España convive desde hace años con una plaga silenciosa que llega directamente al bolsillo: el SMS que parece de tu banco y que, en realidad, quiere vaciarte la cuenta. Cada mes, miles de personas reciben mensajes con el nombre de una entidad conocida como remitente, sin sospechar que detrás hay una estafa perfectamente calculada.
La buena noticia es que existe ya una solución técnica para cortar ese fraude de raíz. La menos buena es que tendrás que esperar unos meses más: el bloqueo automático de estos mensajes, que debía activarse en junio, se ha retrasado hasta el 15 de septiembre de 2026.
Qué cambia para España con el nuevo registro
La Comisión Nacional de los Mercados y la Competencia ha creado un Registro de Alias en el que toda empresa o administración que quiera enviar SMS bajo un nombre comercial —en lugar de un número de teléfono— deberá inscribirse previamente. Sin ese registro, el operador de telefonía tendrá la obligación de bloquear el mensaje antes de que llegue a tu móvil.
Hasta ahora, cualquiera podía escribir «BBVA», «Correos» o «DGT» como remitente sin que existiera ningún filtro que lo verificara. Esa puerta abierta es la que ha permitido que el smishing —la variante del phishing que llega por mensaje de texto— se convierta en una de las técnicas de fraude más rentables para los ciberdelincuentes en el país.
Por qué se ha retrasado la medida hasta septiembre
España que iba a estrenar este filtro el 7 de junio finalmente tendrá que esperar. La CNMC explicó que el proceso de carga masiva de alias resultó de una «extraordinaria complejidad técnica y operativa», con miles de empresas intentando registrar sus identificadores a la vez. Un despliegue precipitado, según el propio Ministerio, podría haber bloqueado por error mensajes legítimos de bancos, hospitales o administraciones.
Durante el mes de carga masiva habilitado entre marzo y abril, la CNMC recibió cerca de 70.000 solicitudes de alias, una cifra que desbordó los plazos previstos inicialmente. Por eso, el Ministerio para la Transformación Digital prefirió ganar tiempo antes que arriesgarse a interrumpir comunicaciones importantes para los ciudadanos.
Cómo funciona el smishing que esta medida busca frenar
El truco es tan sencillo como efectivo: el estafador manipula el identificador del remitente para que su mensaje aparezca en el mismo hilo donde ya tienes los SMS reales de tu banco. Ver un aviso fraudulento junto a tus alertas legítimas desactiva cualquier sospecha, incluso en quienes se consideran precavidos.
A partir de ahí, el mensaje suele incluir un enlace a una web idéntica a la de la entidad suplantada, donde la víctima introduce sus credenciales pensando que está resolviendo una incidencia. Los datos llegan al criminal en tiempo real, y el robo puede completarse en cuestión de minutos, sin que el usuario llegue a darse cuenta de lo ocurrido.
Qué pasará exactamente a partir del 15 de septiembre
Cuando la medida entre en vigor, cualquier SMS, MMS o RCS enviado con un alias no inscrito será bloqueado automáticamente por el operador, sin que el usuario tenga que instalar ninguna app ni activar ningún filtro manual. El cambio será invisible para quien cumpla la ley, y contundente para quien intente saltársela.
Esto es lo que necesitas saber sobre el nuevo sistema:
El registro también afecta a empresas extranjeras
Cualquier mensaje enviado desde fuera de España hacia un número español deberá cumplir la misma norma, con la única excepción de los usuarios que se encuentren en itinerancia (roaming) en otro país.
Habrá un portal público de consulta
La CNMC pondrá en marcha una web donde cualquier ciudadano podrá comprobar quién es el titular de cada alias registrado, lo que añade una capa extra de transparencia frente a posibles suplantaciones.
- Los alias deberán tener entre 3 y 11 caracteres, sin símbolos ni acentos.
- No se admitirán nombres genéricos como «Banco» o «Urgente».
- Cada alias debe vincularse a una marca, denominación social o dominio acreditado.
- El proveedor de mensajería también deberá estar habilitado ante la CNMC.
Lo que puedes esperar a partir de ahora
El panorama, con todo, invita a un optimismo moderado. Aunque el smishing seguirá mutando —los expertos ya avisan de que algunos estafadores empezarán a usar números sueltos en lugar de alias—, cerrar esta vía concreta reduce de forma notable el margen de maniobra de las redes criminales que suplantan marcas conocidas.
Mientras llega septiembre, la recomendación de los organismos de ciberseguridad sigue siendo la misma de siempre: desconfía de cualquier SMS que exija prisa, verifica los enlaces antes de pulsarlos y, ante la duda, entra directamente a la app oficial de tu banco en lugar de seguir el mensaje. Esa costumbre, simple y gratuita, seguirá siendo tu mejor defensa incluso cuando el nuevo registro esté a pleno rendimiento.
La entrada El bloqueo de SMS falsos de bancos y empresas se retrasa hasta septiembre: así te protegerá la CNMC aparece primero en Moncloa.

