El bloqueo de SMS fraudulentos se ha convertido en una de las principales medidas para frenar las estafas por mensaje, el smishing y la suplantación de marcas. La nueva regulación afecta tanto a empresas que envían comunicaciones comerciales como a ciudadanos que reciben mensajes sospechosos. Los SMS fraudulentos se han convertido en una de las formas más habituales de estafa digital. Mensajes que aparentan proceder de bancos, empresas de mensajería, Hacienda, la Seguridad Social, plataformas de pago o comercios conocidos pueden utilizarse para engañar al usuario y conseguir datos personales, claves bancarias o autorizaciones de pago. Para combatir este tipo de fraude, España ha aprobado nuevas medidas destinadas a bloquear mensajes enviados con remitentes falsos o no registrados. La medida afecta especialmente a los SMS, MMS y mensajes RCS que utilizan un alias identificativo, es decir, un nombre de remitente que aparece en el teléfono del usuario en lugar de un número ordinario. La entrada en vigor efectiva del bloqueo de determinados mensajes con alias no registrados se ha aplazado hasta el 15 de septiembre de 2026, con el objetivo de permitir que empresas, administraciones y operadores de telecomunicaciones completen correctamente el proceso de registro y adaptación.

Qué son los SMS fraudulentos o smishing

El smishing es una modalidad de fraude que utiliza mensajes SMS o similares para suplantar la identidad de una entidad legítima. El usuario recibe un mensaje que aparenta proceder de una empresa conocida o de una Administración pública. Normalmente se le pide que pulse un enlace, confirme datos, pague una pequeña cantidad, descargue una aplicación o facilite claves de acceso. Algunos ejemplos habituales son:

• falsos SMS del banco alertando de un cargo sospechoso;
• mensajes que simulan ser de Correos o empresas de paquetería;
• avisos falsos de Hacienda o Seguridad Social;
• supuestas multas pendientes;
• enlaces para desbloquear cuentas;
• mensajes de verificación o códigos de seguridad fraudulentos.

El problema es que muchos de estos mensajes utilizan nombres o alias que parecen legítimos, lo que aumenta la confianza del usuario y facilita la estafa.

Qué cambia con el nuevo bloqueo de remitentes

La nueva regulación obliga a reforzar la identificación de los remitentes utilizados en mensajes cortos. Cuando una empresa, entidad pública o proveedor utilice un alias para enviar SMS, MMS o RCS, ese alias deberá estar correctamente registrado y asociado a quien realmente tiene derecho a usarlo. La finalidad es evitar que terceros puedan enviar mensajes usando nombres que aparenten corresponder a bancos, administraciones, empresas de transporte, aseguradoras, clínicas, comercios u otras entidades conocidas. En la práctica, cuando el sistema esté plenamente operativo, los operadores deberán bloquear determinados mensajes enviados con alias no registrados o no correctamente habilitados.

Por qué se aplaza hasta el 15 de septiembre de 2026

La aplicación efectiva de esta fase del sistema estaba prevista inicialmente para junio de 2026. Sin embargo, se ha aplazado hasta el 15 de septiembre de 2026. El motivo principal es la complejidad técnica y operativa del proceso. Muchas empresas y entidades utilizan alias para comunicarse con clientes, pacientes, usuarios o ciudadanos. Si el bloqueo se aplicara sin una transición suficiente, podrían bloquearse mensajes legítimos, como avisos bancarios, notificaciones médicas, comunicaciones de servicios públicos o mensajes de comercios. Por eso, el aplazamiento permite dar más tiempo para registrar alias, validar titulares y adaptar los sistemas de envío de mensajes.

A quién afecta esta medida

La medida afecta a dos grandes grupos: empresas y ciudadanos. Para las empresas, implica revisar cómo envían SMS o comunicaciones equivalentes a sus clientes. Para los ciudadanos, puede suponer una mayor protección frente a mensajes fraudulentos y suplantaciones de identidad. Puede afectar especialmente a:

• bancos y entidades financieras;
• aseguradoras;
• clínicas y centros médicos;
• asesorías y despachos profesionales;
• comercios y plataformas de venta;
• empresas de transporte y mensajería;
• administraciones públicas;
• empresas que usan SMS para citas, avisos, códigos o recordatorios;
• proveedores tecnológicos de mensajería;
• ciudadanos que reciben comunicaciones por SMS.

Qué deben revisar las empresas

Las empresas que envían SMS a clientes o usuarios deben revisar cuanto antes si utilizan alias identificativos y si esos alias están correctamente registrados. También deben comprobar si sus proveedores de mensajería están adaptados al nuevo sistema y si pueden acreditar correctamente la titularidad o legitimidad del alias utilizado. En especial, conviene revisar:

• qué alias utiliza la empresa;
• qué proveedor envía los mensajes;
• si el alias está registrado correctamente;
• si hay varios proveedores enviando con el mismo alias;
• si los mensajes pueden ser bloqueados a partir del 15 de septiembre de 2026;
• si existen comunicaciones críticas con clientes;
• si se deben actualizar contratos con proveedores tecnológicos;
• si la empresa informa correctamente a sus clientes sobre sus canales oficiales.

Una mala adaptación puede provocar que mensajes legítimos no lleguen a sus destinatarios.

Qué deben saber los ciudadanos

Para los ciudadanos, esta medida puede reducir el riesgo de recibir mensajes fraudulentos que utilizan nombres falsos o suplantados. Sin embargo, no elimina por completo el riesgo de estafa. Los delincuentes pueden seguir utilizando otros métodos, como números ordinarios, llamadas, correos electrónicos, WhatsApp, webs falsas o enlaces maliciosos. Por eso, aunque el sistema de bloqueo refuerce la protección, conviene mantener precauciones básicas:

• no pulsar enlaces sospechosos;
• no facilitar claves bancarias por SMS;
• no introducir datos personales en páginas abiertas desde mensajes dudosos;
• verificar siempre la comunicación desde la app oficial o web oficial;
• desconfiar de mensajes urgentes, amenazas o supuestos bloqueos de cuenta;
• contactar directamente con la entidad si existe duda;
• conservar capturas y justificantes si se ha producido un fraude.

Qué pasa si una persona ha sido víctima de una estafa por SMS

Cuando una persona sufre un fraude por SMS, es importante actuar con rapidez. En estos casos, puede ser necesario analizar:

• el contenido del mensaje recibido;
• la entidad suplantada;
• el enlace utilizado;
• los cargos realizados;
• la respuesta del banco;
• si se autorizó o no la operación;
• si hubo suplantación de identidad;
• si procede reclamar a la entidad financiera;
• si es conveniente presentar denuncia;
• si existen responsabilidades de terceros.

Cada caso debe estudiarse de forma individual, porque no todos los fraudes son iguales ni todas las operaciones tienen la misma defensa jurídica. En Levy Abogados podemos revisar la documentación, valorar la viabilidad de una reclamación y orientar al afectado sobre los siguientes pasos.

Empresas y responsabilidad ante comunicaciones fraudulentas

Las empresas también deben proteger su identidad digital. Si una marca es suplantada mediante SMS fraudulentos, puede sufrir un daño reputacional importante, aunque no haya participado en el fraude. Por eso, no basta con cumplir formalmente el registro de alias. También es conveniente establecer protocolos internos para detectar suplantaciones, informar a clientes y reaccionar ante campañas fraudulentas. Una empresa debería revisar:

• si sus alias están correctamente registrados;
• si sus proveedores cumplen la normativa;
• si existen canales oficiales claros;
• si los clientes saben cómo identificar comunicaciones legítimas;
• si se monitorizan posibles usos fraudulentos de la marca;
• si existe un protocolo de respuesta ante suplantaciones;
• si se han actualizado textos legales, avisos y políticas de comunicación.

Qué relación tiene con las llamadas comerciales

La normativa contra estafas de suplantación no se limita a los SMS. También incluye medidas sobre llamadas telefónicas, identificación de numeración y comunicaciones comerciales. Uno de los objetivos generales es impedir que se utilicen números falsos, no asignados o manipulados para generar confianza en la víctima. También se busca mejorar la identificación de llamadas comerciales y reforzar la transparencia en las comunicaciones con usuarios. Por tanto, las empresas no solo deben revisar sus SMS. También conviene revisar cómo realizan llamadas, desde qué números llaman y si sus sistemas cumplen con las nuevas exigencias.

Por qué esta medida es importante

La medida es importante porque el fraude por SMS se basa precisamente en la confianza. Si un usuario ve en su teléfono el nombre de su banco, de una empresa de paquetería o de una Administración pública, puede creer que el mensaje es auténtico. El registro y bloqueo de alias pretende reducir ese riesgo. Aun así, la protección técnica no sustituye al asesoramiento jurídico cuando ya se ha producido una estafa, un cargo no autorizado o una suplantación de identidad.

Conclusión

El bloqueo de SMS fraudulentos en 2026 supone un paso importante contra las estafas digitales y la suplantación de identidad. Para las empresas, el reto está en registrar correctamente sus alias, revisar proveedores y evitar que sus comunicaciones legítimas sean bloqueadas. Para los ciudadanos, la medida ofrece mayor protección, pero no elimina la necesidad de actuar con prudencia ante mensajes sospechosos. Si has sido víctima de una estafa por SMS, has sufrido cargos no autorizados o tu empresa necesita revisar sus comunicaciones electrónicas con clientes, es recomendable recibir asesoramiento jurídico cuanto antes para valorar las posibles acciones.