Lucha contra el fraude telefónico en LATAM

América Latina (LATAM) es una de las regiones más prolíficas para el fraude y la ciberdelincuencia.

El Índice Global de Seguridad Cibernética de la Unión Internacional de Telecomunicaciones (IGC) señaló en 2020 que 28 países de la región no habían proporcionado incentivos para mejorar la ciberseguridad privada y 17 países carecían de una estrategia nacional de ciberseguridad para abordar la infraestructura crítica.

El IGC 2024 indica avances globales en las iniciativas de ciberseguridad, pero también subraya desafíos persistentes, como la necesidad de desarrollar capacidades, abordar la brecha digital entre países desarrollados y en desarrollo, y gestionar la creciente complejidad de ciberamenazas como el ransomware y las filtraciones de datos.

En los últimos años, algunos de los principales mercados de LATAM han actualizado sus marcos normativos en términos de telecomunicaciones, pero no siempre con un enfoque directo frente al fraude, spam y otras amenazas del canal telefónico. A pesar de existir asociaciones como REGULATEL (en las que también participa España), que promueve el intercambio de experiencias entre los reguladores competentes en la región, son palpables grandes diferencias en las estrategias de las principales economías latinoamericanas.

Al igual que hemos hecho con el marco regulatorio europeo y norteamericano, te invito a explorar 4 de estos contextos regulatorios en su lucha contra los abusos a través de la red telefónica: Brasil, México, Colombia y Perú.

Regulación Antifraude en Brasil: liderando la lucha contra el fraude telefónico en LATAM

Brasil ha estado a la vanguardia de la lucha contra el fraude telefónico y cibernético en América Latina, implementando una serie de regulaciones y medidas a lo largo de los años para proteger a los consumidores y empresas. Estos son los hitos más importantes en la regulación antifraude en el país:

• 2019 – Código de Conducta para Ofertas de Servicios de Telecomunicaciones por Telemarketing y «Não Me Perturbe»: Las principales operadoras (Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM y Vivo) firmaron un Código de Conducta específico para el telemarketing y se lanzó la plataforma «Não Me Perturbe» (No Me Moleste), permitiendo a los usuarios bloquear llamadas de telemarketing no deseadas.
• 2021– Endurecimiento de Penas por Crímenes Cibernéticos

Según el nuevo artículo 171(§ 2-A), el fraude cometido a través de redes sociales, contactos telefónicos, correos electrónicos fraudulentos o cualquier otro medio fraudulento similar, utilizando información proporcionada por la víctima o por un error causado por un tercero, se castiga con penas de cuatro a ocho años de prisión y multa. La pena, según la gravedad del resultado, se incrementa entre un tercio y dos tercios si el delito se comete utilizando un servidor ubicado fuera del territorio nacional (art. 171(§ 2-B)). La pena se incrementa entre un tercio y el doble si el delito se comete contra personas mayores o vulnerables, según la gravedad del resultado (art. 171(§ 4)).

• 2022
  • Implementación del Prefijo 0303: Se introdujo el prefijo 0303 para identificar llamadas de telemarketing, aunque la Agência Nacional de Telecomunicações (Anatel) decidió revocar su obligatoriedad a partir de 2025.
  • Limitación de Llamadas Cortas: La primera cautelar, dirigida a 26 operadoras de servicio, estableció un límite de 100.000 llamadas cortas diarias por número de teléfono para las prestadoras de telecomunicaciones, con revisiones regulatorias que permitieron la posibilidad de cobro por estas llamadas.
  • Medidas de Eficiencia y Transparencia: la segunda cautelar establece medidas de eficiencia, transparencia y un ranking de los mayores infractores en el uso de llamadas.
• 2023
  • Se lanzó el portal «Qual Empresa Me Ligou» (Qué Empresa Me Llamó), una herramienta gratuita que permite a los usuarios consultar la razón social y el CNPJ (registro de persona jurídica), a través de líneas fijas o móviles, combatiendo así el telemarketing abusivo. Desde su lanzamiento en enero de 2023, ha recibido 6 millones de consultas. En este registro aparecen uns 2.918 empresas que realizan servicios de llamadas masivas en Brasil (el 95% del total).
  • Autorización de Protocolos de Identificación y Autenticación de Llamadas: Se autorizó a los proveedores de servicios de telecomunicaciones a implementar protocolos de identificación y autenticación de llamadas (STIR/Shaken).
  • Regulación de Números 0800: La Anatel ordenó a las empresas de telecomunicaciones tomar medidas estrictas contra la venta de números 0800 a estafadores, prohibiendo su reventa y exigiendo la suspensión inmediata del servicio ante evidencia de uso fraudulento.
• 2024
  • Despacho Decisório nº 262/2024/COGE/SCO: Anatel estableció medidas que deben ser aplicadas por los proveedores del Servicio de Telefonía Fija (“STFC”) y del Servicio Móvil Personal (“SMP”) con el fin de verificar y garantizar la transparencia y trazabilidad de las llamadas telefónicas:
    • Registro obligatorio de llamadas por 5 años.
    • Uso adecuado de recursos de telecomunicaciones bajo pena de suspensión o bloqueo.
    • Evaluación quincenal del tráfico entrante de otros proveedores para transferir o terminar llamadas. Las violaciones (más del 10% de llamadas con códigos irregulares) pueden resultar en suspensión de servicios de interconexión.
  • Implementación de STIR/Shaken: Aunque no se menciona directamente, la nueva regulación establece directrices para la autenticación obligatoria de llamadas telefónicas con numeración pública, alineada con la tecnología internacional STIR/Shaken. Se espera que la implementación de este protocolo, que mostrará el número, nombre, logo/marca y motivo de la llamada, así como un sello de autenticidad, comience a fines de 2024. La expectativa es que el 75% de los smartphones en Brasil sean compatibles para mediados de 2025.
  • Prohibición de Números Aleatorios Múltiples: Se prohibió el uso de múltiples números aleatorios para llamadas de un mismo originador, una práctica que dificultaba la identificación y el bloqueo de llamadas no deseadas o fraudulentas.

Estas medidas demuestran el compromiso de Brasil en la creación de un entorno de telecomunicaciones más seguro y transparente, buscando combatir el fraude y proteger a sus ciudadanos de las crecientes amenazas cibernéticas.

Medición y evaluación de las medidas adoptadas

ANATEL ha podido hacer un balance muy positivo de su actividad entre los años 2022 y 2023, sumando hitos como:

• Una reducción de aproximadamente el 41 % en el volumen de llamadas cortas (aquellas que duran menos de tres segundos) al comparar los meses de mayo de 2022 y julio de 2023.
  • De junio de 2022 a julio de 2023, la reducción equivale a 88 400 millones de llamadas cortas que dejaron de realizarse, en comparación con el mes inmediatamente anterior a la primera medida cautelar (mayo de 2022), lo que equivale a 415 llamadas menos por cada habitante del país.
• Identificación del uso de llamadas automáticas mediante el monitoreo del volumen de llamadas: a mayor proporción de llamadas cortas, mayor evidencia de su activación, lo que conlleva las siguientes consecuencias:
  • 582 empresas bloqueadas por incumplir los límites establecidos en las tres medidas cautelares emitidas por la Agencia;
  • 126 de los usuarios bloqueados firmaron compromisos de cumplimiento con los límites de la medida cautelar;
  • 2778 recursos de numeración comenzaron a utilizar el código de numeración 0303.

Regulación Antifraude en México: al margen de la nueva ley de telecomunicaciones

En 2023 con 171 millones de llamadas no deseadas y 119 millones de comunicaciones telefónicas con propósitos fraudulentos, México se sitúa en el top 5 de países de América Latina con la tasa más alta de llamadas spam, contexto en el cual el IFT (Instituto Federal de Telecomunicaciones) observa la necesidad de establecer mecanismos de seguridad que mitiguen estas y otras prácticas.

En agosto de 2024, El Instituto Federal de Telecomunicaciones (IFT) llevó a cabo una consulta pública para diseñar lineamientos que mitiguen comunicaciones no deseadas. En ese contexto, se mencionaron tecnologías como STIR/SHAKEN, Blockchain, filtrado, entre otras, como alternativas factibles para garantizar la seguridad y autenticidad de las llamadas. En la versión final de la ley publicada en julio de 2025, Ley en materia de telecomunicaciones radiodifusión , no se incluyó ninguna disposición derivada de esa consulta pública, incluso a pesar de que algún partido político, el PVEM, sí puso sobre la mesa diferentes medidas, como algunas enfocadas a la minimización de llamadas no deseadas.

La ley de 2025, se enfoca principalmente en la reestructuración institucional —como la desaparición del IFT y la creación de:

• la Agencia de Transformación Digital y Telecomunicaciones (ATDT): Asume las funciones principales del IFT en regulación, supervisión y gestión técnica de los servicios de telecomunicaciones y radiodifusión.
• Comisión Reguladora de Telecomunicaciones (CRT): Nueva figura creada por la ley, con atribuciones más acotadas que las del extinto IFT. Sus tareas se concentran en la supervisión operativa y técnica de concesionarios, además de garantizar la aplicación de lineamientos que emita la ATDT.
• Poder Ejecutivo Federal: La ley fortalece la injerencia del Ejecutivo sobre telecomunicaciones. El Presidente tendrá más margen en la designación de autoridades y definición de políticas generales.

Además se establece el requerimiento de identificarse con CURP para personas físicas, y RFC para personas morales, para poder acceder a la prestación de servicios de telecomunicaciones.

Ciertas voces críticas han alertado que esta La ley fortalece la injerencia del Ejecutivo sobre telecomunicaciones. El Presidente tendrá más margen en la designación de autoridades y definición de políticas generales.

La protección contra el fraude telefónico en México actualmente, se basa en:

• Defensa al consumidor (Profeco, LFPC):
  • Registro Público para Evitar Publicidad (REPEP)
  • Acuerdo “ACCIONES PARA LA PREVENCIÓN DE SPAM EN COMUNICACIONES MÓVILES”,
• Protección de datos (LFPDPPP).
• Educación y orientación al usuario (CONDUSEF).
• Opciones para denunciar y detener fraudes.

PROFECO en la lucha contra el Spam telefónico

La Profeco, desde hace unos años, cuenta con el Registro Público para Evitar Publicidad (Repep). Este servicio es gratuito y te libera de las llamadas de empresas de los sectores de telecomunicaciones, turístico y comercio.

Estar inscrito en el Repep no evita las llamadas con funciones de cobranza, de organizaciones políticas, de beneficencia y de encuestadores telefónicos, ya que no son ámbito de Profeco. Para evitar llamadas de servicios financieros, aseguradoras, bancos, afores, sociedades de inversión, entre otras, es necesario inscribirse en el Registro Público de Usuarios (REUS) de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

En enero de 2024, las empresas Altan Redes, Alestra Servicios Móviles, AT&T, Izzi móvil, Telcel, y Movistar firman un acuerdo con PROFECO denominado “ACCIONES PARA LA PREVENCIÓN DE SPAM EN COMUNICACIONES MÓVILES”.

Entre los compromisos está que cada operador, en cumplimiento de lo establecido en la legislación y regulación en la materia, definirá reglas operativas respecto al tipo de mensajes cortos de Aplicación a Persona (A2P) que no aceptará ni entregará a los usuarios de su red con apoyo de sistemas antispam (por ejemplo fraudes, cobranza, publicidad, pornografía, etcétera). Aunque no está detallado en el informe cuáles serán estos sistemas, se espera que se utilicen sistemas anti-spam respaldados por inteligencia artificial, que analicen tanto texto como imágenes para filtrar los mensajes.

También se acuerda que cada operador o agregador de origen solicitará la identidad jurídica de cualquier gran usuario que deseé enviar mensajes en forma directa o a través de agregadores.

El código penal de los estados: la vía telefónica como agravante en el caso de la extorsión

El Código Penal para del Estado de Baja California establece en su artículo 224 que comete el delito de extorsión «el que para obtener un lucro obligue a otro, a realizar u omitir un acto en perjuicio de su patrimonio o el de un tercero». Es importante señalar que derivado de una iniciativa presentada en septiembre de 2010 se añadió al Código Penal del Estado de Baja California el artículo 224 BIS, en el que se «Agrava la pena para aquel que realice esta conducta utilizando la vía telefónica, el correo electrónico o cualquier otro media de comunicación electrónico o digital». Además, también se agrava la conducta si es cometida en contra de menores de edad, entre otras cosas.

También se logró que se incluyera a la extorsión dentro de la Ley Contra la Delincuencia Organizada para el Estado de Baja California, para que los individuos que lleven a cabo esa conducta, sean sancionados por ese solo hecho como Miembros de la Delincuencia Organizada (dándose las condiciones establecidas en la Ley).

Polémica propuesta sobre el uso de la identificación biométrica

En 2022, la Suprema Corte de Justicia de la Nación (SCJN) declaró inconstitucional el Padrón Nacional de Usuarios de Telefonía Móvil (PANAUT). Los motivos de esta Suspensión por inconstitucional porque:

• Vulneraba el derecho a la privacidad y a la protección de datos personales
• Imponía una restricción desproporcionada al derecho de acceso a telecomunicaciones (se condicionaba el servicio a entregar biometría).
• No existían garantías suficientes de seguridad en el manejo de datos tan sensibles.

Medidas contra el fraude telefónico en Colombia

La Policía Cibernética contabiliza 13 600 denuncias de fraude telefónico en 2024, un alza del 18 % frente a las 11 525 de 2023. Según un un estudio de Asobancaria revela que 41 % de los fraudes electrónicos en 2024 involucraron vishing (engaño por voz).

Según launa encuesta de FICO encuesta, el 65 % de los colombianos afirma que familiares o amigos han sido víctimas de estafas. El 73 % recibió un mensaje de texto, correo electrónico, llamada telefónica u otro tipo de comunicación no solicitada que creyó que era parte de una estafa.

Colombia tiene una autoridad de telecomunicaciones: la Comisión de Regulación de Comunicaciones (CRC). En 2024 emitió el Concepto 507365, que clarifica términos como «fraude» o «red de telecomunicación» en el marco regulatorio vigente:

 «el propósito de la referencia a la realización de fraudes es prevenir que se realicen conductas engañosas o por parte de terceros no autorizados que puedan resultar en un detrimento o afectación para los usuarios. Para ello, en su segundo inciso, la norma impone obligaciones de prevención, atención y corrección en cabeza de los Proveedores de Redes y Servicios de Telecomunicaciones para aquellos casos en los que con ocasión de una conducta de este tipo pueda verse afectado un usuario.»

La ​​Resolución CRC 5050 de 2016. “Artículo 2.1.10.7. Prevención de Fraudes. Los operadores tienen la obligación de hacer uso de herramientas tecnológicas adecuadas para prevenir que se cometan fraudes al interior de sus redes y debe hacer controles periódicos respecto a la efectividad de estos mecanismos.

La CRC ha sido clave en la implementación del Registro de Números Excluidos (RNE), impulsado por la Ley 2300 de 2023 (conocida como «Dejen de Fregar»):

Según un análisis de Lexir LATAM (2025), la CRC colabora con operadores para bloquear números identificados como fuentes de spam o fraude. También impulsa el uso del Registro Nacional de Bases de Datos (RNBD) (gestionado por la SIC) para aumentar la transparencia y permitir denuncias ciudadanas.

El Decreto n.° 1.630 crea un registro nacional de teléfonos móviles mediante la adopción de dos bases de datos. Los proveedores de telecomunicaciones deben asumir los costos del sistema que soporta las bases de datos positivas y negativas, las cuales deben ser administradas por una entidad legal independiente y deben garantizar la calidad del servicio:

• La base de datos negativa contiene el IMEI (Identidad Internacional de Equipo Móvil) de los dispositivos reportados como robados o extraviados, tanto en Colombia como en el exterior.
• La base de datos positiva incluye los equipos móviles importados o fabricados legalmente en territorio colombiano. Esta última vincula el IMEI con la identidad del usuario, quien debe proporcionar a los operadores de telecomunicaciones (o proveedores de redes y servicios de telecomunicaciones móviles) su nombre completo, tipo y número de documento de identidad, dirección y número de teléfono. Si bien no existe un registro obligatorio de las tarjetas SIM, los IMEI se asocian a un usuario específico.

La Dirección de Investigación Criminal de la Policía Nacional estableció, en el artículo 3 de su Resolución 912 de 2008, que los abonados a las telecomunicaciones deberán facilitar a los concesionarios de telecomunicaciones su nombre, dirección, número de contacto y número de identificación.

La legislación colombiana pionera agravando los delitos mediante inteligencia artificial

La legislación colombiana ha demostrado un claro enfoque en la suplantación de identidad mediante IA, con disposiciones legales específicas. La Ley 2502 de 2025 incluyó un agravante específico al delito de falsedad personal, cuando se comete mediante la utilización de inteligencia artificial (IA), castigando con hasta 6 años de prisión la suplantación de identidad con IA en Colombia.

Perú contra el fraude telefónico

Si observamos las estadísticas de Perú, el 56% de los peruanos afirma que sus familiares o amigos han sido víctimas de estafas. El 76% de los peruanos recibió un mensaje de texto, correo electrónico, llamada telefónica u otro tipo de comunicación no solicitada que creyó que era parte de una estafa.

En Perú, el Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL) es el organismo encargado de regular, fiscalizar y supervisar los servicios de telecomunicaciones, protegiendo los derechos de los usuarios y el funcionamiento del mercado.

Perú ha fortalecido su marco contra el spam telefónico con la Ley 32323, nuevos reglamentos y fiscalización activa. Las iniciativas de educación al usuario y los mecanismos de denuncia también se han robustecido. Quedan pendientes las normas complementarias (numeración especial, validación técnica), así como la atención específica a fraudes más sofisticados (spoofing, vishing), aunque ya hay esfuerzos de prevención y colaboración con operadores.

Proactividad fiscalizadora y cerco regulatorio al spam telefónico y las comunicaciones no deseadas

Indecopi habilita reclamaciones en línea contra las llamadas spam. Estas comunicaciones no solicitadas están prohibidas por el Código de Protección y Defensa del Consumidor, modificado mediante la Ley 32323, que refuerza la prohibición de las comunicaciones spam y las califica como una infracción muy grave. Las empresas que incumplan con normativa actual pueden ser multadas con hasta 450 UIT, además de estar sujetas a la imposición de medidas correctivas a favor de los consumidores afectados, según la gravedad infracción y si es una acción reiterada.

Desde el 31 de marzo de 2025, entra en vigencia un reglamento que permite al usuario negar una vez las comunicaciones publicitarias; si lo hace, la empresa no puede volver a contactarlo.

La ley amplía la prohibición de comunicaciones no solicitadas por parte de empresas y exigirán validar llamadas publicitarias para frena el spam. En esta línea la norma ordena al Poder Ejecutivo (a través del MTC y Osiptel) la definición de:

• Numeración especial para identificar llamadas publicitarias.
• Técnicas de seguridad y métodos de validación que permitan a los usuarios reconocer fácilmente si una llamada es publicitaria.

Esto está en etapa pendiente de desarrollo. Aún no se ha publicado la norma técnica que precise cómo funcionará. En la actualidad los operadores en Perú, no pueden bloquear ni manipular el número de origen lo cual ayuda a evitar parte del spoofing, pero no garantiza la autenticidad del emisor.

Con esta norma queda prohibido el uso de centros de llamadas o “call centers”, sistemas de llamadas telefónicas, mensajes de texto o correos electrónicos masivos con fines publicitarios, salvo que el consumidor haya dado un consentimiento previo, libre, informado, expreso e inequívoco para ser contactado.

Desde 2025, la Ley contra spam y fraude (Ley Nº 32323) y el reglamento de protección de datos exigen que el titular de la línea esté identificado, pero no restringe la titularidad solo a personas naturales.

La Dirección de Fiscalización del Indecopi continuará analizando aproximadamente 7 millones de audios, con apoyo de la inteligencia Artificial, como parte de una serie de investigaciones a empresas de los sectores bancario, seguros y telecomunicaciones que han incurrido en las llamadas comerciales no deseadas.

El problema de la venta de chips móviles en la vía pública y el mercado negro de teléfonos robados

La venta de chips móviles en la vía pública es un grave riesgo para la seguridad de los peruanos. Pese a estar prohibida, pues la calle no es un canal autorizado para la contratación de servicios móviles, las empresas operadoras continúan incumpliendo las normas de contratación, lo cual es fiscalizado y sancionado por el Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL).

Osiptel ha iniciado el bloqueo de más de 130 000 equipos móviles vinculados a personas con historial altamente negativo, como parte de su lucha contra el comercio de celulares robados. Esta medida busca desincentivar el uso de dispositivos de dudosa procedencia.