Suena el teléfono. Al otro lado, una persona molesta pregunta por qué se le ha llamado minutos antes. El problema es que esa llamada nunca existió. Al menos, no salió realmente del móvil de quien la recibe de vuelta. Esa escena, que hace unos años parecía un fallo raro de la red, hoy encaja cada vez más con una práctica muy concreta: el spoofing telefónico, una técnica que permite a los estafadores falsear el número que aparece en pantalla y usar el de cualquier ciudadano como máscara.
El resultado es tan desconcertante como perverso. La víctima inicial no siempre es la persona a la que quieren estafar. A veces, la primera perjudicada es quien ve cómo su número empieza a aparecer en llamadas que jamás realizó. De repente, recibe devoluciones de llamadas, mensajes de reproche y, en algunos casos, hasta sospechas de haber participado en un fraude. Lo que para el delincuente es una cortina de humo, para el usuario común se convierte en un problema real de reputación, ansiedad y posible impacto legal.
En España, además, este fenómeno no se mueve ya en el terreno de la anécdota. El Gobierno activó en 2025 un plan específico contra las estafas telefónicas y por SMS. Desde marzo de ese año, los operadores deben bloquear numeraciones no atribuidas. Desde junio de 2025 también bloquean llamadas y mensajes de origen internacional que simulan venir de un número español. Y, según el Ministerio para la Transformación Digital, hasta abril de 2026 ya se habían bloqueado 192 millones de llamadas y 17 millones de SMS vinculados a estas prácticas.
Cuando el móvil deja de ser una herramienta y se convierte en un disfraz
La lógica del fraude ha cambiado mucho. Antes, el timador necesitaba esconderse. Ahora necesita parecer legítimo. Por eso el número de teléfono se ha vuelto una pieza tan valiosa. Ver en pantalla un móvil español, un fijo reconocible o incluso el nombre de una empresa genera una confianza automática. Esa confianza dura segundos, pero a menudo basta.
El spoofing funciona justo ahí. El delincuente manipula el identificador de llamada, el llamado Caller ID, para que el receptor vea un número distinto del real. Esa alteración se puede hacer con servicios de voz sobre IP, centralitas virtuales o herramientas que permiten definir qué número se mostrará al destinatario. El usuario que recibe la llamada no ve el origen técnico real. Ve una identidad prestada. Y muchas veces actúa en función de esa apariencia.
Eso explica una situación que cada vez más gente cuenta con la misma frase: “me llaman diciendo que yo les he llamado”. En esos casos, el número suplantado puede ser el de cualquier persona. No hace falta que sea famoso ni que pertenezca a una empresa. Basta con que exista y parezca verosímil. Si el estafador lanza llamadas automáticas o masivas usando ese número falsificado, algunos receptores no contestarán. Más tarde devolverán la llamada. Y quien atenderá será el verdadero titular del número, que no entiende nada y queda metido en una historia que no empezó él.
La estafa no siempre busca hablar contigo
Uno de los errores más comunes consiste en pensar que, si alguien está usando un número ajeno, el objetivo es siempre robar a su titular. No tiene por qué. A menudo, quien sufre la suplantación solo es un daño colateral. El objetivo real está en la otra punta: las personas que reciben la llamada fraudulenta y creen estar hablando con alguien fiable.
Las campañas de fraude suelen repetirse por sectores muy concretos. Los bancos siguen en primera línea porque manejan dinero y códigos de seguridad. También aparecen operadores de telecomunicaciones, comercializadoras eléctricas o supuestos servicios de inversión, en especial falsas plataformas de criptomonedas. El patrón se repite: hay urgencia, hay apariencia de legitimidad y hay una petición final de datos, dinero o acceso.
En el caso que ha trascendido a través de testimonios recogidos por Maldita, varias personas denunciaron que usaban su número para ofrecer falsas inversiones en criptomonedas. Es un ejemplo muy útil porque muestra dos capas del mismo fraude. Por un lado, el estafador intenta engañar a potenciales víctimas con una promesa financiera. Por otro, oculta su rastro detrás del número de un tercero. Así evita exponer una línea vinculada a él y complica la reacción de quien intenta devolver la llamada o denunciarla.
Por qué tu operadora puede decir que tú no llamaste
Otra escena habitual añade aún más frustración. El afectado consulta a su compañía telefónica y el operador le responde que esas llamadas no constan en su historial. Eso no significa que las personas que devolvieron la llamada mientan. Significa que la llamada original no salió realmente de esa línea. Lo que se falsificó fue la identidad visible del emisor. La red del usuario suplantado no tiene por qué registrar una llamada que nunca cursó.
Ahí aparece uno de los grandes problemas del spoofing. El titular del número se queda en tierra de nadie. Recibe el impacto, pero no controla el origen. Da explicaciones, pero no tiene trazabilidad. Y puede llegar a temer algo peor: que alguien lo denuncie por unas llamadas fraudulentas que jamás hizo. Ese temor no es paranoia. Hay testimonios de afectados que tuvieron que acudir a dependencias policiales para aclarar que su número había sido suplantado.
España empieza a cerrar el grifo, pero no lo ha cerrado del todo
La buena noticia es que el problema ya no se trata como un simple fastidio comercial. La normativa española se ha endurecido. La Orden TDF/149/2025 obliga a bloquear llamadas con identificador vacío, numeraciones españolas inexistentes o números que no hayan sido atribuidos a ningún servicio. También obliga a bloquear llamadas llegadas desde el extranjero que aparentan usar un número español, salvo casos legítimos de itinerancia internacional.
Ese cambio tiene importancia porque ataca una de las rutas más usadas por el fraude telefónico. Muchas campañas de spoofing se originan fuera de España o se enrutan de forma internacional. Si el operador detecta que una llamada entra desde el extranjero pero se presenta como si saliera de un móvil o fijo español, debe bloquearla. No elimina toda la suplantación posible, pero reduce bastante una parte crítica del problema.
Además, desde el 7 de junio de 2025 las llamadas comerciales ya no pueden hacerse desde números móviles. Deben salir desde numeración geográfica, desde rangos específicamente atribuidos para uso comercial o desde 800 y 900. La idea es sencilla: quitar al spam y al fraude una de sus mejores caretas, la del móvil corriente que parece de una persona cualquiera.
Y hay más. A partir del 7 de junio de 2026, los operadores deberán bloquear mensajes con alias no registrados, una medida pensada para frenar el smishing y la suplantación por SMS. Y desde octubre de 2026, las llamadas comerciales deberán identificarse con numeración que empiece por 400, un rango unidireccional que no admitirá devolución de llamada. El objetivo es que el ciudadano sepa de inmediato que esa llamada es comercial y no la confunda con una personal.
Qué debe hacer quien descubre que están usando su número
Lo primero es no minusvalorar el problema. Si varios desconocidos llaman o escriben diciendo que hay una llamada perdida desde ese número, no conviene pensar que se trata de una simple confusión aislada. Puede ser el aviso temprano de que esa línea está siendo usada como pantalla en una campaña de fraude.
El segundo paso es documentarlo todo. Conviene anotar fechas, horas, números entrantes y cualquier explicación que den quienes devuelven la llamada. Si envían capturas de pantalla, mejor todavía. Ese material puede ayudar a explicar la situación ante la operadora, ante la policía y ante cualquier tercero que necesite comprobar que el titular del número no originó realmente esos contactos. Esta recomendación se desprende del propio problema de trazabilidad que describen los casos publicados y de la necesidad de denunciar cuanto antes.
Después llega el paso más importante: denunciar. INCIBE recuerda sus canales de ayuda y remite a los cuerpos policiales competentes, mientras que los expertos citados por Maldita insisten en que denunciar rápido reduce el impacto. No se trata solo de protegerse. También sirve para dejar constancia formal de que ese número puede estar siendo utilizado por terceros con fines delictivos.
También conviene avisar al entorno cercano. Familiares, compañeros y contactos frecuentes deben saber que pueden estar usando ese número como señuelo. Ese aviso evita malentendidos y corta una parte del daño reputacional. Del mismo modo, si llegan llamadas de personas enfadadas, lo más útil suele ser explicar con calma que el número está siendo suplantado y pedir, si es posible, una captura del registro de la llamada.
Por último, hay una medida defensiva que muchas veces se pasa por alto: revisar dónde está publicado ese número. Si aparece en páginas corporativas, anuncios, directorios, formularios antiguos o perfiles públicos, los timadores pueden haberlo obtenido desde ahí o desde una filtración relacionada. Reducir la exposición pública no inmuniza, pero sí baja la probabilidad de convertirse en un número cómodo para campañas automáticas.
El ciudadano ya no puede fiarse del número que ve en pantalla
Ese es, en el fondo, el gran cambio cultural que deja el spoofing. Durante años, mucha gente asumió que el número visible equivalía a la identidad real del emisor. Hoy esa equivalencia ya no es segura. El propio INCIBE define el spoofing telefónico como una técnica en la que la llamada parece venir de una entidad legítima cuando en realidad no es así. Y la CNMC tuvo que publicar incluso un aviso para advertir de llamadas fraudulentas que mostraban su número oficial en el móvil del receptor.
Por eso la recomendación clásica sigue siendo la mejor. Ante una llamada sensible, lo prudente es colgar y volver a contactar por un canal oficial. Nunca por el número que acaba de aparecer en pantalla. Nunca por un enlace enviado en un SMS dudoso. Nunca bajo presión. Si alguien dice ser del banco, de una teleco o de la eléctrica y exige una acción inmediata, lo sensato es cortar y llamar al teléfono que figura en la web oficial, en la app o en documentación previa.
El spoofing no solo roba dinero. También erosiona una costumbre básica: confiar en la llamada entrante. Y eso explica que tanta gente describa estas situaciones con una mezcla de enfado y desconcierto. No entienden qué ha pasado porque, en realidad, el fraude ni siquiera pasa del todo por su dispositivo. Pasa por la identidad que ese dispositivo proyecta hacia fuera. Y esa identidad, hoy, también puede ser secuestrada.
En ese contexto, el mensaje más útil no es alarmista, pero sí claro. Si empiezan a devolver llamadas que nunca se hicieron, no conviene ignorarlo. Puede que el móvil no esté hackeado. Puede que la tarjeta SIM no tenga ningún problema. Puede, simplemente, que alguien haya decidido ponerse ese número como máscara. Y cuando eso ocurre, la respuesta más inteligente ya no consiste en discutir con cada desconocido que llama. Consiste en dejar constancia, denunciar rápido y entender que, en la guerra contra el fraude telefónico, la primera víctima a veces no es quien cae en la estafa, sino quien presta su número sin saberlo.
