# Orden TDF/149/2025: el fin de las llamadas con número falso

Todos hemos recibido esa llamada. En la pantalla aparece el número de tu banco —el de verdad, el que viene en el reverso de la tarjeta— y al otro lado una voz muy amable te explica que han detectado un cargo sospechoso y que necesita verificar tus datos. El número es auténtico. La llamada, no.

Eso se llama **spoofing del identificador de llamada** (CLI, *Calling Line Identification*), y quienes llevamos años trabajando en telecomunicaciones y VoIP sabemos lo incómodamente fácil que ha sido siempre: en una llamada SIP, el número que se presenta es, a efectos prácticos, **un campo de texto que alguien rellena**. Durante décadas, nadie en la cadena estaba obligado a comprobar que ese número fuera tuyo. La **Orden TDF/149/2025** existe para acabar con eso.

## Qué es la Orden TDF/149/2025

Es una orden del Ministerio para la Transformación Digital y de la Función Pública, **publicada en el BOE el 15 de febrero de 2025** y en vigor desde el **7 de marzo de 2025**. Su título lo dice casi todo: «medidas para combatir las estafas de suplantación de identidad a través de llamadas telefónicas y mensajes de texto fraudulentos y para garantizar la identificación de la numeración utilizada para la prestación de servicios de atención al cliente y realización de llamadas comerciales no solicitadas».

Ataca tres frentes: el **spoofing de llamadas**, el **smishing** (SMS fraudulentos que suplantan a bancos, Correos o la Agencia Tributaria) y la **identificación de las llamadas comerciales**. Y reparte los deberes donde toca: entre los operadores. Ojo, porque ya tiene una modificación: la **Orden TDF/558/2026**, de 4 de junio, que retocó uno de los plazos (luego llegamos a eso).

## Las medidas principales

### 1. Bloqueo de numeración inexistente o sin dueño

El artículo 4 obliga a los operadores a bloquear las llamadas con **CLI vacío**, con numeración **no atribuida** a ningún servicio en el plan nacional de numeración (o con un formato incoherente con la recomendación E.164 de la UIT), y con numeración **no asignada por la CNMC** a ningún operador — para lo cual deben consultar la base de datos que gestiona la propia comisión. Traducción: si el número que presentas no existe o no es de nadie, la llamada no sale.

### 2. Llamadas internacionales con número español: bloqueadas

El artículo 5 es, para mí, el más contundente en resultados inmediatos: toda llamada que **entre desde el extranjero presentando un número español como CLI debe bloquearse**, con una única excepción lógica: la **itinerancia internacional** (tú, de vacaciones fuera, llamando con tu móvil español). Si el operador no puede verificar técnicamente el roaming, puede marcar el CLI como no verificado. Esta medida aplica desde **junio de 2025** y desmonta el esquema clásico del call center fraudulento que llama desde fuera haciéndose pasar por tu banco de aquí.

### 3. Lo mismo para los SMS

Los artículos 6 y 7 replican ambas medidas para SMS, MMS y RCS: bloqueo de mensajes con numeración no válida y bloqueo de mensajes internacionales que presenten número o alias español.

### 4. Un registro público de alias para SMS

El artículo 8 crea un **registro de alias en la CNMC**: esos remitentes alfanuméricos («BBVA», «CORREOS», «DGT») que aparecen en lugar del número. Las empresas y administraciones deberán **inscribir sus alias antes de usarlos**, indicando qué proveedores están habilitados para enviar con cada uno, y los operadores bloquearán los mensajes con alias no registrados. Es el golpe directo al smishing. Iba a entrar en vigor el 7 de junio de 2026, pero la Orden TDF/558/2026 lo aplazó al **15 de septiembre de 2026**: la carga masiva de los alias en uso resultó ser más compleja de lo previsto y nadie quería bloquear por error los SMS de un hospital o de una administración.

### 5. Las llamadas comerciales, sin numeración móvil

El artículo 9 **prohíbe usar rangos de numeración móvil** para atención al cliente y para llamadas comerciales no solicitadas, y el artículo 10 autoriza expresamente los rangos **800 y 900** para estos servicios, con un detalle elegante: si devuelves la llamada a ese número, es **gratuita**. Se acabó (legalmente, al menos) esa táctica de llamar «desde un móvil» para que parezca que te llama una persona y no una plataforma.

### 6. Rendición de cuentas

Los operadores deben reportar anualmente estadísticas de llamadas y mensajes bloqueados. Sabremos, con números, cuánta basura se está filtrando.

## El punto fino: cortar en origen las llamadas con numeración del propio operador

Y llegamos a la parte que menos titulares ha generado y que, profesionalmente, me parece **la más interesante de toda la orden**. Casi todas las medidas anteriores bloquean en destino o en tránsito: la llamada mala ya existe y alguien la para por el camino. Pero el artículo 2.2 dice algo muy concreto sobre el artículo 4: *«resultará obligado al bloqueo el operador que origina la llamada»*. La responsabilidad se traslada **al origen**, a la puerta por donde el fraude entra en la red. Y ahí hay dos apartados que cambian las reglas del juego.

El primero es el **artículo 4.3**, que cito literal porque merece la pena:

> «Cada operador deberá bloquear las llamadas de servicios de comunicación vocal que presenten como CLI numeraciones que le hayan sido asignadas, subasignadas o portadas y que ese operador todavía no haya adjudicado a ningún cliente.»

Esto es mucho más exigente de lo que parece. No basta con bloquear números «inexistentes»: el operador tiene que cruzar **cada llamada saliente contra su propio inventario de numeración**. Si un número de su pool no está adjudicado a un cliente concreto, ninguna llamada puede salir presentándolo. En la práctica, eso obliga a tener el inventario de numeración **vivo e integrado con la plataforma de conmutación**: un screening de CLI por cliente en el softswitch o en el SBC, consultado llamada a llamada. Quien haya operado un Kamailio o similar sabe que técnicamente es perfectamente viable; lo que no era, hasta ahora, es obligatorio. La orden incluso prevé el caso de los **revendedores**: la CNMC definirá el mecanismo para las numeraciones subasignadas sin que los operadores tengan que intercambiarse información comercial de sus clientes.

El segundo es el espejo del primero, el **artículo 4.4**:

> «Las llamadas recibidas por un operador, actuando este operador en terminación o tránsito, que presenten un CLI que el propio operador tenga asignado o portado deberán ser bloqueadas, salvo que se trate de un caso de itinerancia internacional.»

La lógica es preciosa por lo simple: si me llega desde fuera una llamada que dice ser de **un número mío**, es falsa por definición, porque una llamada legítima de mi cliente nace dentro de mi red, no entra por una interconexión. Salvo roaming, claro.

Estos dos apartados, combinados, tienen consecuencias reales para el sector. La más evidente: **el CLI de terceros se acabó como práctica alegre**. Ese call center externalizado que presentaba el número fijo de su empresa cliente —numeración que vive en otro operador— va a encontrarse la llamada bloqueada cuando llegue al operador titular del número. Para los casos legítimos queda la vía del **artículo 4.6**: excepciones debidamente justificadas por resolución de la Secretaría de Estado de Telecomunicaciones, notificadas a la CNMC y publicadas. Es decir: se puede, pero con papeles y a la luz.

Me parece el enfoque correcto. Estados Unidos optó por la vía criptográfica con STIR/SHAKEN, firmando digitalmente el origen de cada llamada; España ha elegido algo menos elegante pero más inmediato: **bloqueo administrativo apoyado en el plan de numeración**, con la CNMC como fuente de verdad. Los protocolos nunca impusieron que el CLI fuera verdad; ahora lo impone el BOE. El fraude se corta donde nace, no en el terminal de la víctima.

A mis hijas les tengo enseñado desde hace años que ninguna llamada «del banco» es del banco, y eso no pienso cambiarlo: los estafadores no van a desaparecer, van a mudarse —a WhatsApp, a donde sea—. Pero por primera vez en mucho tiempo, la red juega a favor del que descuelga. Y eso, para alguien que lleva un cuarto de siglo viendo las tripas de las llamadas, es una buena noticia.

---

*Imagen de cabecera: teléfono de baquelita con dial giratorio. Fotografía de Berthold Werner, [Wikimedia Commons](https://commons.wikimedia.org/wiki/File:Telefon_BW_2012-02-18_13-44-32.JPG), licencia CC BY-SA 3.0.*
