Egidio
Dossier · 2026

Cómo un número puede mentir

Una llamada que muestra el número de tu banco no siempre es tu banco. El spoofing —la suplantación del número que aparece en pantalla— es una técnica antigua, aún usada masivamente, que los protocolos recientes apenas empiezan a contener.

Un mecanismo distinto del deepfake de voz

Este dossier trata sobre la suplantación del número que se muestra, no la clonación de la voz mediante inteligencia artificial — un tema distinto, tratado en el dossier IA generativa y deepfake de voz. El spoofing de número consiste en falsificar el identificador de llamada que aparece en la pantalla del destinatario, explotando los protocolos históricos de telefonía, diseñados en una época en la que esta verificación no era un tema de seguridad.

El «neighbor spoofing»

La técnica más común documentada por el regulador estadounidense (FCC) consiste en mostrar un número que comparte tu código de área local, para parecer familiar y aumentar las probabilidades de que contestes — aunque quien llama no tenga absolutamente ninguna relación con tu zona. La misma lógica se aplica a la suplantación directa del número de una empresa o dependencia que ya conoces. En Estados Unidos, la ley prevé multas de hasta 10,000 dólares por infracción para este tipo de spoofing malicioso.

Fuente: Federal Communications Commission (FCC), «Caller ID Spoofing».

La respuesta técnica: STIR/SHAKEN

Frente a este problema, se implementó un protocolo de autenticación de llamadas — STIR/SHAKEN— para permitir a los operadores verificar que un número que llama es efectivamente legítimo antes de transmitirlo. Su adopción avanza, pero sigue siendo desigual:

44%
Proporción de los operadores telefónicos registrados que implementaron STIR/SHAKEN por completo en Estados Unidos, a septiembre de 2025.
FCC, datos al 28/09/2025.
17.5%
Proporción del tráfico firmado y verificado entre operadores pequeños en 2025 — frente a una tasa notablemente más alta entre los grandes operadores, lo que crea una cadena de verificación desigual.
TNS, 2026 Robocall Investigation Report.

Dicho de otro modo: la verificación técnica existe, pero mientras no esté generalizada entre todos los operadores de una cadena de llamada, un número suplantado todavía puede llegar hasta el destinatario final sin ser señalado como sospechoso.

Spoofing

Falsificación del identificador que se muestra en una llamada o SMS, para hacerse pasar por un número de confianza.

Neighbor spoofing

Variante del spoofing que usa un número con tu mismo código de área local para parecer familiar.

STIR/SHAKEN

Protocolo técnico que permite a los operadores telefónicos verificar y firmar la autenticidad de un número que llama a lo largo de toda la cadena de la llamada.

🔒 Mientras la verificación técnica siga siendo incompleta del lado de la red, la protección del lado del dispositivo conserva todo su sentido: reconocer un patrón de llamada sospechoso incluso cuando el número mostrado parece familiar. Ve cómo funciona Medusa.

Preguntas frecuentes

¿El spoofing de número es lo mismo que el deepfake de voz?

No. El spoofing falsifica el número que aparece en tu pantalla — la técnica existe desde hace mucho tiempo. El deepfake de voz clona una voz mediante IA. Ambos se pueden combinar, pero son dos mecanismos distintos.

¿Qué es el "neighbor spoofing"?

Una técnica que muestra un número que comparte tu código de área local, para parecer familiar y aumentar las probabilidades de que contestes — aunque quien llama no tenga ninguna relación con tu zona.

¿STIR/SHAKEN protege por completo contra el spoofing?

Todavía no del todo. Este protocolo de autenticación de llamadas está ampliamente implementado entre los grandes operadores estadounidenses, pero su adopción sigue siendo parcial entre los operadores pequeños, lo que deja huecos en la cadena.

Para profundizar