Freno a la suplantación de identidad en llamadas y SMS

Recibes un SMS en cuya cabecera aparece como remitente el nombre de tu banco, de un organismo público (Hacienda, Tráfico, etc.) o de una empresa de paquetería; o el número llamante que te muestra la pantalla antes de descolgar coincide con el número de teléfono de tu oficina bancaria. Pero la realidad es que el número desde el que se está haciendo verdaderamente esa llamada o enviando ese mensaje es otro. Esto es lo que se conoce como manipulación del identificador de línea llamante (spoofing telefónico) y supone una suplantación de la identidad de otra empresa u organismo.

Se trata de un procedimiento bastante sencillo de poner en práctica, pues el protocolo internacional que utilizan las operadoras para intercambiar llamadas se desarrolló en la década de los 70 y presenta numerosas vulnerabilidades de seguridad. Además, resultará tremendamente complejo identificar al responsable, por lo que el grado de impunidad es bastante elevado. Por otro lado, también es habitual que recibas una llamada desde un número móvil -probablemente a la hora de la comida- que dice que es del servicio de atención al cliente de tu compañía de telefonía o electricidad, aunque no lo sea, o que quiere venderte algo.

Estas y otras similares son técnicas fraudulentas que emplean los delincuentes -o empresas de marketing agresivo que bordean lo delictivo- para, a través del engaño, conseguir que, por ejemplo, proporcionemos información personal y financiera confidencial, facilitemos nuestras claves personales, pinchemos en un vínculo que instalará un programa malicioso en nuestro móvil, realicemos una transferencia bancaria o contratemos un servicio.

Estas prácticas han crecido exponencialmente en los últimos años y originan no solo considerables perjuicios económicos a los destinatarios a los que se consigue estafar, sino también costes para los operadores de telecomunicaciones que tienen que dimensionar sus redes para canalizar estos miles de SMS y llamadas fraudulentas. Además, generan una desconfianza en las comunicaciones electrónicas que perjudica a aquellas empresas y organismos públicos que las utilizan adecuadamente y a su propio desarrollo general.

Para intentar poner freno a estos fraudes, se acaba de aprobar la Orden Ministerial TDF/149/2025, de 12 de febrero. Las principales medidas que impone esta norma son las siguientes:

• Los operadores (Movistar, Orange, Vodafone, etc.) deberán bloquear las llamadas y los SMS con un identificador de línea llamante que presente las siguientes incidencias: no tenga identificador; el formato sea erróneo; no esté atribuido a ningún servicio; corresponda a un número de teléfono español que no haya sido asignado a ningún operador (de los 100 millones de números móviles disponibles en España, no están asignados a ningún operador unos 16 millones); o habiendo sido asignado a un operador (por ej., el bloque de numeración móvil que comienza por 6841 está asignado a Movistar), a este le conste que todavía no ha sido adjudicado a ningún cliente. Obsérvese que lo que no queda cubierto -por las dificultades técnicas y de otra índole que acarrearía su puesta en marcha- es cuando el delincuente suplanta un número asignado a un cliente. En fin, el fraude de simular el número de tu oficina bancaria podrá seguir produciéndose, salvo que el número real que está realizando la llamada esté fuera de España.
• También se bloquearán las llamadas y SMS recibidas desde el extranjero cuando presenten como identificador un número de teléfono español, salvo que se trate de un caso de itinerancia internacional (roaming). Se espera que esta sea una medida bastante efectiva, pues buena parte de este tipo de ataques a través de llamadas o SMS provienen de fuera de España -particularmente, India, Nigeria, Rusia o China-.
• Se creará una base de datos nacional donde se inscribirán los alias que quieran utilizar las empresas y administraciones (por ej., el alias “BBVA” o “Agencia Tributaria”). A partir de ahí, se bloquearán los SMS identificados mediante alias no registrados (por ej., “BBV-A”) o con alias registrados que no hayan sido recibidos de proveedores habilitados en dicha base de datos para su envío.
• Se prohíbe que las llamadas comerciales y para la prestación de servicios de atención al cliente se realicen desde un número de móvil. Por tanto, el consumidor puede fácilmente sospechar que es un fraude si recibe una llamada de este tipo desde una numeración móvil.

La legislación no permitía a las operadoras domiciliadas en España, aunque les constara el uso fraudulento, bloquear esas llamadas o SMS. A partir de ahora no solo es que podrán, sino que deberán hacerlo. Según informa el Gobierno, en otros estados donde se han puesto en marcha medidas similares, se han reducido las estafas por suplantación de identidad en casi un 90%.

Pero la entrada en vigor de la norma es escalonada, fundamentalmente para permitir a los operadores de telecomunicaciones y prestadores de servicios de mensajería su adaptación a los nuevos requisitos. Unas previsiones serán efectivas dentro de veinte días, y otras a los tres y quince meses. Por tanto, todavía tendremos que esperar un tiempo para ver si en España resultan igual de eficaces y si los delincuentes no desarrollan otras técnicas o métodos. En cualquier caso, mejor no bajar la guardia.