Introducción

En un contexto de creciente digitalización, donde la firma electrónica se ha consolidado como una herramienta clave para la formalización de contratos y documentos con plena validez jurídica, la seguridad en las comunicaciones digitales ha pasado a ocupar un papel absolutamente central. Empresas, administraciones públicas y profesionales dependen cada vez más de canales como el correo electrónico, los SMS o aplicaciones de mensajería como WhatsApp para enviar notificaciones, enlaces de firma y avisos vinculados a procesos contractuales.

Este avance, sin embargo, no ha venido solo. En paralelo, se ha producido un incremento muy significativo de las estafas basadas en la suplantación de identidad, lo que ha generado un entorno de creciente desconfianza por parte del usuario final. Ante esta situación, el legislador ha decidido intervenir de forma clara y directa.

En este marco se aprueba la Orden TDF/149/2025, de 12 de febrero, cuyo objetivo es reforzar la seguridad en las comunicaciones electrónicas, especialmente aquellas que utilizan numeración telefónica o servicios de mensajería, y combatir de forma efectiva el fraude basado en la suplantación de identidad.

Esta normativa tiene implicaciones directas —y profundas— en los procesos de firma electrónica remota, particularmente en la forma en la que se envían y gestionan las notificaciones al firmante. A lo largo de este artículo analizamos su impacto real, sus riesgos y las oportunidades que abre para las organizaciones que sepan anticiparse.

1. El contexto: fraude digital, suplantación y pérdida de confianza

Durante los últimos años, el fraude digital ha evolucionado desde prácticas relativamente simples hacia esquemas cada vez más sofisticados y multicanal. Ya no se trata únicamente de correos electrónicos fraudulentos, sino de ataques coordinados que combinan diferentes canales para reforzar su credibilidad.

Es habitual encontrar campañas en las que un usuario recibe un email aparentemente legítimo, seguido de un SMS que refuerza el mensaje, e incluso una llamada telefónica que termina de validar la supuesta operación. Este tipo de estrategias, conocidas como ataques combinados, están diseñadas para eliminar cualquier duda y empujar al usuario a actuar.

En este escenario, los procesos de firma electrónica se han convertido en un objetivo especialmente atractivo. Los atacantes replican comunicaciones reales de plataformas de firma, enviando enlaces falsos que simulan procesos legítimos con el objetivo de capturar credenciales o inducir a la firma de documentos fraudulentos.

El problema, por tanto, no es únicamente tecnológico, sino profundamente relacionado con la confianza. Cuando un usuario deja de poder distinguir entre una comunicación legítima y una fraudulenta, el sistema en su conjunto pierde fiabilidad. Es precisamente aquí donde la Orden TDF/149/2025 adquiere todo su sentido.

2. ¿Qué regula la Orden TDF/149/2025?

La Orden TDF/149/2025 introduce un marco más estricto en el uso de numeración telefónica y servicios de mensajería con el objetivo de garantizar la autenticidad de las comunicaciones y dificultar la suplantación de identidad.

La norma persigue asegurar que cualquier comunicación que llegue al usuario pueda ser correctamente identificada en cuanto a su origen, reduciendo así el margen de actuación de los actores fraudulentos. Para ello, se refuerzan los mecanismos de control sobre la numeración utilizada en llamadas y mensajes, se establecen restricciones para evitar el uso indebido de numeración internacional y se incrementa la supervisión sobre las comunicaciones comerciales y de atención al cliente.

Además, la orden pone el foco en la trazabilidad, obligando a que las comunicaciones puedan ser auditadas y verificadas. Este punto es especialmente relevante en entornos donde la comunicación no es solo informativa, sino que forma parte de un proceso con implicaciones legales, como ocurre en la firma electrónica.

Entre las más medidas más relevantes destacan:

• Control sobre el uso de numeración (especialmente SMS y llamadas)
• Obligación de identificación clara del emisor
• Restricciones al uso de numeración internacional para suplantación
• Refuerzo de mecanismos anti-spoofing
• Mayor supervisión de comunicaciones comerciales y de atención al cliente

3. ¿Cómo funciona hoy la firma electrónica remota?

Para entender el alcance del impacto, es importante recordar cómo funcionan actualmente los procesos de firma electrónica remota.

En la mayoría de los casos, el proceso comienza con el envío de una notificación al firmante. Esta notificación suele realizarse a través de correo electrónico, aunque frecuentemente se complementa con SMS o mensajes por WhatsApp para aumentar la rápidez y tasa de apertura. A través de ese mensaje, el usuario accede a una plataforma de firma mediante un enlace seguro.

Una vez dentro, se inicia un proceso de identificación que puede variar en función del nivel de seguridad requerido. Este proceso puede incluir desde un código OTP enviado por SMS hasta sistemas más avanzados basados en biometría o certificados digitales.

Finalmente, el usuario acepta y firma el documento. El sistema genera una serie de evidencias electrónicas que garantizan la validez jurídica de la operación.

En todo este flujo, los canales de comunicación no son un elemento accesorio, sino una pieza estructural del proceso. Son el punto de entrada, el mecanismo de verificación y, en muchos casos, una parte esencial de la evidencia.

Un proceso típico de firma electrónica remota incluye:

• Envío de notificación al firmante, para lo que habitualmente se utilizan métodos como el email, SMS, WhatsApp…
• Acceso a la plataforma de firma mediante enlace, que nos lleva a un entorno seguro de creación de firma.
• Identificación y autenticación de la identidad del firmante, para lo que se utiliza un segundo factor de autenticación. Los métodos principales serían la utilización de una contraseña de un solo uso (OTP – One Time Password), una fotografía del DNI / Pasaporte (MRZ- Zona de Lectura Automática) o preguntas de control de identidad (Knowledge Check)
• Firma digital del documento, normalmente mediante la captura de la firma digital manuscrita con datos biometrios, el acceso a certificados cualificados, etc…
• Generación de evidencias electrónicas, en un informe de trazabilidad de todo el ciclo de vida del documento

4. Impacto en los canales de comunicación

La Orden TDF/149/2025 afecta de manera directa a estos canales, modificando tanto las condiciones técnicas como las expectativas de seguridad asociadas a su uso.

4.1 El SMS: de canal funcional a canal crítico

El SMS ha sido tradicionalmente uno de los pilares de la firma electrónica remota, especialmente en lo que respecta a la autenticación mediante códigos de un solo uso (OTP – One Time Password). Sin embargo, también ha sido uno de los canales más explotados por el fraude, lo que lo convierte en uno de los principales focos de la nueva regulación.

A partir de la entrada en vigor de la orden, el envío de SMS se somete a un mayor control en cuanto al origen del mensaje. Las empresas deberán asegurarse de que la numeración utilizada esté correctamente identificada y validada, evitando el uso de prácticas que puedan inducir a confusión. Asimismo, se limita el uso de numeración internacional en contextos donde pueda facilitar la suplantación.

En la práctica, esto implica que muchas soluciones actuales deberán evolucionar hacia modelos más controlados, trabajando con proveedores certificados y garantizando una trazabilidad completa del envío. El resultado será un canal más seguro, pero también más exigente en términos operativos y de coste.

Por consiguiente, el envío de SMS es uno de los pilares de la firma remota (especialmente para OTP), pero también uno de los más explotados por el fraude. Cambios relevantes en el ámbito de envío de SMS:

• Mayor control sobre el origen del mensaje
• Restricciones en el uso de numeración internacional
• Necesidad de identificación clara del remitente
• Posibles bloqueos de mensajes sospechosos

Estos cambios suponen un gran impacto porque agregan una mayor dificultad para enviar SMS sin infraestructura validada. Se hace necesario trabajar con proveedores certificados que nos aporten un alto grado de confianza. Esto supone, sin duda, un incremento de costes que debemos asumir en aras de la seguridad.

4.2 WhatsApp y mensajería instantánea

El uso de WhatsApp como canal de notificación ha crecido de forma notable en los últimos años debido a su alta tasa de apertura y su cercanía con el usuario. Aunque la orden no regula este canal de forma tan directa como el SMS, sí introduce un contexto que obliga a profesionalizar su uso.

Las empresas deberán apoyarse en cuentas verificadas, como las proporcionadas por la API oficial de WhatsApp Business, asegurando que el usuario pueda identificar claramente al remitente. Esto supone el fin de soluciones improvisadas o poco controladas y refuerza la necesidad de trabajar con proveedores tecnológicos que garanticen el cumplimiento.

En el ámbito de la firma electrónica, este cambio puede suponer una mejora significativa en la confianza del usuario, siempre que se implemente correctamente.

4.3 El email: reforzando la identidad digital

Aunque el correo electrónico no es el foco principal de la Orden TDF/149/2025, sí se ve afectado por el endurecimiento general del ecosistema. En este nuevo escenario, la autenticación del remitente se convierte en un requisito imprescindible.

Las empresas deberán asegurarse de que sus dominios están correctamente configurados con protocolos como SPF, DKIM y DMARC, garantizando que los mensajes no puedan ser fácilmente suplantados. Además, será cada vez más importante mantener una coherencia clara en la identidad del remitente, evitando variaciones que puedan generar desconfianza.

En el contexto de la firma electrónica, esto se traduce en comunicaciones más fiables y en una mayor capacidad para demostrar la autenticidad del envío en caso de conflicto.

4.4 Llamadas telefónicas

Aunque las llamadas telefónicas no son el canal principal en procesos de firma electrónica, sí juegan un papel relevante en tareas de soporte o verificación. La orden introduce obligaciones claras en cuanto a la identificación del número desde el que se realiza la llamada, limitando prácticas que puedan inducir a error.

Esto refuerza la necesidad de coherencia entre todos los canales utilizados por una organización, evitando discrepancias que puedan afectar a la confianza del usuario.

5. Riesgos si no se adapta la operativa

La entrada en vigor de esta normativa no es neutra. Las organizaciones que no adapten sus procesos pueden enfrentarse a problemas relevantes que van más allá del simple cumplimiento.

Uno de los riesgos más inmediatos es el bloqueo o filtrado de comunicaciones. Mensajes que antes llegaban sin problema pueden empezar a ser rechazados o marcados como sospechosos, interrumpiendo procesos de firma y generando fricción en la experiencia del usuario.

A esto se suma el riesgo jurídico. Si una organización no puede demostrar de forma clara el origen, contenido y condiciones de envío de una comunicación, la validez probatoria del proceso puede verse comprometida. En un entorno como el de la firma electrónica, donde la evidencia es clave, este punto resulta especialmente crítico.

Por último, existe un impacto directo en la experiencia de usuario. La falta de recepción de mensajes, la confusión sobre el remitente o la percepción de inseguridad pueden reducir significativamente las tasas de conversión y afectar a la relación con el cliente.

6. De obligación a oportunidad

Aunque la Orden TDF/149/2025 introduce nuevas exigencias, también abre la puerta a una evolución positiva del mercado.

Las organizaciones que adopten estas medidas de forma proactiva podrán reforzar la confianza de sus usuarios, ofreciendo comunicaciones claras, identificables y seguras. En un entorno donde la desconfianza es creciente, este factor puede convertirse en un elemento diferenciador clave.

Además, la mejora en la trazabilidad y en la calidad de las evidencias permite construir procesos más robustos desde el punto de vista jurídico, reduciendo riesgos y facilitando auditorías.

En este sentido, la regulación no debe entenderse únicamente como una carga, sino como una oportunidad para profesionalizar los procesos y elevar el nivel de calidad del servicio.

7. Cómo adaptarse a la nueva normativa

La adaptación pasa, en primer lugar, por revisar en profundidad los proveedores y canales utilizados. No se trata únicamente de cumplir formalmente, sino de garantizar que toda la cadena de comunicación es segura y verificable.

También será necesario garantizar la identidad del remitente de forma coherente en todos los canales, asegurando que el usuario pueda reconocer de forma inmediata quién está detrás de la comunicación.

Por otro lado, el diseño de los mensajes adquiere una importancia renovada. La claridad, la transparencia y la ausencia de ambigüedad serán elementos clave para generar confianza.

Finalmente, resulta imprescindible reforzar la generación de evidencias electrónicas, asegurando que cada interacción queda registrada de forma trazable y verificable.

8. El papel de la firma electrónica avanzada

En este nuevo contexto, las soluciones de firma electrónica avanzada y cualificada adquieren un protagonismo aún mayor. Estas tecnologías permiten garantizar niveles superiores de seguridad y aportan evidencias más sólidas, lo que resulta especialmente valioso en entornos regulados.

La combinación de canales seguros y mecanismos de firma robustos constituye la base de un modelo de confianza digital sostenible.

9. Conclusión

La Orden TDF/149/2025 marca un antes y un después en la forma en que las organizaciones deben gestionar sus comunicaciones electrónicas. Para la firma electrónica remota, el impacto es especialmente relevante, ya que afecta directamente a los canales que permiten iniciar, validar y completar el proceso.

Las empresas que sepan anticiparse y adaptarse no solo evitarán riesgos, sino que podrán convertir la seguridad en una ventaja competitiva real. En un entorno cada vez más digital, la confianza no es un elemento accesorio, sino el pilar sobre el que se construyen las relaciones.

10. Cómo puede ayudarte edatalia

En Edatalia trabajamos para garantizar que los procesos de firma electrónica no solo sean eficientes, sino también seguros y plenamente adaptados a la normativa vigente.

Nuestras soluciones permiten integrar canales de comunicación fiables, reforzar la identidad del remitente y generar evidencias electrónicas completas que aseguran la validez jurídica de cada operación.

Si tu organización necesita adaptarse a la nueva regulación y convertir este cambio en una oportunidad, nuestro equipo puede ayudarte a diseñar un modelo de firma electrónica preparado para el presente y el futuro.