Mirar la bandeja de mensajes del móvil se ha convertido en un pequeño ejercicio de confianza. Cada vez más SMS ya no llegan desde un número, sino desde un alias alfanumérico: el nombre del banco, de una empresa de mensajería, de una compañía eléctrica o de una administración. A simple vista es cómodo, porque evita tener que memorizar números y ayuda a reconocer al remitente en segundos. Pero esa misma comodidad ha abierto la puerta a uno de los engaños más eficaces del smishing: la suplantación del alias.
España prepara un cambio que, sobre el papel, corta de raíz la parte más peligrosa del problema. A partir de junio de 2026, las operadoras bloquearán los mensajes SMS (y también los que viajen por canales empresariales equivalentes como RCS cuando se usen estos identificadores) que lleguen con alias alfanuméricos no registrados. La medida nace con un objetivo muy concreto: impedir que un delincuente pueda enviar un “SMS del banco” usando exactamente el mismo remitente de texto que usa la entidad real.
Qué es un alias y por qué se ha vuelto un riesgo
El alias alfanumérico es, básicamente, un nombre de remitente. Las empresas lo usan para que el destinatario identifique el origen sin tener que guardarlo en la agenda. El problema es que, durante años, ese campo ha sido relativamente fácil de manipular: no hace falta “robar” un número, basta con aparecer con el mismo nombre.
Y aquí entra el detalle que explica por qué esta modalidad es tan efectiva: el móvil agrupa los SMS por remitente. Si un atacante consigue que su mensaje llegue con el mismo alias que el de un banco, puede acabar dentro del mismo hilo donde ya hay comunicaciones legítimas. La escena es conocida: “bloqueo de cuenta”, “cargo sospechoso”, “actualiza tus datos”, un enlace y la prisa como combustible. El usuario no ve un remitente raro: ve el mismo de siempre.
La consecuencia es que el alias —pensado para aumentar claridad— se ha convertido en un mecanismo de “maquillaje” perfecto para el fraude.
La fecha clave: junio de 2026
El filtrado de alias no llega de la nada. Forma parte de una estrategia más amplia del Gobierno para limitar las estafas de suplantación en comunicaciones móviles. En esa misma línea, desde el 7 de junio de 2025 las operadoras ya filtran llamadas entrantes para frenar la falsificación del identificador de llamada (CLI spoofing), bloqueando aquellas que aparentan números españoles cuando realmente se originan desde redes no españolas o usan numeración inválida.
Con los mensajes, el calendario se dejó para más adelante. El resultado práctico es que durante 2025 y buena parte de 2026 seguirá siendo posible ver campañas que “clonan” el alias de marcas conocidas… hasta que el nuevo sistema entre en vigor.
El nuevo registro de alias: cómo funcionará
El corazón del cambio es el Registro de alias que prepara la CNMC. La idea es crear una base de datos donde las empresas que quieran enviar mensajes con un remitente de texto tengan que registrar previamente ese alias.
A partir de junio de 2026, la lógica será sencilla:
- Si un SMS llega con un alias que no existe en el registro, se bloqueará.
- Si el alias está registrado, pero el mensaje se origina desde un canal no autorizado para ese remitente, también podrá bloquearse.
En otras palabras: no bastará con “llamarse” como el banco; el sistema exigirá que ese alias esté dado de alta y asociado a un emisor legítimo.
Requisitos: no todo vale, adiós a nombres genéricos
Uno de los puntos clave es que el registro no pretende ser un “mercado libre de nombres”. La CNMC plantea condiciones para evitar abusos y confusiones:
- El alias tendrá que tener relación con la empresa: por ejemplo, que coincida con marca, nombre comercial, denominación social o dominio de Internet, entre otras opciones.
- Si no encaja de forma directa, se podrá requerir una declaración responsable.
- No se aceptarán alias genéricos que puedan inducir a error, como “Banco” o “Urgente”.
El objetivo es doble: que el alias sea reconocible, pero también verificable y difícil de imitar sin dejar rastro.
¿Qué cambia para el usuario? Menos “SMS clonados”, pero no inmunidad total
En el día a día, el usuario debería notar sobre todo una cosa: se reducirá la estafa más creíble, la que se mete en el mismo hilo de conversación que mensajes reales de una entidad conocida. Ese es el golpe más directo al smishing.
Sin embargo, el cambio no significa que el fraude desaparezca. Quedan vías:
- Mensajes con remitente numérico: el registro se centra en alias alfanuméricos. Esto implica que seguirán existiendo SMS desde números “normales”, incluidos los que pueden originarse desde granjas de SIM.
- Otros canales: mensajería instantánea, correo electrónico, llamadas, redes sociales.
- Ingeniería social: el texto seguirá intentando presionar al usuario con urgencia, miedo o premios falsos.
Por eso, aunque el sistema eleva la barrera, la recomendación práctica no cambia: desconfiar de enlaces, no facilitar credenciales desde un SMS y, ante dudas, acudir a la app oficial o a los canales habituales de la empresa.
¿Y qué implica para empresas y administraciones?
Para las compañías que usan SMS de forma habitual (bancos, logística, utilities, ecommerce o administraciones), el impacto es operativo:
- Tendrán que registrar sus alias con antelación.
- Tendrán que asegurarse de que el proveedor o ruta desde la que envían los SMS está alineado con lo que exija el registro.
- Quien no lo haga corre el riesgo de ver bloqueadas campañas legítimas: alertas, notificaciones, citas, OTP, recordatorios.
En el fondo, es el mismo giro que ya se ha visto en otros ámbitos: para que el usuario pueda confiar, el ecosistema necesita un sistema de identidad verificable. Y eso introduce burocracia, sí, pero también reduce un abuso que llevaba años “barato” para el atacante.
Preguntas frecuentes
¿Qué es un alias alfanumérico en SMS y por qué lo usan tantas empresas?
Es el nombre de remitente que aparece como texto (por ejemplo, una marca). Se usa para que el usuario identifique rápido el origen del mensaje sin depender de un número.
¿A partir de cuándo se bloquearán los SMS con alias no registrados en España?
Desde junio de 2026, según el plan regulatorio que acompaña la creación del registro de alias.
¿Esto elimina todos los SMS de phishing?
No. Reduce de forma importante los fraudes que suplantan alias, especialmente los que se “cuelan” en el hilo del banco o una empresa conocida. Pero seguirán existiendo campañas desde números normales y otros canales.
¿Cómo podrá un usuario comprobar quién está detrás de un alias?
La CNMC prevé habilitar un portal público para consultar alias activos y su titular, lo que facilitaría verificar remitentes y también respaldar reclamaciones en caso de spam o fraude.
Fuente:
- CNMC — Proyecto de circular sobre el Registro de alias (CIR/DTSA/010/25), en trámite de audiencia.
