Egidio
Dossier · 2026

Cómo un número puede mentir

Una llamada que muestra el número de tu banco no es necesariamente tu banco. El spoofing — la suplantación del número mostrado — es una técnica antigua, todavía ampliamente utilizada, que los protocolos recientes apenas empiezan a combatir.

Un mecanismo distinto del deepfake de voz

Este dossier trata sobre la suplantación del número mostrado, no sobre la clonación de la voz mediante inteligencia artificial — un tema distinto, tratado en el dossier IA generativa y deepfake de voz. La suplantación de número consiste en falsificar el identificador de llamada que aparece en la pantalla del destinatario, aprovechando los protocolos históricos de telefonía, diseñados en una época en la que esta verificación no era un problema de seguridad.

El «neighbor spoofing»

La técnica más habitual documentada por el regulador estadounidense (FCC) consiste en mostrar un número con tu mismo prefijo local, para parecer familiar y aumentar la probabilidad de que descuelgues — aunque quien llama no tenga absolutamente ninguna relación con tu zona. La misma lógica se aplica a la suplantación directa del número de una empresa o administración que ya conoces. En Estados Unidos, la ley prevé multas de hasta 10 000 dólares por infracción para este tipo de spoofing malintencionado.

Fuente: Federal Communications Commission (FCC), «Caller ID Spoofing».

La respuesta técnica: STIR/SHAKEN

Frente a este problema, se ha desplegado un protocolo de autenticación de llamadas — STIR/SHAKEN — que permite a los operadores verificar que un número que llama es realmente legítimo antes de transmitirlo. Su adopción avanza, pero sigue siendo desigual:

44 %
Proporción de operadores telefónicos registrados que han desplegado por completo STIR/SHAKEN en Estados Unidos, en septiembre de 2025.
FCC, datos a 28/09/2025.
17,5 %
Proporción del tráfico firmado y verificado entre operadores pequeños en 2025 — frente a una tasa notablemente más alta entre los grandes operadores, lo que crea una cadena de verificación desigual.
TNS, 2026 Robocall Investigation Report.

Dicho de otro modo: la verificación técnica existe, pero mientras no esté generalizada entre todos los operadores de una cadena de llamada, un número suplantado todavía puede transitar hasta el destinatario final sin ser marcado como sospechoso.

Spoofing

Falsificación del identificador mostrado durante una llamada o SMS, para hacerse pasar por un número de confianza.

Neighbor spoofing

Variante del spoofing que usa un número con tu mismo prefijo local para parecer familiar.

STIR/SHAKEN

Protocolo técnico que permite a los operadores telefónicos verificar y firmar la autenticidad de un número que llama a lo largo de toda la cadena de la llamada.

🔒 Mientras la verificación técnica siga siendo incompleta del lado de la red, la protección del lado del dispositivo conserva todo su sentido: reconocer un patrón de llamada sospechoso incluso cuando el número mostrado parece familiar. Ver cómo funciona Medusa.

Preguntas frecuentes

La suplantación de número, ¿es lo mismo que el deepfake de voz?

No. El spoofing falsifica el número que aparece en tu pantalla — una técnica que existe desde hace tiempo. El deepfake de voz clona una voz gracias a la IA. Ambas pueden combinarse, pero son dos mecanismos distintos.

¿Qué es el "neighbor spoofing"?

Una técnica que muestra un número con tu mismo prefijo local, para parecer familiar y aumentar la probabilidad de que descuelgues — aunque quien llama no tenga ninguna relación con tu zona.

¿Protege STIR/SHAKEN por completo contra el spoofing?

Todavía no del todo. Este protocolo de autenticación de llamadas está ampliamente desplegado entre los grandes operadores estadounidenses, pero su adopción sigue siendo parcial entre los operadores pequeños, lo que deja huecos en la cadena.

Para saber más