El 15 de septiembre de 2026 se activa un bloqueo automático que va a parar los SMS y mensajes RCS que suplantan a bancos o administraciones. Si alguna vez has recibido un SMS de 'tu banco' pidiéndote que pinches un enlace, esta medida va por ahí.
Qué cambia a partir del 15 de septiembre
El BOE de este 5 de junio publica la Orden TDF/558/2026. El texto obliga a los operadores (Movistar, Vodafone, Orange y compañía) a cortar cualquier SMS, MMS o mensaje RCS que use un alias alfabético —esos nombres que aparecen como remitente en lugar de un número, tipo 'BBVA' o 'Correos'— si ese alias no está inscrito en un registro oficial de la CNMC.
En concreto la norma afecta a los alias alfanuméricos (esos nombres que ves en la pantalla del móvil en vez de un número). Si una empresa quiere enviarte un mensaje usando su marca, tendrá que acreditarla y vincularla a un titular legítimo. A partir de septiembre, los operadores bloquearán en origen cualquier intento de usar un alias no registrado. Así de claro.
La Comisión Nacional de los Mercados y la Competencia (CNMC) gestiona ese registro. Si un ciberdelincuente intenta colarse con un SMS que ponga 'Santander' o 'Hacienda' sin estar autorizado, el operador lo frena antes de que llegue a tu pantalla.
La fecha original para este bloqueo era el 7 de junio de 2026, pero el Gobierno ha dado tres meses extra para que el sistema esté técnicamente a punto. Mejor hecho que rápido.
El fraude telefónico se ceba con los que más usan el móvil: nosotros. La medida tapa una de las brechas más explotadas.
El timo del SMS de tu banco: el hueco que cierra la nueva norma
El smishing (estafas por SMS) es uno de los principales vectores de ataque. Recibes un mensaje que parece de tu banco: 'Acceso no autorizado, pincha aquí para verificar'. El remitente no es un número desconocido, pone 'BancoX', y eso te da confianza. Ahora mismo, esa suplantación es relativamente fácil porque cualquiera puede comprar un servicio de envío masivo y escribir lo que quiera en el campo 'nombre'.
A partir del 15 de septiembre, ese nombre solo podrá usarse si está registrado. Si un estafador intenta poner 'CaixaBank' o 'Agencia Tributaria' sin permiso, el sistema lo bloqueará. Se cierra así la vía más común de fraude por smishing en España.
Ojo, la medida no cubre las llamadas de voz con suplantación —eso va por otra parte de la normativa—, ni las estafas por WhatsApp o redes sociales. Pero ataca el canal que más denuncias acumula, según datos del Ministerio de Interior.
¿Llega tarde esta medida? Lo que dice el BOE (y lo que no)
La norma base es de 2025. Ya entonces se habló de cortar las llamadas con identificador manipulado. Ahora, en 2026, se añade el bloqueo de SMS con alias falso. El retraso hasta septiembre indica que la implementación técnica es más compleja de lo que parece —coordinación entre operadores, actualización de redes y sobre todo un registro ágil de la CNMC—.
Si me preguntas, la medida es buena y necesaria. Pero llega años después de que el smishing se convirtiera en epidemia. La ingeniería social sigue mutando: los estafadores saltarán a otros canales (WhatsApp, llamadas falsas con voz clonada). El registro frena una vía, pero la ansiedad por una deuda inventada o un paquete que no esperas sigue siendo el gancho. Es decir, el fraude no desaparece, pero se le corta una autopista.
A efectos prácticos, a partir de septiembre, si ves un SMS de 'BBVA' o 'SEPE', sabrás que es legítimo porque los falsos no llegarán. Y si un estafador se reinventa con un número random, te llegará igual, pero sin el disfraz de marca. Eso ya es mucho.
En resumen (para tu bolsillo y tu salud mental)
- 💸 ¿Qué ha cambiado? A partir del 15 de septiembre, tu operador bloqueará SMS que suplanten a entidades oficiales si no están registrados.
- 👥 ¿A quién afecta exactamente? A todos los usuarios de móvil en España, especialmente a quienes reciben SMS de bancos o administraciones.
- ✅ ¿Qué puedes hacer al respecto? No tienes que hacer nada; la medida es automática. Sigue desconfiando de enlaces sospechosos.
