Te escribe tu banco, pero no es tu banco: el fraude invisible del ID Spoofing es una plaga. Europol quiere erradicarla

Abres tu lista de mensajes recibidos, revisas todos los del banco y descubres mensajes reales con intentos de estafa. Parece mentira que exista una forma de simular un número de teléfono, pero es tal que así: el ID Spoofing hace estragos. Dada su peligrosidad, hasta Europol lo ha señalado como una de sus principales amenazas.

¿Qué es el ID Spoofing? Según indica su propio nombre en inglés, esta sofisticada técnica permite suplantar cualquier número de teléfono para disfrazar un SMS o una llamada de cualquier banco concreto, de Correos o de una mensajería, por ejemplo. Es sumamente peligroso por su eficacia: resulta imposible distinguir un SMS auténtico solo por el remitente.

Utilizando servicios de VoIP o centrales telefónicas manipuladas, el emisor puede configurar manualmente el número que quiere mostrar sin que necesite acceso al móvil del usuario. El ID Spoofing es posible por la falta de un sistema universal de autenticación del identificador de llamadas entre operadores. Justo lo que quiere corregir Europol.

Coordinación a nivel europeo. En la actualidad, existen mecanismos de seguridad que permiten la identificación segura del número de teléfono. Uno de los más populares es STIR/SHAKEN, una herramienta digital que valida la identidad del llamante a través de las distintas redes telefónicas. El Gobierno de España ha dado pasos en vías de implementar una solución técnica contra este tipo de estafas.

Dado que la unión hace la fuerza, desde Europol han lanzado una propuesta para instaurar una herramienta efectiva contra el ID Spoofing a nivel europeo y que funcione en todos los operadores. Así lo especifica la propia Europol:

«El desequilibrio actual, en el que suplantar identidades es fácil e investigarlo difícil, es insostenible. Europol pide medidas que encarezcan y hagan técnicamente más complejo para los delincuentes ocultarse tras identidades falsificadas, al mismo tiempo que permitan a los investigadores actuar con rapidez a nivel transfronterizo».

Fácil de decir, difícil de implementar. El ID Spoofing es posible porque la identificación de llamadas, un servicio que se introdujo de manera comercial en los años 80, está basado en la confianza y no incluye un sistema de verificación. Por eso es relativamente sencillo imitar la ID de una empresa: si el sistema de telecomunicaciones recibe un SMS de alguien que dice ser tu banco, tiende a creérselo.

Es tan difícil implementar un sistema de seguridad en la identificación de las comunicaciones que en pleno 2025 aún seguimos recibiendo SMS y llamadas completamente falsas. Europol urge a que esto se solucione lo más pronto posible. Y no solo por cuestión de seguridad: la policía europea asegura que el ID Spoofing provoca pérdidas de más de 850 millones de euros.

¿Lo veremos pronto? Países como Estados Unidos ya trabajan sobre un sistema seguro de identificación. A nivel particular, Francia implementó el protocolo STIR/SHAKEN en 2024. Que se instaure a nivel europeo es el siguiente paso, aunque seguramente costará que se oficialice: discutir el protocolo a seguir, autorizarlo e implementarlo es un proceso de varios años. Mientras tanto, tendremos que seguir prestando atención para no caer en una estafa.

Imagen de portada | Iván Linares

En Xataka Móvil | La ley contra las llamadas spam iba a acabar con ellas en España y lo está consiguiendo. Ahora llaman de países extraños