraude IMEI. Mientras la clonación IMEI apunta a la identidad del dispositivo, el SIM swapping apunta a la identidad del suscriptor. El objetivo del atacante: tomar el control del número telefónico de la víctima para interceptar códigos de autenticación de dos factores por SMS, acceder a cuentas bancarias, billeteras de criptomonedas y cuentas de correo electrónico.

La cadena de ataque

Cadena de ataque SIM Swap
El atacante recopila datos personales de la víctima (redes sociales, filtraciones de datos, phishing)
El atacante contacta al operador (tienda, centro de llamadas, portal en línea) haciéndose pasar por la víctima
El agente del operador emite una nueva SIM con el MSISDN de la víctima (portabilidad o reemplazo de SIM)
La SIM original de la víctima se desactiva. El atacante recibe todas las llamadas y SMS.
El atacante intercepta códigos 2FA y accede a cuentas bancarias, email y criptomonedas

Huella de señalización NAS de un SIM swap

Desde la perspectiva de red, un SIM swap produce un patrón de señalización distintivo que los ingenieros de campo pueden identificar en trazas NAS:

  1. Cambio abrupto de IMSI en el mismo MSISDN: el HLR/HSS actualiza la asociación IMSI. El dispositivo de la víctima recibe un detach implícito. El dispositivo del atacante realiza un nuevo Attach Request con el IMSI de la nueva SIM pero un IMEI diferente.

  2. Attach Request con historial de localización inconsistente: el dispositivo del atacante se registra desde una ubicación sin correlación con el historial reciente de tracking area de la víctima. El MME/AMF ve a un suscriptor saltando de Madrid a Nairobi en minutos.

  3. Reinicialización de vectores de autenticación: la nueva SIM dispara nuevos vectores AKA. La red genera nuevos CK/IK (o K_AMF en 5G). Si hay monitoreo activo, esta rotación brusca de claves en un suscriptor activo es detectable.

  4. Patrón de restauración de servicio: el atacante intenta inmediatamente recibir SMS (esperando códigos 2FA). Los registros de red muestran intentos rápidos de entrega SMS-MT hacia el nuevo IMSI dentro de los minutos posteriores al swap.

Métodos de detección en el borde de la red

Detectar fraude IMEI y SIM swapping requiere un enfoque multicapa que combine monitoreo pasivo con verificación activa. Los ingenieros de campo operan en el borde de la red, donde estas amenazas se materializan primero.

Métodos de detección: pasiva vs activa

Detección pasiva

  • Monitoreo de mensajes NAS (Attach, TAU, Registration)
  • Seguimiento de correlación IMEI/IMSI
  • Análisis de patrones de localización
  • Huella RF (mismo IMEI, características radio diferentes)
  • Detección de anomalías de comportamiento (patrones de llamada, consumo de datos)

Detección activa

  • Verificación TAC contra la base de datos GSMA
  • Consulta de lista negra CEIR (verificación EIR en tiempo real)
  • Validación del dígito de control Luhn
  • Sondeo de capacidades del dispositivo (comandos AT, UE capability enquiry)
  • Alerta por frecuencia de cambio de IMEI

Verificación TAC contra la base GSMA

La verificación más fundamental: ¿el TAC del IMEI corresponde a un dispositivo real? Cuando un dispositivo presenta el TAC 35258010 (un Samsung Galaxy S24), la red puede verificar que las capacidades radio reportadas coinciden con las especificaciones del S24. Si el dispositivo afirma ser un Galaxy S24 pero solo soporta LTE Cat 4 (cuando el S24 soporta 5G NR con FR1+FR2), el IMEI probablemente está falsificado.

Huella RF

Cada transceptor radio posee características analógicas únicas: precisión de potencia de transmisión, desviación de frecuencia, desequilibrio I/Q, perfil de ruido de fase. Cuando el mismo IMEI aparece en dos sitios celulares simultáneamente, o cuando el mismo IMEI muestra firmas RF claramente diferentes en registros consecutivos, la clonación queda confirmada.

Esta técnica requiere acceso a mediciones a nivel de banda base. El decodificador de protocolo puede asistir en la correlación de registros IMEI con eventos de señalización.

Análisis NAS para detección de SIM swap

Los ingenieros de campo que analizan trazas NAS pueden identificar indicadores de SIM swap:

  • Registration Request donde el IMEI permanece sin cambios pero el IMSI cambia (reemplazo legítimo de SIM, pero amerita monitoreo)
  • Registration Request donde tanto IMEI como IMSI cambian para el mismo MSISDN en una ventana corta (indicador de SIM swap de alta confianza)
  • Authentication Failure en la SIM original de la víctima inmediatamente después del swap
  • Cambio de entrega SMS-MT a un nuevo TMSI/GUTI dentro de los minutos posteriores al cambio de IMSI

Marcos regulatorios y adopción del CEIR

El panorama regulatorio para la verificación IMEI varía drásticamente entre regiones. Algunos países exigen la aplicación del CEIR en tiempo real; otros no tienen ningún requisito de registro IMEI.

Adopción y aplicación del CEIR por región
India (CEIR obligatorio desde 2023)
95 %
Turquía (registro IMEI obligatorio)
92 %
Unión Europea (CEIR recomendado)
65 %
África subsahariana (adopción mixta)
40 %
América Latina (marcos emergentes)
30 %

India: el mayor despliegue CEIR

El Departamento de Telecomunicaciones de la India lanzó su CEIR nacional en 2023, cubriendo más de 1.200 millones de conexiones móviles. El sistema bloquea dispositivos con IMEI duplicados, no conformes o en lista negra. En su primer año, el CEIR indio identificó más de 4,5 millones de dispositivos con IMEI clonados o inválidos.

Turquía: registro IMEI obligatorio

Turquía exige el registro IMEI para cada dispositivo activado en sus redes. Los dispositivos importados del extranjero deben registrarse en un plazo de 120 días o enfrentan el bloqueo de red. Esta política ha reducido significativamente el mercado gris de dispositivos importados y ha frenado las operaciones de clonación IMEI.

Unión Europea: hacia la armonización

La UE aún no impone un CEIR unificado, pero el Código Europeo de Comunicaciones Electrónicas (CECE) alienta a los Estados miembros a implementar bases de datos de identidad de equipos. Varios Estados miembros (Francia, Alemania, España) operan bases EIR nacionales que alimentan el CEIR global de la GSMA.

La presión por la adopción obligatoria del CEIR se intensifica. La revisión 2025 del CECE por la Comisión Europea incluye propuestas para la verificación IMEI armonizada en todos los Estados miembros.

Implicaciones para la ingeniería de campo

Para los ingenieros telecom en el terreno, el fraude IMEI y el SIM swapping no son amenazas abstractas. Se manifiestan como anomalías de red inexplicables que pueden confundirse con errores de configuración o problemas de RF.

Indicadores clave a vigilar durante drive tests y aceptación de sitios:

  • IMEI idénticos múltiples registrándose en diferentes celdas simultáneamente
  • Inconsistencias de TAC: un dispositivo que afirma ser un smartphone 5G pero se registra con capacidades solo LTE
  • Frecuencia anormal de Attach/Registration: un mismo IMEI realizando decenas de Attach Requests por hora
  • Rotación de IMSI: el mismo IMEI ciclando a través de múltiples IMSI en sucesión rápida
  • Inconsistencias de localización: un IMEI apareciendo en celdas geográficamente distantes en plazos que desafían cualquier desplazamiento físico

Estas anomalías son visibles en las trazas NAS capturadas durante operaciones de campo. El monitoreo sistemático transforma a los ingenieros de campo de observadores pasivos en la primera línea de detección de fraude.

La verificación IMEI no es un simple ejercicio de cumplimiento. Es la capa fundamental de seguridad de red que conecta la identidad del dispositivo con la confianza del suscriptor. A medida que la adopción del CEIR se expande y el monitoreo NAS se generaliza, la brecha entre ejecución del fraude y detección se reduce. La pregunta para los reguladores ya no es si deben exigir la participación en el CEIR, sino con qué rapidez pueden implementarla. ¿Dónde se encuentra su red?

Compartir: LinkedIn X
Takwa Sebai
Takwa Sebai

Fundadora de HiCellTek. +15 años en telecomunicaciones, lado operador, lado fabricante, lado campo. Construyendo la herramienta de campo que los ingenieros RF merecen.

LinkedIn Contacto
¿Listo para el campo?

Solicita una demostración personalizada de HiCellTek, diagnóstico de red 2G/3G/4G/5G en Android.

Solicitar una demo Ver producto

Artículos relacionados

27/3/2026
Network Slicing 5G y NIS2: asegurar las franjas de infraestructura crítica
network slicing 5gdirectiva nis2infraestructura crítica

Recibe insights de ingeniería RF y tips de campo

Cancela en un clic. Datos procesados en la UE.