Abrir la bandeja de SMS de cualquier móvil en España ya no es lo que era. Donde antes aparecía un número de teléfono, hoy es habitual ver remitentes como “BANCOX”, “MIENERGIA” o “SEGURIDAD”. Son alias alfanuméricos pensados para que el usuario identifique de un vistazo quién escribe, incluso si no tiene ese contacto guardado. El problema es que, precisamente por esa familiaridad, se han convertido en una autopista para el fraude.
Los ciberdelincuentes llevan tiempo explotando una debilidad práctica: el alias puede falsificarse. Y cuando eso ocurre, el móvil suele hacer el resto del trabajo sucio: agrupa los mensajes por remitente. Así, un SMS malicioso que llegue con el mismo alias que el de una entidad legítima puede aparecer en el mismo hilo de conversación que notificaciones reales, aumentando la probabilidad de que el usuario confíe en él y pulse un enlace.
Esa es la grieta que España quiere cerrar a partir del 7 de junio de 2026, fecha en la que empezarán a aplicarse las obligaciones de bloqueo vinculadas al nuevo Registro de alias gestionado por la CNMC.
Qué cambia exactamente: un “DNI” para el remitente alfanumérico
La idea central es sencilla: si una empresa o administración quiere enviar SMS/MMS/RCS con alias, tendrá que registrarlo previamente. Y las operadoras (y otros actores de la cadena) deberán bloquear los mensajes que:
- lleguen con un alias que no conste en el registro, o
- usen un alias registrado, pero no provengan del proveedor autorizado para originar ese tráfico.
El registro no es un simple listado de nombres. La propuesta de circular detalla que para cada alias, además de identificar al titular, se asociará el proveedor de origen habilitado para emitir mensajes con ese remitente, de forma que la red pueda validar si el mensaje “sale” por el canal correcto.
En la práctica, esto busca frenar el tipo de estafa más dañina: la del mensaje que “parece del banco” porque llega con el mismo alias y cae en la misma conversación.
Un calendario con fecha marcada: 7 de junio de 2026
El marco que habilita estas medidas es la Orden TDF/149/2025, publicada en el BOE en febrero de 2025, que encargó a la CNMC la gestión del registro y estableció obligaciones para los operadores. La propia propuesta de circular recuerda que las obligaciones relevantes (incluyendo el bloqueo) producirán efectos a los quince meses de la entrada en vigor, lo que sitúa el arranque en junio de 2026.
Esto también explica por qué, a día de hoy, todavía es posible ver campañas de smishing que imitan a marcas conocidas usando alias alfanuméricos: el “candado” está aprobado como objetivo regulatorio, pero su despliegue real tiene ese plazo.
Cómo será el registro: quién puede pedir un alias y qué requisitos tendrá
La propuesta de circular de la CNMC plantea que el alta se realice mediante formulario web en la sede electrónica, usando certificado digital válido. El solicitante aportará datos de la entidad (NIF/IVA intracomunitario, domicilio, representante legal, etc.) y seleccionará el proveedor de origen de una lista de proveedores registrados.
Pero el punto más delicado es el propio texto del alias. Para que un nombre sea aceptado, la CNMC exige vinculación legítima con la entidad: por ejemplo, mediante marca registrada, nombre comercial, denominación social o dominio de Internet, entre otros. Si no existe esa vinculación “de libro”, se contempla la vía de una declaración responsable justificando su uso legítimo y habitual.
Y hay límites claros: los alias para SMS/MMS deberán tener entre 3 y 11 caracteres, con un conjunto de caracteres admitidos y una lista de exclusiones (acentos, ciertos símbolos, monedas, etc.). Además, se rechazarán alias genéricos que puedan inducir a error, como ejemplos del tipo “Banco” o “Urgente”, y también se evita que se juegue con variaciones (mayúsculas/minúsculas) como si fueran remitentes diferentes.
No es solo “las operadoras”: se vigila toda la cadena del mensaje
Uno de los detalles más técnicos —y a la vez más importantes— del diseño es que no se responsabiliza únicamente al operador final. La circular describe roles como proveedor de origen, proveedor de tránsito y proveedor de terminación, y asigna obligaciones de bloqueo en cada punto para que el filtro no dependa de un único eslabón.
Además, se exige a los proveedores registrados que mantengan durante dos años un histórico con bloqueos diarios por alias y cifras totales, y que remitan estadísticas de forma periódica (con un esquema de reporte anual y un arranque excepcional semestral en el primer año).
Es, en esencia, un sistema de control con “trazabilidad”: no solo se bloquea, sino que se genera evidencia para supervisión y, si procede, sanción.
¿Qué pasa con los mensajes internacionales y el roaming?
El texto prevé un foco especial en los mensajes que entran desde el extranjero con alias “español”. Se contempla el bloqueo de SMS/MMS/RCS recibidos por interfaces internacionales cuando presenten un alias español, con una excepción relevante: la itinerancia internacional.
Y hay un matiz llamativo: para ciertos casos de itinerancia, la circular describe la posibilidad de sustituir el alias por “NO VALIDADO” para que el usuario vea explícitamente que ese remitente no puede verificarse con el registro nacional en ese contexto.
¿Esto acaba con el smishing? No, pero le corta el camino más creíble
El objetivo es claro: reducir drásticamente el fraude que se apoya en la confianza visual del remitente. Si el alias tiene que estar registrado y, además, el mensaje debe viajar por el proveedor autorizado, suplantar a una marca conocida se vuelve mucho más difícil.
Ahora bien, la propia circular deja fuera de su ámbito los mensajes cuyo identificador sea únicamente numérico (por ejemplo, ciertos envíos desde numeración tradicional). Esto significa que el fraude no desaparecerá por arte de magia: parte se desplazará a otros vectores (números “normales”, llamadas, mensajería instantánea, redes sociales) o insistirá en técnicas de ingeniería social.
La diferencia es que, para junio de 2026, el usuario debería ver menos de esos SMS “perfectamente camuflados” dentro del hilo de su banco o su compañía eléctrica.
Preguntas frecuentes
¿Qué es un alias alfanumérico en un SMS y por qué aparece en lugar del número?
Es un identificador de texto (por ejemplo, una marca) que se muestra como remitente. Se usa para que el receptor reconozca fácilmente a la empresa o administración que envía el mensaje, sin depender de un número.
¿Cómo sabré si el alias de un SMS está registrado y es legítimo?
La CNMC prevé un portal web de acceso público para consultar alias activos, su titular y la fecha de activación, precisamente para que los usuarios puedan verificar quién está detrás de un remitente.
¿Qué deben hacer las empresas para que no se les bloqueen los SMS a partir de junio de 2026?
Registrar su alias antes de usarlo y asegurarse de que los mensajes salen por el proveedor de origen autorizado en el registro. Si el alias no está inscrito o el tráfico llega por un proveedor no autorizado, se bloqueará.
¿Afectará a los SMS de verificación (códigos OTP) y avisos bancarios?
Afectará a los que se envíen con alias alfanumérico: deberán estar registrados. Los envíos con identificador numérico no entran en el ámbito del registro tal y como está planteado en la circular.
Fuentes:
- Propuesta de Circular de la CNMC (CIR/DTSA/010/25) sobre el Registro de alias (trámite de audiencia).
- bandaancha.eu — “Las operadoras bloquearán a partir de junio 2026 los mensajes SMS que tengan como remitente alias alfanuméricos no registrados” (Joshua Llorach).
