Regulación SMS en Colombia (2026)
Guía completa y actualizada del marco normativo para SMS comerciales. Ley 1581 de Protección de Datos, CRC Resolución 6522/2022, Registro Nacional de Excluidos RNE, Ley 2300. Todo lo que necesitas saber sobre cumplimiento normativo en Colombia.
Marco Legal Vigente: SMS Comerciales en Colombia
Análisis completo de la legislación colombiana aplicable a las comunicaciones SMS comerciales
Aviso de Copyright: Este informe pertenece a 402T LABS SLU, con NIF ESB24901332, y ha sido publicado originalmente el 31 de diciembre de 2025 en https://402tlabs.com/regulacion-sms-colombia-2026.html.
Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, distribuida o transmitida sin permiso previo por escrito.
Ley 1581 de 2012 - Protección de Datos Personales
La Ley 1581 regula el tratamiento de datos personales, incluyendo números de celular utilizados para envío de publicidad. Esta ley exige consentimiento previo, expreso e informado del titular para usar sus datos con fines comerciales, salvo excepciones limitadas.
Requisitos específicos: El envío de SMS publicitarios sin autorización constituye una infracción al derecho de habeas data y puede ser sancionado por la Superintendencia de Industria y Comercio (SIC) con multas de hasta 2.000 salarios mínimos legales.
Autoridad competente: La SIC actúa como autoridad nacional de datos personales y puede imponer sanciones que incluyen cierre de operaciones comerciales.
Comisión de Regulación de Comunicaciones (CRC)
La CRC es la agencia técnica encargada de expedir la regulación específica de telecomunicaciones. Ha emitido normas clave compiladas en la Resolución CRC 5050 de 2016 (Código de Regulación) y actualizaciones posteriores como la CRC 6522 de 2022.
Competencias principales: Regular el acceso, uso e interconexión de redes y servicios de telecomunicaciones, establecer tarifas de terminación, condiciones de prestación del servicio SMS, y asignación de códigos cortos.
Resoluciones relevantes: CRC 3501 de 2011, 4458 de 2014, 5111 de 2017, 6242 de 2021 y 6522 de 2022, que incluyen reglas específicas para mensajes comerciales y protección al usuario.
Ley 2300 de 2023 - "Dejen de Fregar"
Esta ley reciente, vigente desde julio de 2023, está diseñada específicamente para proteger la tranquilidad del consumidor frente a contactos no deseados. Aunque originalmente se enfocó en gestiones de cobranza, el Artículo 5 extiende sus disposiciones a mensajes publicitarios por SMS.
Horarios restringidos: Prohíbe todo contacto comercial los domingos y festivos. Los demás días únicamente de lunes a viernes de 7:00 a.m. a 7:00 p.m. y sábados de 8:00 a.m. a 3:00 p.m.
Registro Nacional de Excluidos: Ordenó actualizar el RNE en un plazo de 6 meses, implementando una nueva plataforma desde abril de 2024 donde los colombianos pueden inscribir sus números.
Ley 1341 de 2009 - Telecomunicaciones
La Ley 1341 de 2009 (modificada por Ley 1978 de 2019) establece el régimen general de las TIC en Colombia, asignando a la CRC la función de regular el acceso, uso e interconexión de redes y servicios de telecomunicaciones.
Alcance SMS: Esta ley sienta las bases para que la CRC expida resoluciones sobre interconexión de SMS, tarifas y condiciones de prestación del servicio, diferenciando entre tráfico P2P (persona-persona) y A2P (aplicación-persona).
MinTIC: El Ministerio de Tecnologías de la Información y las Comunicaciones dicta la política general y expide decretos, fijando contraprestaciones que los operadores deben pagar al Estado.
Principios Generales de la Regulación SMS
Principio de Consentimiento
Base fundamental para SMS comerciales. Debe ser previo, expreso, informado y específico. No se presume consentimiento tácito por el mero hecho de proporcionar un número de teléfono.
Principio de Transparencia
Obligación de informar claramente sobre el remitente, finalidad comercial del mensaje y derechos del destinatario. Los SMS deben incluir mecanismos para ejercer el derecho de oposición.
Principio de Protección al Usuario
Prohibición de prácticas abusivas como spam o contactos en horarios restringidos. Respeto obligatorio al Registro Nacional de Excluidos (RNE).
Principio de Responsabilidad
Las empresas emisoras son responsables del cumplimiento normativo de sus proveedores. Deben mantener registros de consentimientos y consultas al RNE.
Régimen de Interconexión y Tarifas SMS (A2P vs P2P)
Enfoque Simétrico Inicial
Colombia adoptó históricamente un enfoque simétrico donde el mismo cargo por terminación de SMS aplicaba sin importar el origen del mensaje. Esto se plasmó inicialmente en la Resolución CRC 3500 de 2011 y se reafirmó en 2014.
Justificación técnica: "No habría justificación técnica o económica para discriminar tráficos según lo origine un usuario o una máquina". Este principio buscaba evitar discriminación entre operadores y promover la competencia.
Impacto en el mercado: Favoreció el desarrollo del mercado A2P al mantener costos bajos y predecibles para los proveedores de servicios masivos.
Transición a Esquema Diferenciado
La Resolución CRC 6298 de 2021 introdujo un período transitorio que lleva hacia un esquema de "bill and keep" para SMS P2P y un cargo nominal para A2P. Esta transición busca reflejar mejor los costos reales de terminación.
Fases de implementación: Desde enero 2023 se implementó el nuevo esquema tarifario, con ajustes graduales para evitar disrupciones en el mercado.
Objetivos regulatorios: Mantener la viabilidad económica del tráfico P2P mientras se establece una remuneración adecuada para la terminación de mensajes A2P.
Códigos Cortos y Numeración Especial
La CRC regula la asignación y uso de códigos cortos (números especiales como 123, 456, etc.) para SMS masivos. Estos códigos requieren registro específico y cumplen condiciones particulares de uso.
Requisitos de asignación: Las empresas deben acreditar necesidad técnica, capacidad operativa y compromiso de cumplimiento normativo para obtener códigos cortos.
Uso autorizado: Principalmente para servicios de alto volumen como alertas bancarias, votaciones, servicios de emergencia y campañas masivas autorizadas.
Obligaciones de los Operadores
Los operadores móviles deben garantizar la interconexión efectiva de SMS, mantener estándares de calidad de servicio y colaborar en la prevención de fraudes. También deben implementar medidas técnicas contra el spam.
Infraestructura requerida: Sistemas de filtrado anti-spam, verificación de remitentes, capacidad de bloqueo de números fraudulentos y reporting a autoridades competentes.
Cooperación regulatoria: Los operadores deben proporcionar información a la CRC y SIC para monitoreo del mercado y resolución de disputas.
Protección contra Spam y Medidas Anti-Fraude
Estrategias para prevenir el smishing y garantizar comunicaciones seguras
Entrada en vigor Ley 2300/2023
Implementación de restricciones horarias para comunicaciones comerciales y actualización del Registro Nacional de Excluidos.
Medidas principales: Prohibición de contactos domingos/festivos y fuera del horario laboral, plataforma RNE actualizada con tecnología moderna.
Plataforma RNE Operativa
Puesta en marcha de la nueva plataforma del Registro Nacional de Excluidos, permitiendo a ciudadanos bloquear comunicaciones comerciales de manera efectiva.
Características técnicas: Interfaz web intuitiva, verificación de identidad, opciones de bloqueo por canal y revocación en cualquier momento.
Intensificación Anti-Fraude
La CRC y SIC intensifican cooperación internacional para compartir información sobre vectores de fraude SMS y mejores prácticas de prevención.
Medidas implementadas: Sistemas de detección automática de patrones fraudulentos, colaboración con operadores para bloqueo preventivo.
Registro Nacional de Remitentes
Posible implementación de un registro nacional de remitentes verificados para aumentar la confianza en las comunicaciones SMS legítimas.
Beneficios esperados: Reducción significativa del smishing, mayor entregabilidad para empresas cumplidoras, fortalecimiento de la confianza del consumidor.
Tipos de Mensajes SMS y Requisitos Específicos
Mensajes Transaccionales
Comunicaciones necesarias para ejecutar servicios contratados (OTP, confirmaciones, recordatorios). No requieren consentimiento adicional pero deben incluir información sobre gestión de preferencias.
Ejemplos: Códigos de verificación bancaria, confirmaciones de pedido, alertas de entrega, recordatorios médicos.
Mensajes Promocionales
Comunicaciones comerciales que requieren consentimiento expreso previo. Deben incluir mecanismo claro de baja y respetar RNE y horarios restringidos.
Requisitos adicionales: Consulta previa al RNE, registro de consentimiento, información clara sobre el remitente y finalidad.
Mensajes Informativos
Comunicaciones de interés general o relacionadas con productos/servicios similares ya contratados. Pueden enviarse sin consentimiento adicional pero respetando RNE.
Limitaciones: Deben guardar relación directa con el servicio contratado y ofrecer siempre opción de baja.
Mensajes de Servicio Público
Comunicaciones de entidades públicas, alertas de emergencia o servicios esenciales. Tienen régimen especial y pueden tener prioridad en la entrega.
Autorización: Requieren aprobación específica de las autoridades competentes y utilizan códigos cortos asignados por CRC.
Implicaciones Técnicas para Plataformas de Envío SMS
Adaptaciones tecnológicas necesarias para cumplimiento normativo en Colombia
Integración con Registro Nacional de Excluidos (RNE)
Desarrollo de conectores API para consulta automática del RNE antes de cada envío masivo. Implementación de caché inteligente para optimizar rendimiento y reducir latencia.
Funcionalidades requeridas: Verificación en tiempo real de números inscritos, logging completo de consultas, gestión de respuestas negativas, reporting de cumplimiento.
Arquitectura técnica: Microservicio dedicado para consultas RNE, base de datos distribuida para resultados, integración con motor principal de envío.
Sistema de Gestión de Consentimientos
Implementación de base de datos robusta para almacenar y gestionar consentimientos de usuarios conforme a la Ley 1581. Sistema de trazabilidad completa desde obtención hasta revocación.
Características técnicas: API para registro y validación de consentimientos, encriptación de datos sensibles, auditoría automática de historial, cumplimiento con estándares de protección de datos.
Validación automática: Verificación de vigencia de consentimientos, detección de revocaciones, bloqueo automático de envíos sin autorización válida.
Control de Horarios y Restricciones
Implementación de lógica de negocio para respetar horarios restringidos de la Ley 2300. Sistema de calendarización inteligente que evita envíos fuera del horario permitido.
Funcionalidades: Validación automática de fecha/hora antes del envío, calendarización de campañas dentro de horarios permitidos, alertas por intentos de envío fuera de horario.
Gestión de zonas horarias: Consideración de zona horaria colombiana (COT) y ajustes por huso horario del destinatario cuando aplique.
Motores de Detección de Spam y Fraude
Desarrollo de algoritmos de IA para detectar patrones de envío fraudulentos y mensajes de spam. Análisis de contenido y comportamiento para prevenir smishing.
Técnicas aplicadas: Análisis semántico de mensajes, verificación de remitentes contra bases de datos oficiales, detección de patrones de envío masivo sospechoso.
Integración regulatoria: Reporting automático a CRC y SIC de actividades potencialmente fraudulentas, colaboración con operadores en bloqueo preventivo.
Sistemas de Logging y Auditoría
Implementación de sistemas completos de registro de todas las operaciones de envío, consultas al RNE, verificaciones de consentimiento y validaciones técnicas.
Requisitos de cumplimiento: Almacenamiento inmutable de logs por 5 años mínimo, capacidad de auditoría forense, generación automática de informes para autoridades.
Reporting empresarial: Dashboards en tiempo real para monitoreo de cumplimiento, alertas automáticas por incumplimientos detectados, métricas de calidad de servicio.
Gestión de Numeración y Códigos Cortos
Sistema para gestión y validación de numeración asignada, incluyendo códigos cortos registrados ante la CRC. Verificación automática de asignación y propiedad.
Validaciones técnicas: Verificación de prefijo operador colombiano, confirmación de asignación oficial, gestión de permisos especiales para numeración internacional.
Registro CRC: Interfaz para gestión de solicitudes de códigos cortos, seguimiento de estado de aprobación, renovación automática de registros.
Obligaciones para Operadores y Proveedores de Servicios
Operadores de Red Móvil
Claro, Movistar, Tigo y otros operadores deben implementar sistemas técnicos para validar interconexión SMS, controlar spam y colaborar en la prevención de fraudes.
Obligaciones específicas: Mantenimiento de calidad de servicio, implementación de filtros anti-spam, reporting de actividades sospechosas a CRC y SIC.
Proveedores de Servicios SMS
Las plataformas como 402T Labs deben garantizar que todos sus clientes cumplen con la normativa colombiana, implementando verificaciones técnicas exhaustivas.
Responsabilidades técnicas: Validación de identidad de clientes, control de remitentes utilizados, integración con RNE, mantenimiento de registros completos de auditoría.
Empresas con Operaciones en Colombia
Todas las empresas que envíen SMS a destinatarios colombianos deben adaptar sus sistemas para cumplir con la legislación local, además de sus normativas de origen.
Consideraciones técnicas: Configuración específica para mercado colombiano, integración con sistemas locales de exclusión, gestión diferenciada de consentimientos por jurisdicción.
Plataformas Globales
Los proveedores internacionales de SMS deben desarrollar módulos específicos para cumplimiento colombiano, diferenciando el tratamiento por mercado geográfico.
Soluciones técnicas: Geolocalización automática de destinatarios, aplicación de reglas específicas por país, integración con registros locales como el RNE.
Casos de Uso Prácticos y Ejemplos de Cumplimiento
Caso 1: Banco Colombiano - Mensajes Transaccionales y de Seguridad
Situación: Entidad financiera envía códigos OTP para transacciones y alertas de seguridad a sus clientes, utilizando remitente alfanumérico con su marca registrada.
Cumplimiento requerido: Al tratarse de comunicaciones necesarias para servicios contratados, no requieren consentimiento adicional. Sin embargo, deben estar inscritos en el Registro de Actividades de Tratamiento de la SIC.
Aspectos técnicos: Sistema redundante con múltiples proveedores SMS, verificación de remitentes registrados, medidas adicionales contra suplantación por el alto riesgo de fraude financiero.
Caso 2: Comercio Electrónico Nacional - SMS Promocionales
Situación: Plataforma de e-commerce envía ofertas especiales y recordatorios de carrito abandonado a usuarios registrados, respetando horarios de la Ley 2300.
Cumplimiento requerido: Deben haber obtenido consentimiento expreso específico para SMS comerciales. Consulta obligatoria al RNE antes de cada campaña y respeto a horarios restringidos.
Aspectos técnicos: Integración con API del RNE, sistema de calendarización automática, gestión segmentada de consentimientos, mecanismo STOP efectivo.
Caso 3: Empresa Extranjera con Operaciones en Colombia
Situación: Compañía multinacional de delivery envía notificaciones de estado de pedidos a usuarios colombianos, utilizando proveedores locales certificados.
Cumplimiento requerido: Deben adaptar sus sistemas globales para cumplir con legislación colombiana. Utilizar proveedores locales que garanticen cumplimiento con RNE y horarios.
Aspectos técnicos: Configuración específica por mercado, integración con sistemas colombianos, gestión diferenciada de consentimientos, reporting local.
Caso 4: Servicio de Salud - Recordatorios Médicos
Situación: Clínica privada envía recordatorios de citas médicas por SMS a sus pacientes, incluyendo opción para reprogramar o cancelar.
Cumplimiento requerido: Como comunicaciones transaccionales relacionadas con servicios contratados, no requieren consentimiento adicional pero deben ofrecer siempre opción de baja.
Aspectos técnicos: Sistema de gestión de citas integrado con envío SMS, verificación de preferencias de comunicación, cumplimiento con protección de datos de salud.
Caso 5: Gobierno Local - Comunicaciones Oficiales
Situación: Alcaldía municipal envía información sobre servicios públicos, alertas de emergencia y recordatorios de vencimientos utilizando códigos cortos oficiales.
Cumplimiento requerido: Utilizan códigos cortos asignados por CRC con autorización específica. Pueden enviar comunicaciones de interés público sin restricciones de RNE.
Aspectos técnicos: Utilización de códigos cortos registrados, sistemas prioritarios de entrega, integración con plataformas oficiales de comunicación.
Caso 6: ONG Nacional - Campañas de Sensibilización
Situación: Organización sin ánimo de lucro envía información sobre campañas solidarias a sus donantes registrados, utilizando remitente identificado.
Cumplimiento requerido: Para donantes existentes pueden enviar información relacionada con actividades similares. Deben respetar RNE y ofrecer siempre opción de baja.
Aspectos técnicos: Base de datos segmentada por tipo de consentimiento, sistema de gestión de bajas, reporting de impacto en campañas de sensibilización.
Buenas Prácticas para el Cumplimiento Normativo
Transparencia en Consentimientos
Utilizar formularios claros y específicos, explicando exactamente qué tipos de comunicaciones se autorizan. Evitar consentimientos genéricos o por defecto marcados.
Mecanismos STOP Efectivos
Implementar sistemas STOP/BAJA inmediatos y efectivos. Procesar las revocaciones en tiempo real y no volver a contactar al usuario sin nuevo consentimiento.
Consulta Sistemática al RNE
Integrar consultas automáticas al Registro Nacional de Excluidos en todos los procesos de envío masivo, manteniendo registros completos de las verificaciones.
Segmentación por Tipo de Mensaje
Diferenciar claramente entre mensajes transaccionales (permitidos con menor restricción), promocionales (requieren consentimiento) y de servicio público.
Capacitación Continua
Formar equipos comerciales y técnicos sobre la evolución de la normativa colombiana, especialmente respecto a cambios en el RNE y nuevas resoluciones CRC.
Monitoreo y Auditoría
Implementar sistemas de alerta automática para detectar posibles incumplimientos o cambios en la regulación que afecten las operaciones comerciales.
Preguntas Frecuentes sobre Regulación SMS Colombia 2026
Resolvemos las dudas más comunes sobre cumplimiento normativo
¿Qué es el Registro Nacional de Excluidos (RNE)?
El RNE es una plataforma nacional administrada por la CRC donde los colombianos pueden inscribir gratuitamente sus números para no recibir SMS, mensajes OTT, correos o llamadas con fines comerciales. Desde abril de 2024 opera la nueva plataforma actualizada por la Ley 2300.
¿Cuáles son los horarios restringidos para comunicaciones comerciales?
Según la Ley 2300 de 2023, los contactos comerciales están prohibidos los domingos y festivos. Los demás días solo se permiten de lunes a viernes de 7:00 a.m. a 7:00 p.m. y sábados de 8:00 a.m. a 3:00 p.m. Cualquier comunicación fuera de estos horarios requiere autorización expresa adicional.
¿Es obligatorio el consentimiento para enviar SMS publicitarios?
Sí, la Ley 1581 exige consentimiento previo, expreso e informado para el tratamiento de datos personales con fines comerciales, incluyendo envío de SMS publicitarios. No se presume consentimiento tácito por proporcionar un número de teléfono.
¿Qué diferencia hay entre mensajes transaccionales y promocionales?
Los mensajes transaccionales son necesarios para ejecutar servicios contratados (OTP, confirmaciones, recordatorios) y no requieren consentimiento adicional. Los promocionales requieren consentimiento expreso y deben incluir mecanismo de baja y respetar RNE y horarios.
¿Las empresas extranjeras deben cumplir con la regulación colombiana?
Sí, cualquier empresa que envíe SMS a destinatarios colombianos debe cumplir con la Ley 1581, CRC y Ley 2300, además de sus normativas de origen. Deben utilizar proveedores locales certificados que garanticen cumplimiento.
¿Qué sanciones existen por incumplimiento?
La SIC puede imponer multas de hasta 2.000 salarios mínimos legales por infracciones a la Ley 1581. La CRC puede sancionar incumplimientos técnicos. En casos graves, se pueden imponer multas adicionales y hasta cierre de operaciones.
¿Cómo gestionar las revocaciones de consentimiento?
Debe existir un mecanismo sencillo y gratuito (STOP, BAJA, etc.) que procese la revocación inmediatamente. Una vez revocada, no se pueden enviar más SMS comerciales, aunque sí comunicaciones estrictamente transaccionales si son necesarias para servicios en curso.
¿Qué documentación debo mantener para demostrar cumplimiento?
Registros de consentimientos obtenidos, consultas realizadas al RNE, logs de envíos realizados, documentación de registro en el RAT de la SIC, y procedimientos internos de cumplimiento implementados.
¿Cómo afectan estos cambios a mi presupuesto de SMS?
Los costos pueden aumentar ligeramente debido a las verificaciones técnicas adicionales, integración con RNE y registros requeridos. Sin embargo, la reducción del spam mejora la entregabilidad general y la confianza de los usuarios en el canal SMS.
¿Qué es el régimen de interconexión A2P vs P2P?
El régimen de interconexión establece tarifas diferenciadas para terminación de SMS. Los mensajes P2P (persona-persona) tienden a bill-and-keep, mientras que A2P (aplicación-persona) pagan un cargo nominal por terminación, según la Resolución CRC 6298 de 2021.
¿Necesitas ayuda con cumplimiento normativo en Colombia?
Nuestro equipo experto te ayuda a adaptar tu estrategia SMS a la regulación colombiana.