Spoofing Telefónico
Técnica de suplantación del identificador de llamada (caller ID) que permite a un atacante hacer que una llamada o SMS parezca provenir de un número legítimo, como el de un banco o institución pública.
En España, el 73% de las estafas bancarias telefónicas emplean spoofing
Según datos del INCIBE y la Guardia Civil, las estafas telefónicas que utilizan suplantación de número (spoofing) se han disparado un 320% en España entre 2024 y 2026. La técnica permite que el teléfono de la víctima muestre el número real de su banco, de la Policía Nacional o de la Agencia Tributaria, eliminando así la principal barrera de desconfianza. En marzo de 2026, la Guardia Civil alertó de una oleada masiva de ataques combinados que utilizan SMS spoofed, llamadas con caller ID falsificado y captura de pulsaciones DTMF para vaciar cuentas bancarias en cuestión de minutos.
Lo que hace especialmente peligroso al spoofing telefónico es que explota una vulnerabilidad de diseño del propio sistema telefónico: el protocolo SS7 (Signalling System No. 7), creado en los años 70, nunca fue diseñado para autenticar el origen real de una llamada. Esto significa que cualquier persona con acceso a una pasarela VoIP puede inyectar un número de origen arbitrario, y el teléfono de la víctima lo mostrará como legítimo.
¿Qué es el spoofing telefónico?
El spoofing telefónico (del inglés to spoof, falsificar) es una técnica de suplantación que permite modificar el identificador de llamada (caller ID) o el remitente de un SMS para que aparezca en la pantalla del destinatario un número o nombre diferente al real. El atacante puede hacer que una llamada parezca provenir del teléfono de atención al cliente de un banco, de un organismo público o incluso de un contacto personal de la víctima.
Esta técnica no es nueva, pero su sofisticación ha evolucionado dramáticamente. En 2024, los ataques de spoofing consistían principalmente en llamadas aisladas con número falsificado. En 2026, los atacantes despliegan campañas combinadas que integran SMS spoofed (que aparecen en el mismo hilo que los mensajes legítimos del banco), llamadas con caller ID falsificado y, en las variantes más avanzadas, captura de tonos DTMF durante la propia llamada para interceptar códigos PIN y OTP.
| Tipo de spoofing | Canal | Técnica principal | Nivel de riesgo |
|---|---|---|---|
| Caller ID spoofing | Llamada de voz | Falsificación del número llamante vía VoIP/SIP | Alto |
| Sender ID spoofing (SMS) | Mensaje de texto | Inyección de alphanumeric sender ID | Muy alto |
| Neighbor spoofing | Llamada de voz | Uso de número similar al de la víctima (mismo prefijo) | Medio |
| DTMF interception | Llamada de voz | Captura de pulsaciones de teclado durante la llamada | Crítico |
Alerta Guardia Civil (marzo 2026): Se ha detectado una oleada masiva de spoofing telefónico bancario en España. Los atacantes combinan SMS que aparecen en el hilo legítimo del banco con llamadas desde el número oficial de atención al cliente. Si recibe una llamada de su banco pidiéndole códigos o claves, cuelgue y llame usted directamente al número que aparece en su tarjeta.
Cómo funciona el spoofing: técnica paso a paso
La suplantación del caller ID se basa en la manipulación de protocolos de telecomunicaciones que carecen de mecanismos de autenticación del origen. Existen dos vectores principales: la red telefónica tradicional (SS7) y la telefonía IP (VoIP/SIP).
Spoofing mediante VoIP y protocolo SIP
La mayoría de ataques de spoofing actuales se ejecutan a través de pasarelas VoIP (Voice over IP) que permiten manipular las cabeceras del protocolo SIP (Session Initiation Protocol). El campo From: de una petición SIP INVITE puede contener cualquier número que el atacante desee, y las redes telefónicas lo transmiten sin verificación.
Spoofing de SMS (Sender ID)
En el caso de los SMS, los atacantes aprovechan que los operadores permiten configurar un identificador alfanumérico personalizado (sender ID) al enviar mensajes a través de pasarelas SMS empresariales. Esto hace que el mensaje aparezca dentro del mismo hilo de conversación que los SMS legítimos del banco.
| Protocolo | Vulnerabilidad | Método de explotación |
|---|---|---|
| SS7 (red telefónica) | Sin autenticación de origen | Inyección de mensajes IAM con CgPN falsificado |
| SIP (VoIP) | Campo From: modificable | Cabecera SIP INVITE con caller ID arbitrario |
| SMPP (SMS) | Sender ID configurable | Pasarelas SMS con alphanumeric sender ID |
| DTMF (tonos) | Tonos audibles en canal de voz | Captura de frecuencias durante la llamada |
Referencia técnica: Para un análisis detallado de la variante DTMF que captura pulsaciones de teclado durante la llamada, consulta nuestro artículo Spoofing telefónico DTMF: la Policía Nacional alerta de capturas de pulsaciones en España.
Tipos de spoofing telefónico
Caller ID spoofing (llamadas de voz)
Es la modalidad más extendida. El atacante utiliza una pasarela VoIP para realizar llamadas que muestran un número falsificado en la pantalla del receptor. El número suplantado suele ser el teléfono de atención al cliente de un banco (900 XXX XXX), de la Policía Nacional (091) o de organismos públicos como la AEAT.
Características técnicas: Se ejecuta mediante la manipulación del campo Calling Party Number (CgPN) en mensajes SS7 IAM (Initial Address Message) o del encabezado From: en peticiones SIP INVITE a través de trunks VoIP.
Sender ID spoofing (SMS en hilos legítimos)
Esta variante es especialmente peligrosa porque los SMS fraudulentos aparecen dentro del mismo hilo de mensajes que los SMS legítimos del banco o la empresa suplantada. El teléfono de la víctima agrupa todos los mensajes con el mismo sender ID, sin distinguir si son auténticos o falsificados.
Ejemplo real: Un SMS que dice “BBVA: Movimiento no autorizado de 1.200 EUR. Si no lo reconoce, verifique aquí: [enlace malicioso]” aparece justo debajo de los SMS legítimos de verificación de BBVA.
Neighbor spoofing (números similares)
El atacante utiliza un número telefónico con el mismo prefijo local y los primeros dígitos similares al número de la víctima. La familiaridad del prefijo aumenta la probabilidad de que la víctima conteste la llamada. Esta técnica se emplea sobre todo en campañas masivas de vishing.
Intercepción DTMF (captura de pulsaciones)
La variante más sofisticada detectada en España en 2026. Durante una llamada de voz, el atacante solicita a la víctima que introduzca su PIN o código OTP mediante el teclado numérico del teléfono. Los tonos DTMF (Dual-Tone Multi-Frequency) generados por cada pulsación viajan por el canal de audio y pueden ser decodificados en tiempo real por el atacante, que obtiene así las credenciales sin necesidad de que la víctima las dicte verbalmente.
Modus operandi: la estafa bancaria por spoofing
La combinación de smishing + spoofing telefónico + vishing constituye el ataque más eficaz documentado en España durante 2025-2026. Este es el proceso paso a paso de una estafa bancaria típica:
Fase de preparación (SMS spoofed) La víctima recibe un SMS que aparece en el hilo legítimo de su banco: “Se ha detectado un acceso no autorizado a su cuenta. Si no lo reconoce, contacte con el 900-XXX-XXX.” El enlace puede dirigir a una web de phishing para capturar credenciales previas.
Fase de contacto (llamada con caller ID spoofed) Minutos u horas después del SMS, la víctima recibe una llamada que muestra el número oficial de atención al cliente de su banco. El atacante se identifica como empleado del “departamento de seguridad” y hace referencia al SMS anterior para ganar credibilidad.
Fase de ingeniería social (generación de urgencia) El atacante informa a la víctima de “movimientos sospechosos” en su cuenta y le urge a tomar medidas inmediatas para “bloquear la cuenta” o “anular transferencias no autorizadas”. Emplea técnicas de ingeniería social como autoridad, urgencia y miedo a la pérdida económica.
Fase de extracción de credenciales El atacante solicita a la víctima que facilite códigos OTP recibidos por SMS, que introduzca su PIN mediante el teclado (DTMF) o que confirme operaciones en su aplicación bancaria. Cada código proporcionado autoriza una transferencia en tiempo real.
Fase de monetización (transferencias inmediatas) Los fondos se transfieren a cuentas de mulas bancarias, se convierten en criptomonedas o se distribuyen en múltiples transferencias pequeñas para dificultar el rastreo. El proceso completo puede durar entre 8 y 15 minutos.
Fase de borrado de rastro El atacante puede enviar un último SMS spoofed confirmando que “el bloqueo se ha realizado correctamente” para retrasar que la víctima contacte con su banco real y descubra el fraude.
Para más información sobre las campañas de SMS bancario fraudulento combinadas con spoofing, consulta nuestro análisis de estafas de smishing bancario en España.
Caso práctico: oleada de spoofing bancario en España (marzo 2026)
En marzo de 2026, la Guardia Civil y la Policía Nacional alertaron de una oleada masiva de estafas bancarias mediante spoofing telefónico que afectó a miles de ciudadanos en toda España. La operación, coordinada desde call centers ubicados fuera de la Unión Europea, utilizaba una infraestructura VoIP profesional capaz de generar miles de llamadas simultáneas con números falsificados de las principales entidades bancarias españolas.
Datos clave de la oleada:
- Más de 4.500 denuncias registradas en un solo mes en comisarías de toda España
- Entidades bancarias más suplantadas: BBVA, Santander, CaixaBank, Bankinter e ING
- Pérdida media por víctima: entre 3.000 y 18.000 euros
- La Guardia Civil de Almería emitió una alerta específica por la concentración de casos en Andalucía
- Perfil predominante de víctimas: personas de entre 45 y 70 años
El modus operandi combinaba tres vectores simultáneos: (1) SMS masivos que aparecían en los hilos legítimos de los bancos, (2) llamadas de voz con el caller ID del número oficial del banco y (3) en casos avanzados, captura de tonos DTMF cuando la víctima introducía su PIN por teclado durante la llamada.
Disclaimer: Los datos y cifras citados en este caso práctico proceden de comunicados públicos de la Guardia Civil, Policía Nacional e INCIBE publicados entre febrero y marzo de 2026. Las cifras agregadas de denuncias son estimaciones basadas en fuentes periodísticas, ya que las estadísticas oficiales definitivas se publican con posterioridad.
Marco legal en España
El spoofing telefónico con fines fraudulentos está tipificado en múltiples preceptos del ordenamiento jurídico español. La calificación penal depende de la finalidad del ataque, los datos comprometidos y el perjuicio económico causado.
| Artículo | Delito | Pena | Aplicación al spoofing |
|---|---|---|---|
| Art. 248-249 CP | Estafa / estafa informática | 6 meses a 6 años de prisión | Obtención de transferencias mediante engaño telefónico |
| Art. 197 CP | Descubrimiento y revelación de secretos | 1 a 4 años de prisión | Captura de credenciales bancarias, PIN, códigos OTP |
| Art. 401 CP | Usurpación de estado civil | 6 meses a 3 años de prisión | Suplantación de identidad de entidad bancaria o agente policial |
| Art. 264 CP | Daños informáticos | 6 meses a 3 años de prisión | Acceso no autorizado a sistemas mediante credenciales obtenidas por spoofing |
| RDL 19/2018 (PSD2) | Responsabilidad del proveedor de pagos | Reembolso obligatorio | Operaciones no autorizadas: el banco debe devolver el importe salvo negligencia grave del cliente |
| Reglamento eIDAS | Identificación electrónica | Sanciones administrativas | Incumplimiento de estándares de autenticación en comunicaciones electrónicas |
La clave legal: PSD2 y la responsabilidad del banco
La Directiva de Servicios de Pago (PSD2) transpuesta al derecho español mediante el RDL 19/2018 establece que el proveedor de servicios de pago (el banco) debe reembolsar al cliente las operaciones de pago no autorizadas, salvo que demuestre que el cliente actuó con negligencia grave o fraude. Múltiples sentencias de la Audiencia Provincial de España han establecido que proporcionar un código OTP bajo engaño de spoofing telefónico no constituye negligencia grave del usuario, sino un fallo en los sistemas de autenticación del banco.
Nota legal: La calificación jurídica concreta depende de las circunstancias de cada caso. Consulte con un abogado especializado para valorar su situación particular. Un informe pericial informático puede reforzar significativamente su posición tanto en la reclamación al banco como en la denuncia penal.
El papel del perito informático forense
El perito informático forense desempeña un papel fundamental tanto en las denuncias penales por estafa como en las reclamaciones bancarias por operaciones no autorizadas (PSD2). Su trabajo consiste en demostrar técnicamente que la víctima fue objeto de un ataque de spoofing y que las operaciones se realizaron sin su consentimiento real.
Preservación de evidencia digital El perito realiza una extracción forense del teléfono móvil de la víctima siguiendo la norma ISO 27037. Se preservan registros de llamadas, SMS, notificaciones de la app bancaria y capturas de pantalla con sus metadatos íntegros.
Análisis de registros CDR (Call Detail Records) Se solicitan al operador telefónico los registros CDR de las llamadas recibidas por la víctima. Estos registros contienen el número de origen real (no el spoofed), la celda de origen, la duración y los metadatos técnicos que permiten identificar si la llamada se realizó desde una pasarela VoIP.
Análisis de SMS y metadatos SMSC Para los SMS spoofed, el perito analiza los metadatos del SMS Centre (SMSC) que revelan la ruta real del mensaje, el timestamp del servidor y la pasarela de envío. Estos datos demuestran que el SMS no fue enviado por la entidad bancaria legítima.
Correlación temporal de eventos Se elabora una línea temporal forense que correlaciona los SMS recibidos, las llamadas entrantes, los accesos a la banca online y las transferencias ejecutadas, demostrando que el patrón es consistente con un ataque de spoofing + vishing coordinado.
Elaboración del informe pericial El perito redacta un informe pericial que documenta la cadena de custodia, la metodología empleada, las evidencias analizadas y las conclusiones técnicas. Este informe es válido tanto para la reclamación bancaria (PSD2) como para la denuncia penal y, en caso necesario, se ratifica ante el juzgado.
Cómo protegerse del spoofing telefónico
| Medida de protección | Descripción |
|---|---|
| Nunca confíe solo en el caller ID | El número que aparece en pantalla puede estar falsificado. No es prueba de identidad del llamante. |
| Cuelgue y llame usted al banco | Si recibe una llamada sospechosa, cuelgue y marque el número que aparece en el reverso de su tarjeta o en la app oficial del banco. |
| No facilite códigos OTP por teléfono | Su banco nunca le pedirá códigos de verificación, PIN o contraseñas por teléfono ni por SMS. |
| No introduzca datos con el teclado durante una llamada | Los tonos DTMF pueden ser capturados por el atacante. Si le piden teclear su PIN durante una llamada, cuelgue inmediatamente. |
| Desconfíe de la urgencia | Los atacantes crean sensación de urgencia (“su cuenta será bloqueada en 5 minutos”). Un banco legítimo nunca le presionará así. |
| Active alertas en su app bancaria | Configure notificaciones push para cada movimiento de cuenta. Así detectará transferencias no autorizadas en tiempo real. |
| Registre sus comunicaciones | En caso de duda, grabe las llamadas (legal en España si usted es parte de la conversación) y conserve capturas de los SMS recibidos. |
| Denuncie inmediatamente | Si ha sido víctima, contacte con su banco (bloqueo de cuenta), presente denuncia en comisaría y llame al 017 de INCIBE. |
Relación con otros conceptos
El spoofing telefónico no opera de forma aislada, sino que forma parte de un ecosistema de técnicas de fraude digital interconectadas:
- Vishing: El spoofing es la técnica que habilita el vishing (voice phishing), permitiendo que las llamadas fraudulentas parezcan provenir de entidades legítimas.
- Smishing: El sender ID spoofing en SMS es la variante que permite que los mensajes fraudulentos aparezcan en el hilo de conversación legítimo del banco.
- Ingeniería social: El spoofing proporciona el contexto de credibilidad que potencia las técnicas de manipulación psicológica empleadas durante la llamada.
- SIM Swapping: Mientras el spoofing falsifica el número de origen, el SIM swapping permite al atacante recibir los SMS y llamadas destinados al número de la víctima.
- Phishing: El spoofing telefónico es la versión por canal de voz y SMS del phishing por correo electrónico, y frecuentemente se combinan ambos vectores.
- PSD2: La Directiva de Servicios de Pago es el marco regulatorio clave que determina la responsabilidad del banco frente a operaciones no autorizadas obtenidas mediante spoofing.
Preguntas frecuentes
¿Cómo es posible que me llamen desde el número real de mi banco?
Los atacantes utilizan pasarelas VoIP (Voice over IP) que permiten manipular el campo de caller ID en el protocolo SIP. Dado que el sistema telefónico fue diseñado en los años 70 sin mecanismos de autenticación del remitente (protocolo SS7), cualquier persona con acceso a un trunk SIP puede configurar el número de origen que desee. Los operadores telefónicos transmiten este número sin verificar su autenticidad, y el teléfono de la víctima lo muestra como legítimo. No es un hackeo del banco ni de su teléfono: es una limitación inherente al protocolo telefónico.
¿Es delito el spoofing telefónico en España?
Sí, el spoofing telefónico con fines fraudulentos constituye un delito tipificado en múltiples artículos del Código Penal español. La estafa mediante manipulación informática se castiga con penas de 6 meses a 6 años de prisión (arts. 248-249 CP). Si se capturan datos bancarios como PIN o códigos OTP, se aplica también el descubrimiento y revelación de secretos (art. 197 CP), con penas de 1 a 4 años. La suplantación de identidad de una entidad o persona se tipifica como usurpación de estado civil (art. 401 CP). Además, la víctima puede reclamar la devolución del importe al banco en virtud del RDL 19/2018 (transposición PSD2), que establece la responsabilidad del proveedor de servicios de pago.
¿Puede un perito detectar el spoofing en mi teléfono?
Sí. Un perito informático forense puede demostrar técnicamente que el número de origen de una llamada o SMS fue falsificado mediante spoofing. El proceso incluye la extracción forense del teléfono de la víctima (registros de llamadas, SMS, metadatos), la solicitud y análisis de los registros CDR (Call Detail Records) del operador telefónico, y el análisis de los metadatos SMSC de los SMS recibidos. Los CDR revelan el número de origen real de la llamada (diferente al mostrado en pantalla), la ruta de la llamada y si se originó desde una pasarela VoIP. Este informe pericial tiene validez probatoria tanto en procedimientos penales como en reclamaciones bancarias PSD2.
Referencias y fuentes
- Guardia Civil (marzo 2026). Alerta sobre oleada de estafas bancarias mediante suplantación de caller ID. Nota de prensa oficial.
- INCIBE (2025). Balance de Ciberseguridad 2025. 122.223 incidentes gestionados. Instituto Nacional de Ciberseguridad de España.
- Policía Nacional (marzo 2026). Alerta sobre nueva modalidad de spoofing con captura de pulsaciones DTMF. Comunicado oficial.
- Guardia Civil de Almería (marzo 2026). Alerta específica sobre incremento de estafas telefónicas bancarias en la provincia.
- Banco de España (2025). Memoria de Reclamaciones 2024. Análisis de reclamaciones por operaciones no autorizadas y aplicación PSD2.
- 3CX (2024). Understanding Caller ID Spoofing: How VoIP Systems Are Exploited. Documentación técnica sobre vulnerabilidades SIP/VoIP.
- ENISA (2025). Threat Landscape for Telecommunication Sector. European Union Agency for Cybersecurity.
- Banda Ancha (marzo 2026). Análisis técnico de la oleada de spoofing bancario y medidas de protección para usuarios.
- Santander España (2026). Guía de seguridad: cómo identificar llamadas y SMS fraudulentos. Portal de seguridad del cliente.
- BOE - Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (transposición PSD2).
Preguntas Frecuentes
¿Cómo es posible que me llamen desde el número real de mi banco?
Los atacantes utilizan técnicas de spoofing del caller ID que permiten falsificar el número de origen de una llamada. El protocolo telefónico no autentica al remitente, lo que permite que cualquier persona con el software adecuado muestre el número que desee en la pantalla del receptor.
¿Es delito el spoofing telefónico en España?
Sí. El spoofing telefónico con fines fraudulentos se tipifica como estafa informática (art. 248-249 CP), usurpación de estado civil (art. 401 CP) y, si se capturan datos bancarios, como descubrimiento de secretos (art. 197 CP), con penas de hasta 4 años de prisión.
¿Puede un perito detectar el spoofing en mi teléfono?
Sí. Un perito informático forense puede extraer los registros CDR (Call Detail Records) del operador, analizar los metadatos de la llamada y los SMS, y demostrar técnicamente que el número de origen fue falsificado mediante spoofing.
Términos Relacionados
Ingeniería Social
Conjunto de técnicas de manipulación psicológica utilizadas por atacantes para engañar a las personas y conseguir que revelen información confidencial, realicen acciones perjudiciales o comprometan la seguridad de sistemas informáticos.
Phishing
Técnica de ingeniería social donde los atacantes suplantan la identidad de entidades legítimas (bancos, empresas, organismos) para engañar a las víctimas y obtener credenciales, datos financieros o instalar malware.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita