Recibir un SMS que parece del banco, de Correos o de una gran tienda online se ha convertido en algo demasiado habitual. El problema no es solo el mensaje, sino lo convincente que resulta: muchas veces aparece dentro del mismo hilo donde antes llegaron avisos auténticos de esa empresa. Esa es una de las claves del fraude por smishing, una forma de estafa que suplanta al remitente para robar datos personales, credenciales o acceso a cuentas bancarias.

Para intentar frenar ese problema, España ya ha activado el nuevo Registro de Alias gestionado por la CNMC. La medida se apoya en la Circular 1/2026, publicada en el BOE, y en la Orden TDF/149/2025. El cambio importante llegará el 7 de junio de 2026: desde esa fecha, las operadoras y otros proveedores de mensajería deberán bloquear los mensajes SMS, MMS y RCS que usen un alias no registrado o que lleguen desde proveedores no autorizados para utilizarlo.

Dicho de forma sencilla: si una empresa quiere enviar mensajes con un nombre como remitente, por ejemplo “MIBANCO” o “CORREOS”, ese alias tendrá que estar registrado previamente y vinculado a su titular real. Si no lo está, el mensaje no debería llegar al usuario.

Qué es un alias y por qué se ha convertido en un problema

Un alias es el texto que aparece como remitente en lugar de un número de teléfono. Es útil porque resulta más fácil de reconocer. En vez de recibir un código o una alerta desde una cifra desconocida, el usuario ve el nombre de la empresa o de la administración. El problema es que ese campo se ha usado de forma fraudulenta durante años porque era relativamente fácil manipularlo.

Eso ha permitido que los delincuentes hagan algo muy efectivo: mandar un mensaje falso con el nombre de una entidad conocida y colarlo en la misma conversación donde el usuario ya tenía mensajes verdaderos. El móvil, al agruparlos por remitente, hace que el engaño parezca aún más creíble.

La ventaja para el usuario: menos mensajes falsos que parezcan reales

La principal mejora de seguridad para el ciudadano es bastante clara: será mucho más difícil que un ciberdelincuente suplante a una marca conocida usando un remitente alfanumérico falso. Si el alias no figura en el registro oficial o no llega por la vía correcta, el mensaje deberá ser bloqueado antes de alcanzar el teléfono del destinatario.

Puesto en un ejemplo cotidiano: imaginemos que una persona recibe normalmente mensajes de su banco con el remitente “BANCOX” para confirmar compras o enviar códigos de acceso. Hasta ahora, un atacante podía intentar mandar un SMS falso usando también “BANCOX” y pedir al usuario que pulsara en un enlace para “verificar su cuenta”. Como el mensaje aparecía en el mismo hilo de conversación, muchas víctimas bajaban la guardia. Con el nuevo sistema, ese alias deberá estar registrado por la entidad legítima y vinculado a proveedores autorizados. Si un tercero intenta usarlo sin estar habilitado, el mensaje debería bloquearse.

Otro ejemplo fácil de entender es el de una empresa de mensajería. Hoy no es raro recibir un SMS que parece de una paquetería conocida avisando de un envío retenido por un pequeño pago pendiente. Muchos usuarios pinchan porque esperan un paquete de verdad. Si el sistema funciona como prevé la CNMC, un alias fraudulento que intente hacerse pasar por esa marca sin registro no tendría que llegar al móvil.

También mejorará la confianza en mensajes legítimos

La medida no solo busca bloquear fraude. También pretende devolver credibilidad a un canal que muchas empresas siguen usando para asuntos importantes: autenticación en dos pasos, avisos médicos, notificaciones bancarias, alertas de viajes, recordatorios de citas o mensajes de la administración. Si el usuario sabe que detrás de ese nombre hay un control mínimo y una validación previa, el canal gana fiabilidad.

La circular también prevé que el registro tenga un portal público de consulta, de forma que se puedan comprobar los alias activos, su titular y la fecha de activación. Esa transparencia puede ser útil para usuarios, empresas y medios a la hora de verificar si un remitente aparentemente conocido está realmente dado de alta.

No será una solución mágica, pero sí una barrera importante

Conviene no vender esta medida como una vacuna total contra el fraude. Los ciberdelincuentes seguirán buscando otras fórmulas: números móviles corrientes, canales de mensajería alternativos, llamadas fraudulentas o webs falsas. Pero sí se cierra una de las vías más eficaces para engañar a gran escala en SMS y RCS: la de aprovechar el nombre de una marca o institución para parecer auténtico desde el primer vistazo.

Para las empresas también habrá trabajo. Tendrán que registrar sus alias, acreditar que están vinculados a su marca, nombre comercial, denominación social o dominio de internet, y coordinarse con sus proveedores de mensajería. Pero desde el punto de vista del usuario final, el balance es claro: si se aplica bien, habrá menos margen para que un mensaje falso se disfrace de comunicación legítima.

Preguntas frecuentes

¿Qué cambia para el usuario a partir del 7 de junio de 2026?
Que los mensajes SMS, MMS y RCS con alias no registrados o enviados por proveedores no autorizados deberán ser bloqueados antes de llegar al destinatario.

¿Qué es exactamente un alias en un SMS?
Es el nombre alfanumérico que aparece como remitente en lugar de un número, por ejemplo el nombre de un banco, una marca o una administración.

¿Esto impedirá todos los fraudes por SMS?
No todos, pero sí dificulta mucho una técnica muy usada: hacerse pasar por una empresa real usando su nombre como remitente.

¿Se podrá comprobar si un remitente está registrado?
Sí. La circular prevé un portal web público para consultar los alias activos, su titular y la fecha de activación.

Fuente: Registro de alias para SMS y RCS