Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Spoofing telefónico: cuando una llamada pone en riesgo la confianza de tu empresa

Fecha de actualizacion 11/06/2026
Autor
Bárbara García Alarcón (INCIBE)
Spoofing telefónico: cuando una llamada pone en riesgo la confianza de tu empresa

Una pyme puede atender una llamada aparentemente normal y encontrarse ante un fraude, recibiendo, por ejemplo, una llamada falsa que busca engañar a sus empleados. Pero también puede ocurrir lo contrario, que sus clientes reciban llamadas falsas en las que aparece el número real de la empresa. En ambos casos, el problema es el mismo: spoofing telefónico o suplantación del identificador de llamada.

El spoofing telefónico consiste en manipular el identificador de llamada para mostrar un número distinto al real. Es una técnica usada en fraudes por voz como el vishing y afecta tanto a la ciudadanía como a las empresas. Las víctimas tienden a confiar en la llamada y, sin saberlo, siguen las indicaciones de los estafadores, lo que puede llevar a graves consecuencias, como la pérdida de datos personales, acceso no autorizados en cuentas y estafas de forma directa a empresas, pymes y a autónomos.

En 2025, la Línea de Ayuda en Ciberseguridad de INCIBE atendió casi 143.000 consultas. Más de un 14% estuvieron relacionadas con suplantación de identidad digital. Esta fue, además, la primera temática consultada por empresas y profesionales, con un 18% de las consultas relacionadas con suplantación de identidad por imitación. Y el spoofing telefónico, incluido en este tipo de fraude, está en aumento, y si se mantiene el ritmo actual, se prevé un incremento de casi el 48 % en los casos respecto a 2025.

Qué es el spoofing telefónico

El spoofing telefónico es un tipo de suplantación de identidad por imitación, y es el método técnico que utiliza el ciberdelincuente alterando el identificador de llamadas para que aparezca otro número real. Así consigue que la llamada parezca proceder de una fuente fiable. Puede mostrar el número de un banco, de una empresa de suministros, de una administración pública, de un servicio técnico o de una pyme real. También puede usar un número con prefijo local para que la llamada resulte cercana.

La finalidad suele ser la misma: generar confianza. Si una persona reconoce el número o lo percibe como legítimo, es más probable que atienda la llamada y siga las instrucciones. Y a partir de ahí, el fraude puede tomar varias formas: el delincuente puede pedir datos personales, solicitar claves, reclamar un pago pendiente, convencer a la víctima para instalar un programa o provocar una transferencia urgente.

Cómo funciona esta técnica

La manipulación del identificador de llamada se apoya en sistemas de telefonía por Internet y centralitas virtuales. Estas herramientas permiten configurar qué número se muestra al realizar una llamada. Lo que se hace en la manipulación del CLI (Calling Line Identification) es utilizar software libre de centralita virtual, convirtiendo un ordenador en una centralita telefónica, y contratar el servicio de un troncal SIP (el servicio que conecta la centralita con la red telefónica pública a través de Internet) que no restrinja el Caller ID, para enviar masivamente llamadas a la red. 

En usos legítimos, estas soluciones facilitan la atención telefónica de empresas y centros de soporte, pero el problema aparece cuando se utilizan sin controles suficientes o desde servicios que no verifican el número de origen. En España, los operadores no pueden modificar libremente el identificador de llamada. Sin embargo, sus redes están abiertas al tráfico originado fuera del país, por lo que la regulación nacional no siempre evita que entren comunicaciones con numeración manipulada. 

Por eso una empresa puede tener su línea correctamente contratada y, aun así, sufrir una suplantación. El número mostrado es suyo, pero la llamada no sale de sus sistemas.

Por qué debe preocupar a las pymes

Las pymes dependen mucho del teléfono. Lo usan para concertar citas, confirmar pedidos, atender incidencias, gestionar reservas, cerrar presupuestos o resolver dudas de clientes. Cuando ese canal pierde confianza, el impacto se nota rápido: el cliente no contesta, el proveedor desconfía, una llamada comercial queda sin respuesta o una incidencia tarda más en resolverse.

El problema puede agravarse si el número aparece marcado como “posible spam” o “sospechoso de fraude”. Muchas aplicaciones de identificación de llamadas funcionan con reportes de usuarios. Si varias personas marcan un número como molesto o fraudulento, otros usuarios pueden ver esa advertencia más adelante.

Para una pyme, esa etiqueta puede ser muy perjudicial. No siempre hay un departamento que gestione la crisis, sino que a menudo, la misma persona que atiende clientes tiene que llamar a la operadora, explicar el problema, contestar quejas y seguir trabajando.

Para una gran organización, este tipo de incidencia puede gestionarse con equipos técnicos, jurídicos y de comunicación. Para una pyme, puede suponer semanas de llamadas no atendidas y explicaciones difíciles. Por tanto, el perjuicio no es solo técnico, es comercial y reputacional. Si los clientes asocian el número de la empresa con llamadas extrañas, pueden dejar de confiar en ella.

Qué tipos de fraude pueden producirse

El spoofing telefónico puede formar parte de campañas más amplias de fraude. No suele aparecer aislado, a menudo se combina con mensajes, correos, enlaces fraudulentos o llamadas posteriores.

  • Una modalidad habitual consiste en suplantar a una entidad bancaria. El atacante llama a la víctima y le informa de supuestos movimientos sospechosos. Después le propone transferir el dinero a una “cuenta segura”. Esa cuenta, en realidad, está controlada por los delincuentes.
  • Otro caso frecuente afecta a administraciones públicas, empresas de transporte o suministradoras. La llamada o el mensaje reclama el pago de una multa, una tasa de aduanas, un impuesto o una factura vencida. El objetivo es que la víctima actúe con prisa.
  • También se han observado llamadas en nombre de empresas tecnológicas. El supuesto soporte técnico pide acceso al ordenador para solucionar una incidencia inexistente. Una vez dentro, puede robar información, instalar programas maliciosos o manipular cuentas.
  • En el entorno empresarial, el riesgo llega también por llamadas que parecen internas. Un empleado puede recibir una comunicación que aparenta venir de un responsable, un proveedor crítico o un servicio de mantenimiento. Si la petición implica pagos, claves o acceso a sistemas, hay que verificarla por otro canal.

Casos reales: cuando el problema llega al negocio diario

Las consultas recibidas en la Línea de Ayuda muestran una realidad muy concreta. El spoofing telefónico no afecta solo a grandes compañías, también llega a negocios pequeños, profesionales independientes y comercios locales. De hecho, han comunicado incidencias arquitectos, inmobiliarias, ópticas, agencias de viajes, ferreterías, autónomos del sector de reformas... y multitud de profesionales de muy diversos sectores.

  • En la mayoría de casos, el síntoma inicial es similar: al llamar a clientes, el número aparece como spam o como sospechoso. La consecuencia inmediata es la pérdida de contacto: algunos clientes no contestaban, otros avisaban de que el teléfono les generaba desconfianza. Y en sectores donde la relación con el cliente depende de la rapidez, esto puede afectar a presupuestos, reservas, citas o ventas.
  • También se repite la situación en la cual personas desconocidas llaman a la empresa para decir que han recibido una llamada perdida desde ese número. La empresa revisa sus registros y comprueba que no ha realizado esas llamadas. Esto apunta a una suplantación del identificador.
  • En otros casos, el problema se mezcla con avisos de la operadora o con una mala clasificación del número en aplicaciones de identificación. El negocio no solo tiene que demostrar que no ha llamado. Además, debe intentar limpiar la reputación de su línea.

El impacto puede mantenerse incluso después de que la campaña fraudulenta haya terminado. Si muchos usuarios han reportado el número, la advertencia puede seguir apareciendo durante un tiempo.

Señales de alerta

  • Llamadas desconocidas: como empresa, debemos prestar atención si recibimos llamadas de personas desconocidas que dicen haber sido contactadas por nuestro número y revisar cualquier aviso de clientes que indiquen que nuestro teléfono aparece como spam.
  • Llamadas perdidas: otra señal relevante es el aumento de llamadas fallidas o silenciosas. Puede haber personas devolviendo llamadas que la empresa nunca hizo. Si esto ocurre de forma repetida, conviene tratarlo como un posible incidente.
  • Cambios en la factura: La factura telefónica también puede aportar información. Si aparecen llamadas salientes que no se reconocen, hay que comunicarlo a la operadora. Si no aparecen, pero terceros afirman haber recibido llamadas, puede tratarse de una manipulación externa del identificador.
  • Línea móvil: hay que vigilar además la pérdida repentina de servicio. Si el teléfono deja de recibir llamadas o mensajes, puede existir otro problema, como un duplicado fraudulento de la tarjeta telefónica. No es lo mismo el SIM sawpping que el spoofing, pero también requiere una respuesta urgente.

Qué hacer si suplantan el número de la empresa

  • Recopilar evidencias. Ésta debería ser la primera medida: conviene anotar fechas, horas, números afectados, capturas de pantalla y mensajes recibidos. También es útil guardar avisos de clientes o proveedores.
  • Contactar con la operadora: la empresa debe pedir una revisión de la línea, confirmar si hay actividad anómala y descartar servicios no autorizados. Si el número aparece como spam, puede solicitar una revisión o información sobre el origen de esa clasificación.
  • Presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado: es recomendable denunciarlo. Cuantas más pruebas se aporten, más clara será la descripción del incidente. 
  • Informar a los clientes por canales oficiales: el aviso debe ser breve y práctico. Puede indicar que se ha detectado una posible suplantación del número y recordar que la empresa nunca pedirá contraseñas, códigos de verificación, datos bancarios completos ni pagos urgentes por teléfono.
  • Vincular el teléfono al perfil de empresa en buscadores: si la empresa tiene presencia en buscadores, mapas o directorios de negocio, debe revisar que el número figure de forma correcta. En algunos sistemas, vincular el teléfono al perfil de empresa ayuda a mejorar su identificación. También puede ser útil comprobar servicios de identificación de llamadas y solicitar la corrección de etiquetas erróneas.

Recomendaciones para prevenir el fraude

No existe una medida única que elimine por completo el spoofing telefónico. La protección depende de combinar controles técnicos, pautas internas y comunicación clara.

  • Revisar configuración con el proveedor de telefonía: la empresa debe revisar con su proveedor de telefonía qué medidas de filtrado, verificación y monitorización tiene disponibles. Si utiliza centralita virtual, debe proteger los accesos de administración, revisar usuarios activos y comprobar que no existan configuraciones inseguras.
  • Monitorizar patrones extraños: un aumento repentino de llamadas, quejas o devoluciones puede indicar que el número está siendo usado en una campaña fraudulenta.
  • Formación y concienciación del personal: cualquier empleado que atienda llamadas debe saber que el número mostrado no basta para confiar. Si una llamada pide una acción sensible, hay que colgar y verificar por un canal oficial conocido. Esa regla debe aplicarse a pagos, cambios de cuenta bancaria, accesos remotos, contraseñas, códigos de verificación y datos de clientes. La urgencia no debe sustituir a la comprobación.
  • Informar a los clientes de sus prácticas habituales como aclarar en su web que nunca solicitará claves, códigos de seguridad ni transferencias urgentes por teléfono. Esta información reduce el margen de maniobra del atacante.

Qué hacer si el número de tu empresa aparece como spam

Cuando un número legítimo aparece como spam, la empresa debe actuar en varios frentes:

  1. Contactar con su operadora y solicitar una revisión. Puede pedir que se compruebe la actividad de la línea y que se descarte un uso indebido.
  2. Revisar aplicaciones y servicios de identificación de llamadas. Algunas permiten solicitar la retirada de etiquetas incorrectas o registrar el número como perteneciente a una empresa.
  3. Informar a los clientes habituales. Si reciben una advertencia, sabrán que la empresa está revisando el caso y podrán usar otros canales de contacto mientras se resuelve.

No siempre se corrige de forma inmediata. Por eso es importante mantener canales alternativos: correo corporativo, formularios, área privada, mensajería oficial, redes sociales o atención presencial cuando exista.

Nuevas medidas legales contra llamadas y sms fraudulentos

Las medidas regulatorias buscan reducir el uso abusivo de llamadas y mensajes. Entre ellas se incluyen obligaciones para bloquear comunicaciones sospechosas, restricciones sobre llamadas comerciales y el uso de numeración específica para determinados servicios.

España ha implementado un plan integral para frenar las estafas telefónicas (spoofing) y los mensajes fraudulentos (smishing), amparado por el Ministerio para la Transformación Digital. El núcleo de esta estrategia exige a las operadoras de telecomunicaciones bloquear proactivamente llamadas y SMS con numeraciones falsas, suplantación de identidad o números no asignados.

Bloqueo de llamadas fraudulentas y spam
  • Llamadas desde el extranjero: Se bloquean números internacionales que intentan hacerse pasar por líneas nacionales para estafar.
  • Identidades suplantadas: Se interceptan las llamadas con identificadores manipulados para engañar al usuario.
  • Numeración vacía: Las compañías bloquean automáticamente llamadas provenientes de números que no han sido asignados legalmente a ningún operador. 
  • Llamadas comerciales: Queda prohibido el spam desde teléfonos móviles (números que empiezan por 6 o 7). Las llamadas comerciales legales deben utilizar prefijos específicos (como el 800 o el 900). En caso de recibir llamadas comerciales desde numeración que no está atribuida para ese servicio, los usuarios pueden denunciarlo ante la Oficina de Atención al Usuario de Telecomunicaciones (OAUT) o la CNMC.
Medidas contra los SMS fraudulentos
  • Registro de alias: Las empresas y entidades deben registrar sus alias alfanuméricos (el nombre que aparece como remitente) ante la Comisión Nacional de los Mercados y la Competencia (CNMC). Desde el 15 de septiembre de 2026, entran plenamente en vigor las obligaciones de bloqueo de mensajes enviados con alias no registrados o inscritos que no provengan de proveedores habilitados. Además, la CNMC habilita en su página web un portal público que permite consultar qué alias están registrados y quién es su titular, lo que contribuirá a aumentar la transparencia y la confianza de los usuarios finales en las comunicaciones electrónicas. 
  • Bloqueo de SMS suplantados: Los mensajes que utilicen alias no registrados legalmente o que provengan de fuentes dudosas son bloqueados automáticamente por las operadoras.
  • Prefijo exclusivo: Se utiliza un código de identificación exclusivo para llamadas de telemarketing. Desde octubre de 2026, todas las llamadas comerciales deben realizarse desde una numeración de nueve dígitos que comience por el código 400, lo que permitirá que los usuarios identifiquen esas llamadas con facilidad.
  • Bloqueo en el dispositivo: Utiliza los ajustes nativos de tu terminal (Android o iOS) para silenciar números desconocidos y activar la protección anti-spam. 
Para conocer más detalles técnicos sobre el protocolo y las obligaciones de las empresas de telecomunicaciones, puedes consultar la Orden TDF/149/2025 y la Circular 2/2026, de la CNMC, por la que se regula el Registro de Alias, ambas publicadas en el BOE.  

Estas medidas ayudan, pero no sustituyen la prevención dentro de la empresa. Parte del tráfico fraudulento puede originarse fuera del territorio nacional. Además, los delincuentes adaptan sus métodos cuando encuentran nuevos controles. Por eso las pymes deben mantener una postura prudente. La llamada puede parecer legítima, pero debe verificarse cuando implique riesgo.

Conclusiones

El spoofing telefónico aprovecha una confianza muy arraigada: creer que el número que aparece en pantalla identifica a quien llama. Hoy esa confianza no siempre es suficiente.

Para una pyme, y para cualquier empresa, el problema puede llegar por dos vías: como víctima directa de una llamada falsa o como empresa suplantada ante clientes y terceros. Esto se traduce en clientes que no contestan, llamadas marcadas como spam, quejas de terceros, intentos de fraude o daño reputacional, y no hace falta ser una gran empresa para verse afectada. La respuesta debe ser rápida y ordenada: recopilar evidencias, hablar con la operadora, denunciar, revisar la clasificación del número e informar a clientes son pasos clave.

La prevención exige algo más que tecnología. También requiere hábitos claros y ante una llamada inesperada que pida datos, pagos o accesos, conviene detenerse y verificar ya que unos minutos de comprobación pueden evitar un problema mucho mayor.
 

Etiquetas