¿Cuántas veces has recibido un mensaje de texto que parecía de tu banco, de una aseguradora o de una empresa de reparto diciendo que tu cuenta ha sido bloqueada o que tienes un paquete retenido?

Este tipo de estafas, conocidas como smishing o suplantación de identidad, están a la orden del día en la actualidad. Y ello porque los ciberdelincuentes se aprovechaban del hecho que hasta ahora las empresas podían emplear libremente alias alfanuméricos (por ejemplo, el nombre de su marca) para que el destinatario pudiera inmediatamente identificar quién le mandaba dicho SMS o MMS sin tener que tenerlo guardado; y lo empleaban para copiar dichos alias y así cometer los fraudes con los que robar los datos o dinero a los usuarios.

Pues bien, con la publicación de la Orden TDF/149/2025 y el desarrollo normativo de la Comisión Nacional de los Mercados y la Competencia (CNMC) con la Circular 1/2026, la cual ha entrado en vigor este 7 de junio, se ha producido un cambio estructural en el uso de los remitentes con la creación y entrada en vigor del Registro Nacional de Alias.

Con este Registro lo que se busca es la creación de una base de datos centralizada y de control en la que deben inscribirse todos los alias alfanuméricos que aparecen como remitentes en mensajes SMS, MMS o RCS enviados a números españoles.

De tal suerte que cualquier mensaje enviado con un alias no registrado será bloqueado automáticamente por los operadores, sin excepción. Y no solo afecta a empresas con sede nacional, sino que es especialmente estricta con el tráfico internacional para prevenir el smishing transfronterizo.

A partir de junio de 2026, cualquier mensaje enviado desde el extranjero hacia usuarios españoles que utilice una numeración nacional o un alias que no haya sido validado y vinculado a un proveedor local autorizado será bloqueado automáticamente.

Por tanto, si tu empresa opera de forma global pero se comunica con clientes en España, es imperativo cumplir también con esta normativa.

Los requisitos que se exigen para que tus mensajes sean entregados son dos:

  1. El Alias debe estar registrado: Tu marca o nombre comercial debe figurar en la base de datos oficial de la CNMC.

Para poder inscribir el alias se exigirá también que exista una vinculación legítima entre el alias y el titular, entendiéndose por tal:

  • Marca o Nombre Comercial: Certificado de registro en la OEPM (Oficina Española de Patentes y Marcas) o la EUIPO.
    • Denominación Social: Escrituras o certificado del Registro Mercantil.
    • Dominio de Internet: Prueba de titularidad de un dominio .es o internacional relacionado con la marca.
  • El Proveedor debe estar autorizado: Debes designar formalmente a tu proveedor como el «Proveedor de Origen» (PRO) autorizado para enviar mensajes bajo ese remitente específico.

También se establecen obligaciones para los proveedores de mensajería y responsabilidades para los mismos, puesto que se les impone la obligación de bloquear los mensajes cuando:

  • Se utilicen alias no inscritos en el registro,
    • Procedan de proveedores no registrados,
    • Se envíen sin la habilitación por parte del titular del alias, o
    • Correspondan a empresas extranjeras no inscritas en España, salvo cuando el usuario destinatario del mensaje esté en itinerancia.

El registro de alias forma parte de un paquete más amplio de medidas impulsado por el Ministerio para la Transformación Digital y de la Función Pública. Además del registro obligatorio, la CNMC habilitará un portal público de consulta en el que se podrá verificar la titularidad de un alias, contribuyendo a la detección de intentos de fraude.

Con esta regulación, además de buscar frenar a los ciberdelincuentes en esta clase de delitos, tendrá también un impacto en la práctica judicial, tanto para

  1. El consumidor, que contará con mayor protección y una obligación de consultar el registro público y oficial para conocer si el mensaje es legítimo o no.
  2. Para las entidades bancarias y resto de entidades que se comuniquen vía mensajería, puesto que si consiguen los ciberdelincuentes emplear su alias supondrá una brecha en sus protocolos y n podrán ampararse en la “negligencia grave del consumidor” como hasta la fecha y
  3. Para los operadores de telecomunicación, abriéndose una vía de reclamación frente a los mismos debido a esa obligación de deber de control que han de tener de la mensajería, siendo responsabilidad de los mismos filtrar los mensajes.