¿Qué es la suplantación de identidad? Detección y consejos de seguridad

Cada día, millones de personas son blanco de estafas telefónicas, robocalls y timadores que se hacen pasar por bancos, organismos públicos o empresas locales. Una de las tácticas a las que recurren es la suplantación del identificador de llamadas, un truco que hace que una llamada parezca proceder de un número de confianza cuando en realidad es de otra persona. Este engaño puede poner en peligro su dinero, su intimidad y su tranquilidad.

En este artículo, explicaremos qué es la suplantación del identificador de llamadas, por qué los estafadores (y a veces las personas que llaman legítimamente) la utilizan y, lo que es más importante, cómo puede reconocerla y protegerse de ella.

¿Qué es la suplantación de identidad de llamadas?

La suplantación de identidad del llamante no es solo una molestia para los particulares, sino una amenaza creciente para las organizaciones de sectores regulados. Para los directores de seguridad de la información (CISO) y los responsables de TI, las llamadas suplantadas pueden dar lugar a incumplimientos normativos, filtraciones de datos y daños a la reputación. PowerDMARC ayuda a las organizaciones a detectar, notificar y prevenir la suplantación tanto en los canales de correo electrónico como en los de voz, garantizando la protección de su marca y de sus clientes.

Los estafadores utilizan la suplantación del identificador de llamadas para ganarse la confianza, evitar ser bloqueados y aumentar las posibilidades de que las víctimas atiendan la llamada. Haciéndose pasar por un número conocido o una organización legítima, pueden robar información personal, cometer fraudes o imponer ventas no deseadas.

Las técnicas de suplantación de identidad más comunes son:

• Suplantación de identidad de un vecino : hacer que la llamada parezca local haciendo coincidir los primeros dígitos de tu número.
• Reflejo : mostrar tu propio número de teléfono en el identificador de llamadas.
• Suplantación de identidad – mostrar el número de una empresa o agencia gubernamental real.
• Números falsos o no válidos : uso de números que no pueden existir en una red real (por ejemplo, 123-456-7890).

Estas tácticas están diseñadas para que bajes la guardia. Por eso, la suplantación del identificador de llamadas es una herramienta peligrosa que utilizan los estafadores para engañar a la gente y que les entregue dinero o información confidencial.

¿Por qué es tan frecuente la suplantación de identidad en el identificador de llamadas?

Comprender por qué la suplantación de la identificación de llamadas sigue siendo tan habitual ayuda a las organizaciones y a los particulares a prepararse mejor ante estas amenazas. Hay varios factores que contribuyen a que este problema persista:

Accesibilidad tecnológica

La tecnología VoIP moderna hace que la suplantación de identidad resulte extraordinariamente fácil y económica. Los atacantes pueden acceder a herramientas y servicios de suplantación de identidad por tan solo unos pocos dólares, sin necesidad de tener apenas conocimientos técnicos.

Lagunas normativas

Aunque se están implantando protocolos como STIR/SHAKEN, su aplicación no es uniforme entre los distintos operadores y jurisdicciones. Las llamadas internacionales suelen eludir por completo estas medidas de protección.

Incentivos económicos

La rentabilidad de las estafas supera con creces el bajo coste y el riesgo mínimo que supone la suplantación de identidad. Incluso una tasa de éxito reducida puede generar importantes beneficios para los atacantes.

Confianza en el identificador de llamadas

Muchas personas siguen confiando en el identificador de llamadas como un indicador fiable del origen de una llamada, lo que convierte la suplantación de identidad en una herramienta eficaz de ingeniería social.

Ejemplos habituales de suplantación de identidad del número de llamada

Conocer situaciones reales de suplantación de identidad te ayuda a identificar posibles amenazas. Estos son los ejemplos más comunes:

Suplantación de identidad de bancos e instituciones financieras

• Los estafadores muestran el número de teléfono real de tu banco
• Informa de que se han producido actividades sospechosas en tu cuenta
• Solicitar datos de la cuenta o números PIN para «verificación»

Suplantación de identidad de organismos públicos

• Suplantación de identidad del IRS o de la autoridad fiscal exigiendo un pago inmediato
• Administración de la Seguridad Social: solicitud de suspensión de prestaciones
• Amenazas de las fuerzas del orden en relación con órdenes de detención

Estafas relacionadas con el soporte técnico

• Llamadas que parecen provenir de Microsoft, Apple u otras empresas tecnológicas
• Afirmaciones sobre virus informáticos o brechas de seguridad
• Solicitudes de acceso remoto para «solucionar» problemas

Suplantación de identidad de empresas locales

• Las empresas de servicios públicos amenazan con cortar el suministro
• Compañías de seguros que ofrecen «ofertas especiales»
• Profesionales sanitarios que solicitan datos personales

Ejemplos de suplantación de vecinos

• Llamadas procedentes de números con tu mismo código de área y prefijo
• Números que solo difieren en uno o dos dígitos del tuyo
• Números que parecen locales y que promocionan servicios locales falsos

Cómo ayuda PowerDMARC a las organizaciones a combatir la suplantación de identidad en llamadas y correos electrónicos

PowerDMARC ofrece una protección integral contra los ataques de suplantación de identidad en múltiples canales de comunicación:

• Panel de control unificado para supervisar la suplantación de identidad en distintos dominios y canales de comunicación
• Informes automatizados de cumplimiento normativo (PCI DSS, RGPD, HIPAA)
• Gestión multitenant para proveedores de servicios gestionados (MSP) y grandes empresas
• Acceso basado en roles y flujos de trabajo avanzados para la respuesta a incidentes
• Asistencia y incorporación las 24 horas del día, los 7 días de la semana
• Con certificación SOC 2, ISO y RGPD
• Disponible en los marketplaces de AWS y Azure

¿Por qué elegir PowerDMARC en lugar de herramientas genéricas contra la suplantación de identidad?

• Con certificación SOC 2, ISO y RGPD
• Equipo de asistencia global disponible las 24 horas del día, los 7 días de la semana
• Panel de control multitenant para proveedores de servicios gestionados (MSP) y grandes organizaciones
• Informes avanzados y automatización del cumplimiento normativo
• Disponible en los marketplaces de AWS y Azure

¡Simplifique la seguridad contra la suplantación del identificador de llamadas con PowerDMARC!

Cómo funciona la suplantación del identificador de llamadas

Los suplantadores aprovechan las vulnerabilidades de la señalización SIP y las bases de datos CNAM —componentes fundamentales de la infraestructura de telecomunicaciones empresarial— para introducir información falsa sobre la identidad de la persona que llama. Del mismo modo que DMARC protege su dominio contra la suplantación de identidad en el correo electrónico, protocolos como STIR/SHAKEN están diseñados para autenticar y verificar la legitimidad de las llamadas de voz a gran escala.

Lo hacen a través de:

• Suplantación de VoIP: 
  • En qué consiste:Utilizar sistemas de voz sobre IP para realizar llamadas e incorporar cualquier número de llamada deseado en los datos de señalización.
  • Cómo funciona: Los proveedores de VoIP envían mensajes de establecimiento de llamada (SIP, etc.) que incluyen el número «De»; los servicios de VoIP baratos o maliciosos permiten a los usuarios establecer ese campo con cualquier valor, por lo que el operador receptor y tu teléfono muestran el número falsificado.
• Servicios de suplantación de identidad:
  • Qué es: Servicios comerciales basados en la web o en aplicaciones que permiten al usuario escribir el número que desea que se muestre.
  • Cómo funciona: El servicio llama a la víctima y luego transfiere la llamada al atacante; el servicio inserta el identificador de llamada elegido en los metadatos de la llamada para que el destinatario vea el número falso.
• Suplantación de vecinos:
  • En qué consiste: Una táctica de ingeniería social que hace que el número de origen comparta dígitos clave (normalmente el prefijo y los tres o cuatro primeros dígitos) con el número del destinatario, de modo que parezca una llamada local.
  • Cómo funciona:El atacante programa un identificador de llamada falso que coincide con el prefijo local; como parece familiar, es más probable que la gente responda.
• Manipulación de la CNAM:
  • Qué es:Modificar el registro del nombre del llamante (CNAM) que aparece junto al número en algunas interfaces telefónicas (por ejemplo, mostrando «Banco de X» en lugar de un número sin formato).
  • Cómo funciona:Muchas operadoras y bases de datos CNAM dependen de consultas a terceros; los atacantes o los servicios sin escrúpulos pueden enviar entradas CNAM falsas o aprovechar una validación deficiente para que un número falsificado se resuelva en un nombre de confianza cuando la red consulte la base de datos CNAM.

Estos métodos aprovechan la señalización flexible de VoIP, los servicios y bases de datos de terceros o la confianza humana (números de aspecto local y nombres familiares), razón por la que la suplantación de identidad es eficaz y por la que el identificador de llamadas por sí solo ya no es un indicador fiable de quién llama realmente.

Comparación entre llamadas legítimas y falsificadas

Riesgos y peligros de la suplantación de identidad de llamadas

La suplantación de identidad del llamante genera riesgos operativos y de cumplimiento normativo para las organizaciones sujetas a marcos normativos como el PCI DSS y el RGPD. Las comunicaciones de voz no verificadas pueden facilitar filtraciones de datos, el secuestro de cuentas de correo electrónico corporativo y la pérdida de reputación, amenazas que los directores de seguridad de la información (CISO) y los responsables de TI deben supervisar y notificar de forma activa.

Para las empresas y los proveedores de servicios gestionados (MSP), la suplantación de la identificación de llamada puede acarrear sanciones normativas, la escalada de incidentes y la interrupción de las operaciones. Las organizaciones comprometidas con el cumplimiento normativo están obligadas a notificar y resolver rápidamente este tipo de incidentes para evitar multas y proteger la confianza de los clientes. PowerDMARC simplifica este proceso mediante el seguimiento automatizado de incidentes y la visibilidad multidominio.

Mitigar las experiencias negativas

Los clientes suelen responsabilizarle a usted, independientemente de que se haya utilizado un identificador de llamadas falsas para un comportamiento ilícito.

Toma medidas inmediatas para poner fin a la suplantación de identidad en el identificador de llamadas si el nombre de tu empresa ha sido objeto de numerosos casos de fraude. Además, crea sistemas eficaces para gestionar las llamadas telefónicas, los correos electrónicos y los comentarios en las redes sociales, utilizando herramientas como un marcador automático VoIP para optimizar los flujos de trabajo de respuesta y reducir las interrupciones causadas por incidentes de suplantación.

Recursos desaprovechados

Cuando recibes una llamada de alguien que ha falseado su identificación de llamada, puede ser difícil determinar si se trata de una llamada legítima o no. Es posible que pierda tiempo y recursos respondiendo a llamadas que no deberían haber sido contestadas en primer lugar. Esto puede suponer una pérdida de tiempo y dinero que se podría haber invertido en atender a clientes reales en lugar de lidiar con pistas falsas.

Fraudes financieros

Ha habido muchos casos en los que los delincuentes han utilizado este servicio para engañar a la gente y hacer que entregue su dinero o su información personal. Hacen que parezca que llaman desde un banco u otra gran empresa, para que la gente piense que es seguro darles su dinero o los datos de su tarjeta de crédito. Si usted da estos datos, no hay forma de recuperarlos, así que tenga cuidado cuando trate con personas que dicen ser de grandes empresas, como bancos o proveedores de tarjetas de crédito.

Impacto en el cliente

A los clientes no les gusta que les engañen las empresas en las que confían porque esto afecta a su confianza en esas empresas y en su marca en general. Cuando sienten que se les ha mentido, pueden decidir no hacer negocios con usted en el futuro, lo que podría perjudicar significativamente sus resultados con el tiempo.

Para responsables de TI: gestión de los riesgos de suplantación de identidad

Las organizaciones se enfrentan a retos normativos y de reputación derivados de la suplantación de identidad en llamadas y correos electrónicos. El cumplimiento de las normas PCI DSS, el RGPD y los requisitos del sector exige una detección rápida, la notificación de incidentes y una respuesta coordinada. La plataforma unificada de PowerDMARC permite la supervisión de múltiples dominios, flujos de trabajo automatizados para el cumplimiento normativo y la generación de informes avanzados para equipos empresariales y de proveedores de servicios gestionados (MSP).

Amenazas de suplantación de identidad en múltiples canales

Los atacantes actuales no se limitan a las llamadas de voz. Coordinan ataques de suplantación de identidad a través de múltiples canales:

• Llamadas + correo electrónico: Llamadas falsificadas seguidas de correos electrónicos de phishing que parecen proceder de la misma organización
• Suplantación de dominio: Sitios web falsos que imitan la suplantación de identidad del identificador de llamadas
• Integración de SMS: Mensajes de texto que hacen referencia a la llamada suplantada para mayor credibilidad

Requisitos de cumplimiento y presentación de informes

Las organizaciones deben mantener registros detallados de incidentes y procedimientos de respuesta ante ataques de suplantación de identidad. Entre los requisitos fundamentales se incluyen:

• Detección y documentación de incidentes dentro de los plazos establecidos
• Procedimientos de notificación a los clientes en caso de posible filtración de datos
• Presentación de informes reglamentarios a las autoridades competentes
• Seguimiento de las medidas correctoras y evaluación de su eficacia

Más información sobre nuestro analizador DMARC y Analizador SPF para una protección integral contra la suplantación de identidad.

Cómo detectar la suplantación del identificador de llamadas

Hay varios indicios evidentes que pueden revelar que tu número de teléfono está siendo falsificado. Es posible que observes lo siguiente si tu número de se está utilizando se está utilizando para enviar spam a muchas víctimas potenciales:

• Recibir llamadas o mensajes de texto en respuesta a interacciones que usted no ha iniciado.
• Llamadas telefónicas entrantes que parecen provenir de su número.
• Llamadas o mensajes que preguntan por su identidad.
• Llamadas o mensajes de texto desconocidos que te ruegan que dejes de molestarlos.

Consejos adicionales para protegerse contra la suplantación de identidad del número de llamada

Utiliza esta lista de verificación para identificar rápidamente y responder a posibles intentos de suplantación de identidad:

✓ Nunca facilites datos personales durante llamadas no solicitadas

✓ Utiliza las funciones de filtrado de llamadas de tu teléfono

✓ Comprueba la identidad de la persona que llama colgando y llamando al número oficial

✓ Mantente al tanto de las nuevas tácticas de estafa en tu zona

✓ Activar los servicios de filtrado de spam proporcionados por el operador

✓ Denuncia las llamadas sospechosas a las autoridades competentes

✓ Informar a los familiares y a los empleados sobre los riesgos del spoofing

Cómo evitar la suplantación del identificador de llamadas

No existe ninguna técnica infalible para evitar que un falsificador de números de teléfono utilice tu identificador de llamadas, ya que los servicios de falsificación suelen generar números al azar. Sin embargo, puedes hacer algo para evitar que los estafadores utilicen tu número para cometer delitos empleando técnicas engañosas de ingeniería social.

Puedes empezar por:

1. Proteger su número personal
   • No compartas tu número de teléfono en Internet ni en concursos.
   • Revise la configuración de privacidad y opte por no compartir datos siempre que sea posible.
   • Utiliza un número secundario (Google Voice, VoIP) para inscripciones o uso empresarial.
2. Protegerse de las llamadas falsas
   • No te fíes solo del identificador de llamadas: verifica las llamadas utilizando una herramienta de búsqueda inversa de números de teléfono o simplemente cuelga y llama al número oficial.
   • Utiliza aplicaciones de bloqueo de llamadas o herramientas de filtrado de spam del operador.
   • Denuncia las llamadas falsas a tu proveedor de telecomunicaciones o a los organismos reguladores (FTC en EE.UU., CRTC en Canadá, etc.).
   • Deja que las llamadas desconocidas vayan al buzón de voz y revísalas antes de devolver la llamada.

Cómo bloquear y denunciar la suplantación de identidad del llamante

Tomar medidas contra las llamadas falsificadas te ayuda a protegerte a ti mismo y a los demás. A continuación te ofrecemos una guía paso a paso:

Bloqueo de números falsificados

Uso de las funciones del teléfono

• iPhone: Ve a Llamadas recientes → pulsa la «i» junto al número → Bloquear a este contacto
• Android: Abre la aplicación Teléfono → Recientes → pulsa el número → Bloquear/denunciar spam
• Teléfonos fijos: Póngase en contacto con su operador para solicitar servicios de bloqueo de llamadas

Herramientas para transportistas

• Verizon: Aplicación Call Filter
• AT&T: Paquete de seguridad ActiveArmor
• T-Mobile: Protección Scam Shield
• Sprint: Identificador de llamadas premium

Aplicaciones de terceros

• Truecaller
• Hola
• RoboKiller
• Nomorobo

Denuncia de llamadas con número falsificado

Estados Unidos

• FTC: reportfraud.ftc.gov
• FCC: consumercomplaints.fcc.gov
• Lista de números excluidos: donotcall.gov

Canadá

• CRTC: crtc.gc.ca/eng/phone/
• Centro Canadiense contra el Fraude: 1-888-495-8501

Información que debe incluirse en los informes

• Fecha y hora de la llamada
• Se muestra un número falsificado
• Contenido de la conversación
• Cualquier dato personal que se solicite
• Organización a la que, según el interlocutor, representaba

Qué hacer si te suplantan el número

Puede que la suplantación de identidad esté fuera de tu control, pero no tu respuesta. Tanto si los estafadores hacen un uso indebido de su número como si se dirigen a usted con llamadas falsas, hay medidas de eficacia probada que puede tomar para protegerse, limitar los daños y ayudar a las autoridades a acabar con la suplantación de identidad.

Si tu número está siendo suplantado:

• Avisa a tus contactos: Informa a tus amigos, familiares y clientes de que tu número está siendo utilizado de forma fraudulenta, para que puedan tener cuidado.
• Póngase en contacto con su operador de telefonía: Denuncia el suplantación de identidad para que puedan investigar y aconsejarte sobre posibles medidas de protección.
• Denúncielo a las autoridades: Presenta una denuncia ante organismos como la FCC (EE. UU.), la CRTC (Canadá) o tu autoridad reguladora de telecomunicaciones local.
• Esté atento a cualquier agravamiento de la situación: Esté atento a actividades inusuales en la cuenta o a intentos de suplantación de identidad que puedan estar relacionados.

Aplicaciones y sitios web para falsificar el identificador de llamadas: lo que debes saber

Conocer las herramientas que permiten la suplantación de identidad te ayuda a reconocer estas amenazas y a protegerte contra ellas.

Servicios habituales de suplantación de identidad

Hay varias aplicaciones y sitios web que permiten falsificar el identificador de llamadas:

• Aplicaciones móviles: Disponibles en tiendas de aplicaciones con nombres como «Fake Call», «Spoof Call» o «Caller ID Changer».
• Servicios web: Plataformas en línea que permiten a los usuarios introducir cualquier número que deseen mostrar
• Servicios de VoIP: Algunos proveedores de voz sobre IP permiten personalizar el identificador de llamadas

Implicaciones jurídicas

Aunque la tecnología de suplantación de identidad en sí misma no es ilegal, sí lo es utilizarla con fines fraudulentos:

• Usos legales: Protección de la privacidad, fines comerciales con la debida divulgación, investigaciones policiales
• Usos ilegales: Fraude, acoso, suplantación de identidad de organismos públicos, estafas financieras
• Sanciones: Multas de hasta 10 000 dólares por infracción y posibles cargos penales por fraude

Riesgos del uso de servicios de suplantación de identidad

• Responsabilidad legal en caso de uso con fines ilegales
• Riesgos para la privacidad derivados de proveedores de servicios poco fiables
• Posible malware o robo de datos por parte de aplicaciones maliciosas
• Contribuir al problema general del suplantación de identidad

Palabras finales

Ahora debería estar claro qué es la suplantación del identificador de llamadas y por qué es una amenaza grave. Si comprende cómo funciona y sabe cómo responder, podrá proteger mejor su identidad personal y su reputación profesional. En caso de duda, no responda a las llamadas sospechosas y bloquee los números que parezcan inseguros.

La suplantación de identidad no se limita a las llamadas telefónicas; los atacantes también utilizan trucos similares en el correo electrónico, los dominios y otros canales de comunicación. Para reforzar sus defensas, descubra cómo las herramientas de PowerDMARC pueden ayudarle a proteger su organización contra la suplantación de identidad y otras amenazas relacionadas.

Preguntas frecuentes

¿Cuál es un ejemplo de suplantación de identidad del número de llamada?

Un ejemplo habitual es cuando un estafador te llama mostrando el número de teléfono real de tu banco en el identificador de llamadas, alegando que se han detectado actividades sospechosas en tu cuenta y pidiéndote tu PIN o los datos de tu cuenta. La llamada parece legítima porque muestra el número real del banco, pero en realidad proviene de un estafador.

¿Es ilegal falsificar el identificador de llamadas?

La suplantación de identidad del identificador de llamadas no es ilegal en sí misma, pero sí lo es utilizarla con fines fraudulentos. Entre los usos legales se incluyen la protección de la privacidad o fines comerciales legítimos, siempre que se informe debidamente al respecto. Sin embargo, utilizar la suplantación para cometer fraude, acosar o hacerse pasar por organismos gubernamentales puede acarrear multas de hasta 10 000 dólares por infracción y posibles cargos penales.

¿Cómo puedo saber si una llamada es falsa?

Entre los indicios de una llamada fraudulenta se incluyen: tácticas de presión para exigir una respuesta inmediata, solicitudes de información confidencial desde el primer momento, llamadas desde tu propio número, números locales que no reconoces y personas que te disuaden de colgar o de devolver la llamada. Comprueba siempre la veracidad colgando y llamando al número oficial de la organización.

¿Se puede rastrear la suplantación del identificador de llamadas?

Normalmente, no. Los spoofers ocultan su número real, pero las fuerzas de seguridad y los operadores a veces pueden rastrear las llamadas con una investigación más profunda.

¿Qué ocurre si devuelves la llamada a un número suplantado?

Es probable que te pongas en contacto con el verdadero propietario de ese número, que no tiene nada que ver con la llamada falsa.

¿Qué ocurre si bloqueas un número falsificado?

Sólo bloquea ese número. Como los falsificadores cambian constantemente de número, no detendrá futuras llamadas falsas.

¿Cuáles son los tres tipos de spoofing?

Falsificación de números de teléfono, suplantación de identidad en el correo electrónico, suplantación de SMS, suplantación de dominioy suplantación de GPSson las formas más comunes.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026
• Seguridad de los agentes de IA: riesgos, buenas prácticas y autenticación del correo electrónico - 2 de junio de 2026
• PowerDMARC ya se integra con HaloPSA - 1 de junio de 2026