El sistema que debe impedir la suplantación de remitentes en SMS, MMS y RCS no estará listo en la fecha prevista. El Ministerio para la Transformación Digital y de la Función Pública ha preparado una modificación de la Orden TDF/149/2025 para aplazar la entrada en vigor de las obligaciones de bloqueo, inicialmente fijada para el 7 de junio de 2026. La nueva fecha prevista es el 15 de septiembre de 2026.
El retraso no supone una marcha atrás en el plan contra el fraude, sino un intento de evitar que el remedio genere un problema nuevo: bloquear mensajes legítimos de bancos, administraciones, hospitales, aseguradoras, empresas de reparto o servicios de atención al cliente por no haber completado correctamente el registro de sus alias. El propio proyecto de orden habla de una “extraordinaria complejidad” técnica, operativa y organizativa en la carga masiva de los alias ya en uso.
Qué se quería bloquear y por qué es importante
El objetivo de la medida es combatir una de las técnicas más habituales del smishing: el uso de un remitente falso o alias alfanumérico para que un mensaje fraudulento parezca proceder de una entidad conocida. En lugar de recibir un SMS desde un número desconocido, la víctima ve en su móvil un nombre familiar, como el de un banco, una empresa de mensajería, una energética o una administración pública.
Ese detalle es lo que hace más peligrosa la estafa. Muchos teléfonos agrupan los SMS por remitente, de modo que un mensaje fraudulento enviado con el mismo alias que una entidad legítima puede aparecer dentro de una conversación donde antes había avisos reales. El usuario baja la guardia porque el mensaje parece formar parte de un hilo conocido.
La Orden TDF/149/2025 introdujo medidas para combatir tanto las llamadas con identidad falseada como los mensajes fraudulentos. En el caso de SMS, MMS y RCS, la solución pasa por un Registro de Alias gestionado por la Comisión Nacional de los Mercados y la Competencia. La idea es que solo puedan llegar al usuario los mensajes cuyo alias esté inscrito y asociado a su titular legítimo, y que además procedan de proveedores habilitados para usarlo.
La Circular 1/2026 de la CNMC desarrolló ese registro y estableció cómo debían inscribirse titulares y proveedores de servicios de mensajería. Según la circular, todos los proveedores que participen en la transmisión de mensajes con alias a números españoles tendrán obligaciones de bloqueo cuando el alias no conste en el registro o cuando el proveedor no esté habilitado para enviarlo.
La dificultad: demostrar quién puede usar cada alias
El problema ha aparecido durante la fase de pruebas y carga masiva. No basta con que una empresa diga que usa un alias. Debe acreditar su vinculación legítima con ese nombre, marca, denominación o identificador. Y debe hacerlo en un sistema donde intervienen titulares de alias, agregadores, proveedores de mensajería, operadores de telecomunicaciones y la propia CNMC.
El proyecto de orden explica que la inscripción está condicionada, entre otros aspectos, a acreditar la relación legítima entre alias y titular, además de cumplir formatos, requisitos y reglas establecidos por la circular. También señala que la ampliación del plazo permitirá culminar las actuaciones técnicas, organizativas y de coordinación necesarias antes de activar los bloqueos obligatorios.
La preocupación principal es que el sistema empiece a bloquear comunicaciones que sí son legítimas. El Ministerio cita expresamente el riesgo de impedir la recepción de mensajes relevantes o necesarios en relaciones personales, profesionales o administrativas. Entre los ejemplos menciona citaciones, recordatorios o notificaciones sanitarias, así como comunicaciones vinculadas a procedimientos y citas administrativas.
El aplazamiento busca, por tanto, dar más margen para depurar la base de datos y enlazar correctamente alias, titulares y proveedores. Si el registro se activa sin suficiente calidad, el usuario podría quedar protegido frente a ciertos fraudes, pero perder también mensajes importantes. En un canal todavía muy usado para avisos bancarios, códigos de verificación, citas médicas o comunicaciones públicas, ese riesgo no es menor.
Las operadoras pedían una transición más ordenada
El diagnóstico del Ministerio coincide con las advertencias del sector. DigitalES, asociación que agrupa a grandes compañías de telecomunicaciones y tecnología, había pedido una transición ordenada antes del bloqueo automático de SMS fraudulentos. La asociación alertó de que la entrada en vigor de los bloqueos suponía un “cambio estructural” en el funcionamiento del canal SMS, que gestiona millones de comunicaciones diarias, muchas de ellas relacionadas con servicios esenciales, comunicaciones financieras o avisos administrativos.
La posición de las operadoras no se limita a una cuestión de comodidad. El filtrado de alias exige que todos los actores de la cadena compartan información fiable. Si una empresa usa varios proveedores, si un agregador opera para distintas marcas o si una administración emplea alias distintos para servicios diferentes, el sistema debe reconocer esas relaciones sin dejar huecos a la suplantación.
La CNMC ya había creado el Registro de Alias para verificar los nombres o identificadores que aparecen como remitentes en los mensajes. En su comunicación de marzo, el regulador explicó que el objetivo era evitar que ciberdelincuentes usen alias de marcas o instituciones para engañar a los usuarios mediante mensajes de texto.
El nuevo calendario da unos tres meses más de margen. Si el texto se aprueba tal como está redactado, los artículos 7.2 y 8 de la Orden TDF/149/2025 producirán efectos el 15 de septiembre de 2026. La orden entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado.
Qué implica para ciudadanos, empresas y administraciones
Para los ciudadanos, el retraso significa que habrá que mantener la cautela durante más tiempo. Los mensajes que aparentan proceder de entidades conocidas seguirán siendo una vía de ataque. Conviene desconfiar de enlaces recibidos por SMS, no introducir credenciales bancarias desde enlaces acortados o urgentes, y acceder siempre a servicios sensibles desde la app oficial o escribiendo la dirección en el navegador.
Para empresas y administraciones, el aplazamiento no debería interpretarse como una pausa. Es una oportunidad para revisar alias en uso, verificar titularidades, coordinarse con proveedores de mensajería y evitar bloqueos cuando el sistema entre en vigor. Quien no complete bien el proceso puede encontrarse en septiembre con mensajes que no llegan a sus clientes o usuarios.
El caso también muestra la dificultad de regular un canal aparentemente sencillo. El SMS parece una tecnología antigua, pero sigue siendo crítico en procesos de autenticación, avisos públicos, logística, atención sanitaria y banca. Bloquear el fraude sin romper comunicaciones legítimas exige una base de datos limpia, reglas claras y coordinación real entre demasiados actores.
La lucha contra las estafas por suplantación avanza, pero no basta con activar un interruptor. El bloqueo de alias fraudulentos puede reducir mucho el engaño si funciona bien. Si se precipita, puede bloquear comunicaciones necesarias y erosionar la confianza en el propio sistema. El Gobierno ha optado por ganar tiempo. Ahora la clave será usar esos meses para que el registro llegue a septiembre con menos dudas y menos riesgo de daños colaterales.
Preguntas frecuentes
¿Cuándo se aplicará el bloqueo de SMS con alias no registrados?
El proyecto de orden retrasa la entrada en vigor de las obligaciones de bloqueo al 15 de septiembre de 2026.
¿Qué es un alias en un SMS?
Es el nombre o identificador que aparece como remitente del mensaje, por ejemplo el de un banco, una empresa de reparto o una administración.
¿Por qué se retrasa la medida?
Porque la carga masiva de alias en uso y la verificación de que cada titular tiene derecho a utilizar su alias han resultado más complejas de lo previsto.
¿Qué deben hacer los usuarios mientras tanto?
Mantener la prudencia: no pulsar enlaces sospechosos, no introducir claves desde SMS urgentes y comprobar siempre los avisos bancarios o administrativos desde canales oficiales.
