Por qué bloquear números no te protege de las estafas (y qué sí funciona en 2026)
Bloqueaste el número. Reportaste el mensaje como spam. Bajaste Truecaller. Y al día siguiente, exactamente la misma estafa te llegó desde otro número.
No es que estés haciendo algo mal. Lo que pasa es que bloquear números es una defensa que ya no funciona contra las estafas de hoy.
El problema de los números que desaparecen
Hace diez años las cosas eran distintas. Los estafadores tenían unos pocos números fijos, los bloqueabas y se acabó. Así nacieron apps como Truecaller, Hiya y RoboKiller, y la verdad es que funcionaban.
Eso se acabó.
Hoy un número de teléfono desechable cuesta casi nada. VoIP, SIMs virtuales, spoofing: los estafadores usan cientos de números al día. En Alemania, la autoridad de telecomunicaciones desactiva un promedio de 25.8 números diarios por SMS spam, el triple que hace dos años. Pero por cada número que apagan, aparecen docenas nuevos.
Las listas negras funcionan hacia atrás en el tiempo. Solo pueden bloquear números que alguien ya reportó. Para cuando un número llega a esa base de datos, el estafador ya lo tiró. Las apps que confían únicamente en bloqueo arapan entre 25% y 35% de lo que entra, máximo.
Dicho de otro modo: dos de cada tres mensajes de estafa pasan sin problema.
Las apps de identificación de llamadas no dan abasto
Truecaller tiene 400 millones de usuarios. Hiya alimenta los filtros de spam de AT&T y T-Mobile. Pero tienen un problema de fondo que ningún número de usuarios soluciona:
La base de datos siempre va atrás. Un número tiene que usarse, reportarse, verificarse y distribuirse antes de bloquearse. Eso toma horas o días. La estafa que recibiste a las 9 de la mañana desde un número nuevo la detectó nadie, porque en la lista de "números malos" ni existe.
Los números falsificados rompen el sistema. Un estafador puede hacer que el mensaje te llegue desde el número real de tu banco, desde Hacienda, desde un contacto tuyo. Si el número está falsificado, una base de datos de "números malos" no sirve para nada.
No cubre emails. Las estafas por correo usan dominios que se crean y se tiran en minutos. Mucho más rápido que conseguir números. Un dominio como "sat-gobierno-mx-verificacion.com" se registra en segundos, se usa para miles de correos, y se elimina antes de que nadie lo reporte. Truecaller no ve emails.
Los dominios desechables: el problema que no ves
Si los números desechables son un problema, los dominios de correo desechables son una pesadilla. Un estafador registra un dominio que se ve legítimo, configura los registros de autenticación (SPF, DKIM, DMARC), y envía desde direcciones limpias. Según datos de la industria, 89% de los correos maliciosos pasan los filtros de autenticación estándar.
Gmail y Outlook atrapan bastante, pero los correos más sofisticados, los que la IA generativa hace prácticamente idénticos a un mensaje real de tu banco, esos pasan. Y son exactamente esos los que hace daño.
Lo que realmente funciona: leer el mensaje, no mirar quién lo mandó
La única estrategia que funciona contra números desechables y dominios desechables es dejar de ver quién mandó el mensaje y empezar a analizar qué dice.
Es como la diferencia entre un guardia que verifica documentos en la puerta y un detective que lee el comportamiento de la gente. El guardia atrapa a quienes están en la lista. El detective detecta conductas sospechosas sin importar quién sea.
El análisis real del contenido observa los patrones que aparecen en el mensaje:
Lenguaje que manipula. ¿Usa urgencia? ("tienes 24 horas"). ¿Miedo? ("tu cuenta se cancela"). ¿Autoridad falsa? ("llamamos del SAT"). ¿Presión financiera? ("transfiere ahora"). Estos patrones emocionales aparecen en prácticamente toda estafa, sin importar desde qué número llegue.
Enlaces raros. No solo si el URL está en una lista negra, sino si el dominio se creó ayer, si tiene typosquatting (como "ban0rte.com" en lugar de "banorte.com"), si redirige por cinco sitios para ocultar dónde te lleva realmente.
Detalles que no casan. Un mensaje que dice ser de tu banco mexicano pero viene desde un código de país de Filipinas. Un correo del SAT con un español que no es mexicano.
El mismo patrón en todos los idiomas. La estafa que dice "tu paquete no se pudo entregar" en español aparece como "your package could not be delivered" en inglés y en japonés. El análisis del contenido reconoce el patrón de fraude, sin importar la lengua.
Plantillas de estafa que se repiten. El remitente cambia constantemente, pero el contenido sigue patrones predecibles. Un falso bloqueo bancario tiene una estructura específica. Un phishing del SAT sigue un flujo que se repite. Una estafa de préstamo rápido usa palabras que reconocés. Esos patrones persisten aunque los números y dominios roten.
La protección tiene que ser en el momento
Una lista negra funciona después de que pasó el daño. Otra víctima tuvo que caer primero, reportar, esperar a que se actualice la base. El análisis del contenido funciona cuando el mensaje llega, incluso si es la primera vez que esa estafa específica se envía desde ese número.
Los estafadores modernos envían lotes pequeños desde números que cambian cada hora, con variaciones de texto que genera la IA. Cada mensaje es un poco diferente. Cada número es nuevo. Las listas negras nunca alcanzan.
El análisis del contenido no necesita haber visto ese mensaje exacto antes. Reconoce los patrones, las tácticas, los elementos estructurales que lo hacen una estafa, incluso en el primer contacto.
Las actualizaciones tienen que ser constantes
Las tácticas cambian todo el tiempo. La estafa de multas de tránsito que explotó en Estados Unidos en 2025 casi no existía un año antes. Las estafas de paquetes cambian de empresa según la temporada. Las apps de préstamos falsos mutan cada semana en México.
Un sistema que solo actualiza sus patrones cada semana o con la próxima versión de la app siempre va atrás. La protección necesita aprender de nuevos patrones de estafa en tiempo real, de todo el mundo, en todos los idiomas.
Cuando una nueva estafa de SAT empieza en México, un usuario en España que reciba patrones similares debería estar protegido en horas, no en semanas.
Adelántate a los estafadores
Rampart analiza lo que dice el mensaje, no quién lo manda. Únete a la lista de espera.
Esto es exactamente lo que estamos haciendo en Rampart
Rampart no usa listas negras. No verifica números contra una base de datos. Lo que hace es analizar el contenido real de cada mensaje que te llega de números desconocidos, en el momento exacto en que llega a tu celular.
Observa el lenguaje que usa, la estructura de los enlaces, las tácticas emocionales y las señales geográficas que delatan una estafa. Funciona con SMS y correo. Funciona en español, inglés, portugués, japonés, alemán, coreano y árabe. Y sus patrones de detección se actualizan constantemente conforme aparecen nuevos tipos de estafa en cualquier parte del mundo.
El resultado: protección real contra números nuevos, dominios nuevos y variaciones nuevas de estafas. No solo contra las que ya reportó otra persona.
Bloquear números funcionaba en 2015. Analizar lo que dicen los mensajes es la solución de 2026.
Conoce más en rmprt.app.