Lucha contra el Fraude Telefónico en Europa: Estrategias y Regulaciones Vigentes

PorIago Fernández González

Estrategias anti-spoofing en Europa

Los países europeos han basado gran parte de su estrategia contra el fraude y el spam en reforzar su regulación frente a estos abusos.

La medida tecnológica preponderante son las bases de datos centralizadas  de numeraciones que permiten a los operadores filtrar el tráfico válido del que no lo es. Estas BD suelen tener carácter nacional, y responden a las diferentes estrategias que adopta el país (p.e. Do-not-originate lists, usuarios en roaming…)

Medidas nacionales contra las prácticas de suplantación de identidad en Europa (fuente: Cullen International)

Con diferentes niveles de penetración según cada país, las estrategias dominantes para proteger a los usuarios de la red telefónica en Europa son:

  • Registro o prohibición de identificador de remitente (SMS): las empresas legítimas a veces envían SMS que muestran su nombre comercial como texto en lugar de un número de teléfono. Los reguladores pueden prohibir estos formatos por completo o permitir solo SMS con identificadores de remitente legítimos de un registro.
  • Registro de números no originados (Do-not-originate registry): una base de datos de números que nunca pueden utilizarse para realizar llamadas salientes.
  • Registro de números protegidos: una lista de números de teléfono que las NRAs ( national regulatory authorities) no asignó y que no pueden utilizarse para originar llamadas.
  • Bloqueo de llamadas internacionales entrantes con un número nacional como CLI: se bloquean las llamadas originadas desde el extranjero que utilizan un número nacional como CLI.
  • Protocolo STIR/SHAKEN: tecnología de autenticación de llamadas que permite a los proveedores de voz verificar que el identificador de llamada transmitido coincida con el número del llamante. Mínima penetración en Europa a día de hoy.

Código Europeo de Comunicaciones Electrónicas (EECC)

El mercado de las telecomunicaciones en Europa tiene como marco general el Código Europeo de Comunicaciones Electrónicas (EECC). 

El EECC cubre aspectos como autorizaciones y licencias, uso del espacio radioeléctrico, derechos de los usuarios finales, numeración,  seguridad y resiliencia de las redes… Estableciendo un marco de obligaciones que se concretan en las transposiciones a la legislación nacional por parte de cada estado miembro.

Entre las obligaciones a los operadores de comunicaciones electrónicas se cuentan:

  • Garantizar un nivel adecuado de seguridad.
  • Prevenir e identificar incidentes de seguridad, esto incluye medidas para detectar suplantación de identidad, uso fraudulento de la numeración, accesos no autorizados.
  • Mantener la confianza en la identidad de las emisiones.

Marco de identificación y autenticación electrónica en Europa (elDAS/ elDAS2,0)

Europa está construyendo un marco de identificación y autenticación electrónica, que persigue la interoperabilidad entre los diferentes países miembros (elDAS). Si bien no regula directamente aspectos del sector de las telecomunicaciones, puede tener un impacto indirecto ya que ofrece herramientas para identificar al usuario final en cualquier tipo de comunicaciones electrónicas.

Directiva ePrivacy

Esta directiva prohíbe el envío de comunicaciones no solicitadas (spam) sin consentimiento, y aplica tanto a SMS como a llamadas automáticas o correos electrónicos. 

Francia, país pionero europeo en el empleo de STIR/shaken

A día de hoy en Europa, el único país con un marco legal (MAN Programe) que ampara la autenticación/verificación de llamadas mediante un framework tecnológico concreto como STIR/Shaken es Francia, aunque en su implementación hay importantes diferencias con la versión norteamericana. 

La ley “Neagelen” (2023) reserva para la APNF (Association de la portabilité des numéros fixes) bajo la dirección de la ARCEP, el rol en exclusiva de PA y CA. Además esta CA está auditada por la ANSSI (French Cybersecurity Agency).

Este escenario, es lo suficientemente diferente como para que una iniciativa como la de CTIA (Branded Calling ID), de branded calling no pueda ser trasladada directamente a Francia. Además el uso de RCD todavía no está estandarizado en Francia. Los primeros pilotos (Odigo) apuntan hacia 2027 como el momento para un despliegue masivo del RCD en el país galo.

Reino Unido, estrategia adaptada a una red en proceso de migración hacia VoIP

Si miramos a Reino Unido por ejemplo, la implementación de algo similar a STIR/Shaken no parece viable para el regulador Ofcom, que descartó esta aproximación en 2024 como una solución nacional obligatoria, tras una consulta al sector, por limitaciones técnicas de su red (todavía no migrada a IP completamente) y económicas (costes demasiado elevados).

Reino Unido ha basado su estrategia en reforzar las reglas de integridad del CLI mediante una legislación que obliga a:

  • Bloquear o rechazar llamadas con CLI inválido o no asignado.
  • Imponer controles KYC (Know-your-costmer) más estrictos para prevenir spoofing.

Ofcom está desarrollando una plataforma que serviría como base de datos central para verificar números de caller ID y su asignación. Ya existe un estándar técnico para esa base de datos (NICC ND1214) pero todavía no se ha implementado en producción ni se ha asignado al administrador responsable.

Finlandia, éxito en la prevención del uso de numeraciones nacionales para el fraude telefónico.

La Agencia Finlandesa de Transporte y Comunicaciones, Traficom, adoptó en mayo de 2022 una versión actualizada de su Reglamento 28. Este Reglamento impone nuevas obligaciones a los operadores de telecomunicaciones para prevenir la suplantación de identidad del emisor de llamadas y la transferencia de llamadas fraudulentas a los destinatarios. El objetivo de la actualización es prevenir el uso de números de teléfono finlandeses en delitos informáticos internacionales y reducir el número de llamadas fraudulentas procedentes del extranjero. Las obligaciones se aplicaron gradualmente: a los números de teléfono de redes fijas a partir del 1 de julio de 2022 y a los de redes móviles a partir del 2 de octubre de 2023.

Finlandia es uno de los casos más exitosos en la lucha contra el fraude en Europa. Sus antecedentes se remontan a 2021, cuando tanto las autoridades Finlandesas como los operadores de telecomunicaciones del país, unieron fuerzas para combatir el “caller ID spoofing”. El despliegue efectivo de esas medidas fue durante el verano de 2022, y lograron una reducción significativa del fraude telefónico. Finlandia, afirma haber alcanzado un ritmo de 200k fraudes telefónicos bloqueados al día, evitando que se repitan las pérdidas por fraude telefónico entre 2020-2021 calculadas en más de 7 millones de euros.

La componente privada de este éxito se encuentra en la solución técnica proporcionada por por Numpac, una entidad inicialmente participada por tres operadoras finlandesas (Telia, Elisa y DNA). Numpac habilitó un servicio de verificación centralizado que permite saber si un número móvil está siendo empleado por un abonado finlandés desde el país o el extranjero. Bajo la supervisión de Traficom los operadores han empleado esta información para filtrar más de 200 llamadas diarias.

Alemania, así protege las numeraciones nacionales de spoofing

Alemania ha desplegado un sistema contra el spoofing obligatorio desde 2022 (en línea con el mandato de la EECC), supervisado por la Bundesnetzagentur (Agencia Federal de Redes), con fundamento legal en el artículo 120 de la Ley Alemana de Telecomunicaciones (TKG).

Según la Bundesnetzagentur, la mayoría de las llamadas con Caller ID falsificado provienen del extranjero, por ese motivo centran su acción en garantizar que las numeraciones alemanas, pertenezcan realmente a llamantes nacionales, bloqueando la llamada si esta presenta CLI alemán pero es realizada desde un operador extranjero.

Irlanda, estrategia multicapa contra el fraude telefónico

Merece la pena destacar la estrategia multicapa de Irlanda, ya que combina muchas estrategias que otros países europeos sólo han abordado parcialmente.  El regulador ComReg junto con las telcos irlandesas formaron el grupo “Nuisance Communications Industry Taskforce (NCIT) ” desde el que  han impulsado medidas como:

  • Bloqueo de CLI falso
  • Protected numbers: bloqueo automático de números no asignados oficialmente.
  • Do Not Originate (DNO)
  • Registro de SMS Sender ID
  • “Voice firewall”: filtrado avanzado de llamadas mediante análisis (AI & ML) para detectar patrones sospechosos. 
  • Rechazo de STIR/SHAKEN y del principio de adjuntar una firma de “autenticación” a las llamadas porque es imposible imponer una autenticación real a las llamadas que se originan fuera de Irlanda.
  • Plan para el filtrado de SMS por contenido (pendiente de un marco legislativo que lo permita)

Voice Firewall

El Voice Firewall es un software que identifica y bloquea llamadas fraudulentas procedentes de Irlanda o del extranjero y que ayudará a protegerse contra futuras estafas más sofisticadas. El ComReg diseña pero los operadores son quienes lo implementan. El objetivo es bloquear llamadas más allá de las reglas vinculadas al CLI.


ComReg estima que el retorno económico de estas medidas es de 50€ por cada euro invertido. Más de 30 millones de llamadas fraudulentas habrían sido bloqueadas por el conjunto de medidas implementadas.

España

El marco regulatorio principal en España para las telecomunicaciones es la Ley General de Telecomunicaciones, pero está complementada con un buen número de normas como la Ley 4/2024 “Ley de atención a la Clientela”, la Ley de servicios de la información, la ley de Protección de datos (RGPD), Real Decreto sobre accesibilidad digital, la carta de derechos del usuario de servicios de comunicaciones electrónicas

Orden Ministerial TDF/149/2025

La orden Ministerial TDF/149/2025, tipifica ciertos incumplimientos como son el bloqueo del CLI vacío, numeración no asignada, o llamadas comerciales desde móviles como infracciones graves bajo la ley General de Telecomunicaciones 11/2022. Establece un nuevo marco en la lucha contra el fraude telefónico, relativamente similar al marco Alemán. 

Esta orden Ministerial obliga a los operadores a detectar y bloquear números falsificados o suplantados. Esto se traduce en la obligación de bloquear llamadas que presenten un CLI diferente del número originate, exigiendo cierto nivel de responsabilidad a todos los operadores que participan en la cadena de valor de la llamada:

  • Operador de orígen:
    • No está conformado de acuerdo al Plan Nacional de Numeración (CLI vacío, CLI mal formateado)
    • No está atribuído a ningún servicio o no está asignado a ningún cliente.
  • Operador en tránsito:
    • Un CLI que tenga asignado o portado (por lo tanto si el operador de origen es otro no debería poder usarlo)
  • Operador terminante:
    • Llamadas recibidas por una interfaz de conexión internacional con un CLI español, que no se corresponda a usuarios en roaming.
    • En caso de que sea imposible saberlo debería marcarse la llamada con algún tipo de aviso.

Esta normativa también incluye nuevas reglas para la realización de comunicaciones comerciales:

  • Prohibición expresa de realizar llamadas comerciales y de atención al cliente desde números móviles.
  • Toda llamada comercial debe efectuarse con numeración 800/900 o geográfica.
  • Los operadores deben bloquear de forma sistemática cualquier llamada que incumpla estos criterios.

Con los SMS también se aplican nuevas restricciones, fijando el 7 de junio de 2026 como fecha límite para que los operadores bloqueen SMS/MMS/RCS entrantes desde el extranjero que usen alias o prefijos españoles sin registro oficial en la CNMC.

Publicaciones Similares