Consulta de Ofcom sobre SMS: nuevas normas para combatir las estafas en los mensajes de texto

Escrito por Elwyn Davies

La mensajería móvil sigue siendo un canal fundamental tanto para los consumidores como para las empresas del Reino Unido, ya que sustenta todo, desde la seguridad de las cuentas y las actualizaciones de los servicios hasta la interacción con los clientes y las comunicaciones públicas.

Al mismo tiempo, la magnitud y la persistencia del fraude basado en SMS han seguido poniendo a prueba la eficacia de las medidas de seguridad existentes en todo el ecosistema móvil.

El 28 de enero de 2026, Ofcom cierra su última consulta sobre nuevas normas y directrices para combatir las estafas por mensajes de texto. Las propuestas están dirigidas a los operadores de redes móviles y a los agregadores de mensajes empresariales del Reino Unido, y se centran en crear una mayor coherencia en la aplicación de las medidas contra las estafas en todo el sector.

Este artículo explica qué abarca la consulta, por qué Ofcom cree que es necesario un cambio y qué pueden significar las propuestas en la práctica para los operadores móviles, los proveedores de CPaaS y las empresas que dependen de la mensajería A2P en el Reino Unido.

 

Por qué Ofcom está realizando una consulta sobre las estafas en los mensajes de texto móviles

La consulta de Ofcom se basa en una evaluación clara de la magnitud y el impacto. Según el regulador, solo en el último año se denunciaron alrededor de 100 millones de mensajes sospechosos a los operadores de telefonía móvil. Muchos de estos mensajes suplantan la identidad de organizaciones de confianza, aprovechando los SMS como un canal que los consumidores siguen asociando con la legitimidad y la urgencia.

Ofcom reconoce que los operadores móviles ya han implementado una serie de contramedidas, entre las que se incluyen el filtrado, el análisis del tráfico y la coordinación de actividades de retirada. Sin embargo, el regulador identifica una debilidad fundamental en el panorama actual: la aplicación inconsistente de las protecciones entre redes y proveedores.

Mientras que un operador puede imponer controles o supervisiones estrictos, otro puede aplicar medidas más laxas. Desde el punto de vista de Ofcom, esto crea lagunas que los estafadores pueden aprovechar, desplazando la actividad hacia las vías menos resistentes en lugar de reducir el daño general.

Por lo tanto, la consulta se centra menos en inventar herramientas completamente nuevas y más en elevar el nivel básico en toda la industria.

 

Comprender los dos vectores de estafa: mensajería P2P y A2P

Una característica clave de la consulta es la distinción entre dos tipos diferentes de abuso de mensajes, cada uno con su propio perfil de riesgo.

Mensajería de persona a persona (P2P)

Las estafas P2P suelen consistir en que los estafadores adquieren tarjetas SIM, a menudo de prepago, y las utilizan para enviar grandes volúmenes de mensajes directamente a los consumidores. Estos mensajes pueden contener enlaces maliciosos, avisos de entrega falsos o solicitudes urgentes diseñadas para provocar una acción rápida.

Ofcom destaca varios retos asociados a este modelo:

  • Abuso de gran volumen procedente de tarjetas SIM de consumo.

  • Dificultad para distinguir el fraude en fase inicial del uso personal legítimo.

  • Rápida rotación de SIM una vez que se alcanzan los umbrales de detección.

Mensajería de aplicación a persona (A2P)

Las estafas A2P son estructuralmente diferentes. En estos casos, los estafadores imitan a empresas legítimas para obtener acceso a los servicios de mensajería empresarial, ya sea directamente o a través de intermediarios. Una vez obtenido el acceso, pueden enviar mensajes a gran escala utilizando identificadores de remitente de marca o códigos largos que parecen fiables para los destinatarios.

La consulta señala que el abuso de A2P a menudo implica:

  • Información falsa o engañosa sobre la identidad del remitente

  • Uso indebido de las rutas de mensajería empresarial

  • Aprovechamiento de las deficiencias en la incorporación o supervisión

 

Al abordar ambos vectores de forma explícita, Ofcom señala que, para reducir eficazmente las estafas, es necesario aplicar controles
en múltiples puntos de la cadena de mensajería, y no solo en la interfaz del consumidor.

Las nuevas Condiciones Generales propuestas

El núcleo de la consulta lo constituyen las nuevas Condiciones Generales propuestas que se aplicarían a los operadores móviles y, en algunos casos, a los agregadores de mensajería que operan en el ecosistema del Reino Unido.

Si bien el documento de consulta los expone en detalle, hay varios temas que se repiten a lo largo del mismo.

Límites de volumen en tarjetas SIM de prepago

Para los mensajes P2P, Ofcom propone que los operadores establezcan y apliquen límites de volumen en las tarjetas SIM de prepago. El objetivo no es perturbar el uso habitual de los consumidores, sino reducir la posibilidad de utilizar tarjetas SIM de consumo para campañas de envío masivo de mensajes.

Los operadores mantendrían la discreción sobre cómo se definen estos límites, pero se esperaría que garantizaran que sean proporcionados y eficaces.

Comprobaciones continuas de «Conozca su tráfico»

Un segundo pilar de las propuestas es la supervisión continua del tráfico, a menudo descrita por Ofcom como «Conoce tu tráfico». En lugar de basarse únicamente en normas estáticas o comprobaciones puntuales, se esperaría que los proveedores:

  • Revisar la actividad de la cuenta de forma continua.

  • Investigar patrones anómalos o cambios repentinos en el volumen.

  • Responder con prontitud a las denuncias creíbles de fraude.

Este enfoque refleja las tendencias normativas más amplias hacia la evaluación continua del riesgo, en lugar del cumplimiento puntual.

Obligaciones de bloqueo e intervención

Cuando se detecte una actividad fraudulenta, las condiciones propuestas exigirían a los operadores bloquear los números o rutas asociados al fraude y tomar medidas para evitar que se repita. Es importante destacar que Ofcom enmarca esto como una responsabilidad de actuar con decisión, manteniendo al mismo tiempo la proporcionalidad y el debido proceso.

Cómo espera Ofcom que los proveedores cumplan con la normativa

Junto con las normas propuestas, Ofcom ha publicado un borrador de directrices destinadas a facilitar la aplicación práctica. Estas directrices no prescriben tecnologías o umbrales específicos, sino que describen los principios que los proveedores deben seguir al diseñar sus controles.

Los puntos clave incluyen:

  • Los controles deben basarse en el riesgo, reflejando la naturaleza del tráfico y del cliente.

  • Las medidas deben ser escalables, capaces de gestionar grandes volúmenes sin una intervención manual excesiva.

  • Los proveedores deben mantener procesos claros de escalamiento y respuesta.

Para muchos operadores y agregadores, gran parte de esto se ajustará a las prácticas existentes. La consulta no se centra tanto en empezar desde cero como en garantizar un estándar mínimo coherente en todo el mercado.

Implicaciones para los operadores de redes móviles

Para los operadores de redes móviles del Reino Unido, incluidos BT/EE, Virgin Media O2 y VodafoneThree, la consulta formaliza unas expectativas que ya se dan por sentadas en el sector.

Sin embargo, unas condiciones generales formales supondrían una carga y un escrutinio adicionales. Es posible que los operadores tengan que:

  • Revisar las políticas y los límites de las tarjetas SIM de prepago.

  • Documentar los procesos de supervisión del tráfico de forma más explícita.

  • Asegúrate de que los equipos internos y las herramientas puedan respaldar la evaluación continua.

El énfasis de Ofcom en la coherencia sugiere que la comparación entre pares será más visible y habrá menos tolerancia con los casos atípicos.

Qué significa esto para los agregadores y los proveedores de CPaaS

Los agregadores de mensajería empresarial y las plataformas CPaaS no son los principales objetivos de la consulta, pero claramente se encuentran dentro del ámbito de sus efectos.

Proveedores como Sinch, Infobip, Twilio, Bird y Vonage operan a gran escala y ya invierten mucho en supervisión y cumplimiento normativo. La consulta refuerza la expectativa de que:

  • Los procesos de incorporación de clientes siguen siendo sólidos.

  • El comportamiento del remitente se revisa activamente, no solo en el momento de la incorporación.

  • La colaboración con socios upstream y downstream continúa.

Desde una perspectiva comercial, las propuestas subrayan la importancia de controles predecibles y transparentes, en lugar de bloqueos repentinos u opacos que pueden interrumpir la mensajería empresarial legítima.

El papel de la colaboración industrial

Ofcom afirma explícitamente que la regulación por sí sola no puede resolver el fraude en la mensajería. Para obtener resultados efectivos es necesaria la cooperación de todo el ecosistema, incluyendo:

  • Operadores móviles

  • Agregadores y proveedores de CPaaS

  • Proveedores de soluciones centrados en el filtrado y la detección de fraudes.

  • Organismos del sector como Comms Council UK y MEF

La consulta se basa en la colaboración existente, en lugar de sustituirla. Al establecer expectativas más claras, Ofcom pretende apoyar una coordinación más eficaz, en lugar de respuestas fragmentadas.

Informes sobre los consumidores y el papel del 7726

Aunque la consulta se centra principalmente en el sector, Ofcom sigue haciendo hincapié en la importancia de las denuncias de los consumidores. El código corto 7726 sigue siendo un mecanismo clave para identificar mensajes sospechosos a gran escala.

Los informes enviados al 7726 se incorporan a las investigaciones de los operadores y, en conjunto, ayudan a definir estrategias de intervención más amplias. Ofcom también hace referencia a las directrices públicas de organismos como el NCSC, reforzando la idea de que la reducción de las estafas es una responsabilidad compartida.

Por qué la coherencia es más importante que las nuevas tecnologías

Uno de los aspectos más destacables de la consulta es aquello en lo que no se centra. Ofcom no sostiene que el sector carezca de herramientas, datos o capacidad técnica. En cambio, señala una aplicación desigual.

Desde una perspectiva normativa, los controles básicos coherentes suelen tener un mayor impacto que las medidas avanzadas aisladas que solo aplica una parte del mercado. Es probable que este planteamiento resulte convincente para los operadores, que llevan mucho tiempo argumentando que la aplicación desigual de la normativa socava los esfuerzos colectivos.

Cronograma y próximos pasos

La consulta finaliza el 28 de enero de 2026. Tras revisar las respuestas, Ofcom decidirá si aplicar las condiciones generales propuestas y cómo hacerlo, posiblemente con modificaciones basadas en los comentarios del sector.

Para las organizaciones que operan en el sector de la mensajería en el Reino Unido, esta es una clara oportunidad para:

  • Revisar la consulta en detalle

  • Evaluar cómo los controles existentes se ajustan a las propuestas.

  • Presentar respuestas prácticas y basadas en pruebas.

El documento completo de la consulta está disponible en el sitio web de Ofcom.

Puntos clave

  • Ofcom estima que el año pasado se denunciaron alrededor de 100 millones de mensajes sospechosos.

  • La consulta se centra tanto en las estafas de mensajería P2P como en las de A2P.

  • Las nuevas condiciones generales se centran en los límites de volumen, la supervisión continua y la intervención.

  • La coherencia en todo el sector es la principal preocupación del regulador.

  • La consulta finaliza el 28 de enero de 2026.

La consulta representa un momento significativo para el ecosistema de mensajería del Reino Unido. Se anima a los participantes del sector a leer la consulta en su totalidad y responder con aportaciones prácticas basadas en su experiencia operativa.

Si desea analizar las posibles implicaciones a alto nivel o explorar cómo estas propuestas se relacionan con los enfoques de cumplimiento existentes, estaremos encantados de conversar con usted.

 

Preguntas frecuentes

  • La consulta establece nuevas normas y directrices propuestas para combatir las estafas por mensajes de texto en el Reino Unido. Se centra en mejorar la coherencia entre los operadores móviles y los proveedores de mensajería, y abarca tanto el uso indebido de los mensajes P2P como A2P. El texto va aquí.

  • Las propuestas se aplican principalmente a los operadores de redes móviles del Reino Unido, pero los agregadores y los proveedores de CPaaS también se verán afectados a través de sus relaciones con los operadores y su papel en la entrega de mensajes empresariales.

  • No. Ofcom no sugiere que los SMS sean fundamentalmente inseguros. La consulta reconoce los SMS como un canal de comunicación fundamental y se centra en reducir el uso indebido mediante medidas de protección coherentes.

  • «Conozca su tráfico» se refiere al seguimiento continuo de la actividad de mensajería para identificar patrones anómalos, investigar posibles fraudes y responder de manera adecuada, en lugar de basarse únicamente en reglas estáticas.

  • Las organizaciones pueden enviar sus respuestas directamente a Ofcom antes del 28 de enero de 2026, proporcionando comentarios basados en pruebas sobre las propuestas y sus implicaciones prácticas.

Elwyn Davies