Suplantación telefónica (call spoofing): qué es, cómo funciona y cómo protegerte

La suplantación telefónica (call spoofing) es una técnica de estafa utilizada por ciberdelincuentes para ocultar el origen real de una llamada. Entender cómo funciona puede ayudarte a reconocerla y evitarla. 

¿Qué es la suplantación telefónica (call spoofing)? 

La suplantación del identificador de llamadas (caller ID spoofing) consiste en falsificar la información que aparece en la pantalla del receptor durante una llamada, de forma que parezca que proviene de una fuente confiable —ya sea un número local, una institución gubernamental o incluso un contacto personal. 

Aunque esta tecnología tiene aplicaciones legítimas en el ámbito empresarial, su uso fraudulento ha aumentado debido a la facilidad de implementación y a su efectividad psicológica. 

La tecnología VoIP y las aplicaciones de suplantación permiten a los estafadores falsificar casi cualquier número con solo unos clics. ¿El resultado? Una avalancha de estafas telefónicas que explotan la confianza y el sentido de urgencia para robar información personal o financiera a las víctimas. 

Cómo funciona la suplantación telefónica 

Para ocultar su identidad, los estafadores utilizan tecnologías que les permiten modificar los metadatos de una llamada telefónica. Contrario a la creencia popular, los datos que ves en tu teléfono no reflejan necesariamente el origen real de la llamada, sino la información transmitida a través de la red del operador. 

Las herramientas de spoofing permiten modificar o generar por completo esta información. 

Aunque existen protocolos de autenticación y regulaciones para combatir estas prácticas, los infractores logran eludir los filtros utilizando redes internacionales, proveedores VoIP o sistemas inseguros. Con una configuración mínima, cualquiera puede hacer que parezca que llama desde un número local o desde la línea de una institución oficial, contactando a cientos o miles de víctimas por hora. 

Tipos de spoofing y ataques relacionados 

Aunque comúnmente se asocia con llamadas telefónicas, el spoofing también afecta a otros canales. Las formas más comunes son: 

• Spoofing de proximidad (Neighbor spoofing): falsifica el prefijo local para generar familiaridad (ej.: 031-456-XXXX) 
• Spoofing por suplantación: muestra el nombre de una marca conocida, una institución o un contacto personal 
• Spoofing por SMS: envía mensajes que parecen provenir de números o códigos cortos legítimos, a menudo con enlaces de phishing 
• Spoofing de correo electrónico y dominio: falsifica el campo "De" en emails o páginas web para engañar al usuario 
• Spoofing de voz con IA: utiliza tecnología deepfake para imitar voces, haciendo que los intentos de estafa sean más convincentes 

Cada una de estas formas forma parte de una estrategia de fraude más amplia, diseñada para generar confianza y provocar una reacción emocional. 

Ejemplos reales de suplantación telefónica 

Las técnicas de spoofing son tan variadas como las estafas que respaldan. Algunos ejemplos conocidos incluyen: 

• Suplantación de autoridades fiscales: estafadores se hacen pasar por funcionarios de la autoridad tributaria (como la AEAT) exigiendo pagos urgentes bajo amenaza legal 
• La estafa del "nieto en apuros": el estafador finge ser el nieto de la víctima en una situación de emergencia, solicitando dinero para pagar una multa o fianza; a veces usan el número suplantado del nieto o de una comisaría local 
• Alerta falsa de fraude bancario: los delincuentes falsifican el número de tu banco, se hacen pasar por personal del departamento antifraude y solicitan datos personales bajo pretextos de verificación 
• Soporte técnico falso: los atacantes suplantan números de empresas tecnológicas conocidas (ej.: Apple, Microsoft), dicen que tu dispositivo está comprometido y piden acceso remoto o pagos por servicios inexistentes 
• Estafas dirigidas a empresas: se combinan suplantación telefónica y voces deepfake para imitar a un CEO que solicita transferencias urgentes o datos confidenciales 

Estos son solo algunos ejemplos. En realidad, los estafadores explotan la confianza en las instituciones, la familiaridad, el miedo y la urgencia para lograr sus objetivos. 

La magnitud del problema 

Lamentablemente, las estafas que implican suplantación siguen representando una amenaza importante en escala y sofisticación. 

Según la FTC, en Estados Unidos las estafas de identidad —muchas basadas en spoofing— causaron pérdidas de casi 3 mil millones de dólares en 2024. 

A nivel global, las pérdidas por fraudes en telecomunicaciones se estiman en más de 40 mil millones de dólares al año. 

El spoofing avanzado ahora incluye voces generadas por inteligencia artificial y campañas automatizadas de robocalls capaces de llamar a millones de números con scripts personalizados. La infraestructura del fraude está cada vez más industrializada. 

Respuesta de las autoridades y de la industria 

Gobiernos y operadores de telecomunicaciones están intensificando sus esfuerzos. 

En 2020, la Federal Communications Commission (FCC) de EE. UU. implementó el protocolo STIR/SHAKEN, que firma digitalmente las llamadas para verificar si el número mostrado coincide con el real. 

Este sistema es efectivo en redes internas, pero sigue teniendo limitaciones a nivel internacional. 

La ley estadounidense Truth in Caller ID Act de 2009 prohíbe el uso de suplantación con fines de fraude o daño. Países como Canadá y Reino Unido tienen regulaciones similares y exigen mayor transparencia por parte de los operadores. 

El sector privado contribuye con soluciones basadas en inteligencia artificial, apps de filtrado, listas negras y sistemas de detección de llamadas sospechosas. Aun así, la lucha sigue siendo un juego constante entre atacantes y defensores. 

Cómo protegerte 

Aunque la tecnología y las regulaciones avanzan, la defensa más efectiva comienza contigo. Aquí tienes unas recomendaciones simples: 

• No confíes en el identificador de llamadas: si algo no te cuadra, aunque el número parezca conocido, no asumas que es legítimo 
• Cuelga y verifica por otro canal: llama usando un número oficial (página web, tarjeta del banco, factura), no el que aparece en la pantalla 
• Nunca compartas información personal en llamadas no solicitadas: las instituciones serias no piden datos sensibles por teléfono de forma inesperada 
• Reporta llamadas sospechosas: en EE. UU., a la FCC o FTC; en otros países, ante las autoridades competentes 
• Usa apps de bloqueo de llamadas y filtros de spam: la mayoría de teléfonos y operadores ofrecen estas opciones 
• Informa a tu familia, especialmente a los mayores: muchas estafas se dirigen a personas mayores mediante manipulación emocional 
• Mantente informado sobre nuevas estafas: incluyendo amenazas emergentes como voces deepfake 
• Usa Bitdefender Scamio para analizar llamadas sospechosas: describe el escenario, lo que dijo el interlocutor y qué te pidió; Scamio evaluará su credibilidad 

Con vigilancia y medidas proactivas, puedes reducir significativamente el riesgo de convertirte en víctima del spoofing. 

Mirando al futuro 

A medida que las técnicas de spoofing evolucionan, impulsadas por la IA y la automatización, nuestras defensas también deben mejorar. 

Las soluciones emergentes incluyen autenticación por voz y protección biométrica, aunque los delincuentes ya buscan formas de burlar estas tecnologías. 

Por ahora, la vigilancia personal, los protocolos institucionales y estándares como STIR/SHAKEN siguen siendo pilares fundamentales contra la suplantación telefónica. 

La suplantación de llamadas no desaparecerá pronto, pero entender cómo funciona, conocer sus riesgos y aplicar precauciones básicas te da una ventaja clara frente a los estafadores. 

Preguntas frecuentes sobre suplantación (spoofing) 

¿Qué es la suplantación telefónica? 
Es la práctica mediante la cual un llamante oculta su identidad alterando los datos que aparecen en tu pantalla, cambiando así la identidad aparente de la llamada. 

¿Es ilegal falsificar una llamada? 
Sí. Según la ley estadounidense Truth in Caller ID Act de 2009, es ilegal falsificar la identificación con fines de fraude, daño o robo. Las multas pueden alcanzar hasta 10.000 dólares por infracción. 

¿Se pueden detectar las llamadas falsificadas? 
Sí. Si alguien te llama pidiendo información personal o si algo no parece normal, cuelga, busca el número en una fuente oficial y llama tú mismo. Es una de las formas más sencillas de confirmar si se trata de un intento de fraude.