Regulación SMS en México (2026)
Guía completa y actualizada del marco normativo para SMS comerciales. LFTR, IFT, NOM-184-SCFI, REPEP. Investigación de colusión entre operadores, control anti-spam A2P. Todo lo que necesitas saber sobre cumplimiento normativo en México.
Marco Legal Vigente: SMS A2P y Control Anti-Spam
Análisis completo de la legislación mexicana aplicable a las comunicaciones SMS comerciales
Aviso de Copyright: Este informe pertenece a 402T LABS SLU, con NIF ESB24901332, y ha sido publicado originalmente el 31 de diciembre de 2025 en https://402tlabs.com/regulacion-sms-mexico-2026.html.
Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, distribuida o transmitida sin permiso previo por escrito.
Ley Federal de Telecomunicaciones y Radiodifusión (LFTR)
La LFTR establece el marco regulatorio principal para las telecomunicaciones en México. El artículo 127 incluye expresamente al servicio de mensajes cortos (SMS) dentro de los servicios de interconexión obligatorios entre redes públicas de telecomunicaciones.
Concesión única: El artículo 118 permite a cualquier concesionario prestar servicios técnicamente factibles, incluyendo SMS, sin limitarse exclusivamente a operadores móviles tradicionales.
Interconexión obligatoria: Todos los operadores deben permitir el intercambio de SMS entre sus redes de forma no discriminatoria, aplicable tanto a tráfico P2P como A2P.
Instituto Federal de Telecomunicaciones (IFT)
El IFT es la autoridad reguladora competente en materia de telecomunicaciones. Supervisa el cumplimiento de la LFTR, establece tarifas de interconexión, resuelve disputas entre operadores y garantiza la competencia en el mercado.
Investigación de colusión: Actualmente investiga posibles prácticas anticompetitivas entre operadores móviles en el mercado A2P, que podrían derivar en sanciones significativas y reordenamiento del sector.
Transición institucional: Se prevé la sustitución del IFT por una nueva Agencia de Transformación Digital y Telecomunicaciones una vez expedidas las leyes secundarias correspondientes.
NOM-184-SCFI - Protección contra Spam
La Norma Oficial Mexicana NOM-184-SCFI establece derechos de los usuarios de telecomunicaciones y prohíbe expresamente a los proveedores enviar llamadas o mensajes promocionales sin consentimiento expreso del destinatario.
Artículo 4.9: Los proveedores se abstendrán de enviar SMS publicitarios o promocionales sin autorización previa del usuario, la cual puede revocarse en cualquier momento.
Alcance: Aplicable tanto a operadores como a empresas que utilicen servicios de terceros para envío masivo de SMS promocionales.
REPEP - Registro Público para Evitar Publicidad
El Registro Público para Evitar Publicidad, gestionado por la Procuraduría Federal del Consumidor (Profeco), permite a los ciudadanos inscribirse gratuitamente para no recibir comunicaciones promocionales por SMS, llamadas u otros medios.
Funcionamiento: Los ciudadanos pueden registrar su número telefónico para excluirse de publicidad comercial no solicitada.
Obligaciones empresariales: Las empresas deben consultar este registro antes de realizar campañas de marketing directo por SMS.
Mercado SMS A2P en México: Características y Desafíos
Dominio del Tráfico A2P
Los SMS A2P (Application-to-Person) representan la gran mayoría del tráfico en México, superando ampliamente al P2P tradicional. Los ingresos por A2P son más de 10 veces superiores a los de P2P.
Entrada de Nuevos Actores
Concesionarios fijos y mayoristas pueden ofrecer servicios SMS gracias a la concesión única de la LFTR, generando competencia pero también tensiones con operadores tradicionales.
Riesgos de Spam y Fraude
Aumento significativo de spam, suplantación (spoofing) y rutas grises (grey routes) que afectan la confianza del usuario y generan preocupación regulatoria.
Investigación Anticompetitiva
El IFT investiga posible colusión entre operadores móviles en el mercado A2P, lo que podría derivar en sanciones y cambios estructurales en el sector.
REPEP y Régimen de Consentimiento en SMS Promocionales
Registro Público para Evitar Publicidad (REPEP)
El REPEP es el mecanismo principal de protección contra comunicaciones comerciales no solicitadas en México. Gestionado por Profeco, permite a cualquier ciudadano inscribir gratuitamente su número telefónico para excluirse de publicidad por SMS, llamadas u otros medios.
Alcance: Cubre todos los canales de comunicación comercial (SMS, llamadas, email, etc.). La inscripción es gratuita y tiene validez indefinida mientras el ciudadano mantenga su registro activo.
Funcionamiento: Las empresas deben consultar obligatoriamente el REPEP antes de cualquier campaña de marketing directo. Los números registrados no pueden ser contactados para fines promocionales.
Consulta Obligatoria del REPEP
Las empresas que realicen envíos masivos de SMS promocionales tienen la obligación legal de consultar el REPEP antes de cada campaña. Esta consulta debe ser sistemática y documentada para demostrar cumplimiento normativo.
Procedimiento: La consulta se realiza a través de los mecanismos proporcionados por Profeco. Las empresas deben integrar estos controles en sus plataformas de envío masivo.
Sanciones: El incumplimiento puede derivar en multas administrativas por parte de Profeco y acciones legales por parte de los usuarios afectados.
Consentimiento Expreso para SMS Promocionales
La NOM-184-SCFI exige consentimiento expreso e informado para el envío de SMS promocionales. No se presume consentimiento tácito ni se permite el envío sin autorización previa del destinatario.
Requisitos del consentimiento: Debe ser específico para SMS, informado sobre la finalidad comercial, revocable en cualquier momento, y obtenido de forma que demuestre claramente la aceptación del usuario.
Revocación: Los usuarios pueden revocar su consentimiento en cualquier momento. Cada SMS debe incluir un mecanismo sencillo y gratuito para darse de baja.
Diferenciación entre Comunicaciones
Es crucial distinguir entre comunicaciones promocionales (requieren consentimiento) y transaccionales (pueden enviarse sin consentimiento específico si son necesarias para la ejecución de un contrato).
Comunicaciones transaccionales permitidas: Confirmaciones de pedido, códigos de verificación, alertas de seguridad, recordatorios de citas médicas, avisos de entrega, entre otros servicios necesarios.
Excepción limitada: Solo se permiten comunicaciones promocionales a clientes existentes sobre productos/servicios similares, pero siempre con opción de exclusión.
Cambios Normativos Vigentes y Próximos (2025-2026)
Evolución completa de la regulación SMS en México
Investigación de Colusión en Mercado A2P
El IFT inicia investigación formal sobre posibles prácticas anticompetitivas entre operadores móviles en el segmento A2P. Se analiza la concentración del mercado y posibles acuerdos restrictivos.
Implicaciones: Posibles sanciones económicas significativas, cambios en tarifas de interconexión, y eventual reordenamiento competitivo del sector SMS A2P.
Reforma Constitucional - Extinción del IFT
Publicación de reforma constitucional que prevé la extinción del IFT y su sustitución por una nueva Agencia de Transformación Digital y Telecomunicaciones, una vez expedidas las leyes secundarias.
Período transitorio: El IFT continúa operando en lo esencial hasta la constitución formal de la nueva agencia reguladora.
Refuerzo de Controles Anti-Spam
Implementación de medidas más estrictas contra spam, suplantación y rutas grises. Los operadores móviles acuerdan con Profeco acciones conjuntas para reducir SMS no solicitados.
Acuerdos sectoriales: Operadores se comprometen a bloquear envíos masivos de spam y compartir información sobre remitentes fraudulentos.
Constitución Nueva Agencia Reguladora
Entrada en funcionamiento de la Agencia de Transformación Digital y Telecomunicaciones. Se espera continuidad en las políticas de competencia y protección al usuario.
Transición ordenada: Procesos regulatorios en curso (como la investigación de colusión) continuarán bajo la nueva estructura institucional.
Crecimiento Sostenido del Mercado A2P
Proyección de crecimiento anual del mercado A2P del ~3% hacia 2029. Se espera mayor competencia con entrada de nuevos actores y posible reducción de tarifas.
Factores de crecimiento: Mayor adopción de autenticación 2FA, notificaciones bancarias, comercio electrónico, y servicios de entrega digital.
Interconexión y Tarifas de Terminación SMS
Interconexión Obligatoria
La LFTR establece que todos los operadores de redes públicas deben interconectar sus redes para SMS de forma no discriminatoria. Aplicables tanto a operadores móviles como fijos.
Artículo 133 LFTR: Los servicios de interconexión, incluyendo SMS, son de provisión obligatoria sin posibilidad de exclusiones por acuerdos privados.
Tarifas de Terminación
El IFT establece las tarifas de terminación de SMS siguiendo criterios objetivos y no discriminatorios. Históricamente, el Agente Económico Preponderante (Telcel/América Móvil) tuvo tarifa cero por mandato transitorio.
Tendencia actual: Movimiento hacia tarifas de terminación reducidas para fomentar la competencia y reducir costos para empresas que envían SMS masivos.
Rutas Grises y Control
Las rutas grises (grey routes) representan un riesgo significativo, permitiendo el envío de SMS sin pasar por la interconexión regulada. El IFT ha emitido recomendaciones para eliminar estas prácticas.
Medidas regulatorias: Controles más estrictos sobre numeración, verificación de remitentes, y colaboración entre operadores para detectar y bloquear rutas irregulares.
Concentración del Mercado
La investigación de colusión responde a la alta concentración del mercado A2P en pocos operadores. Se busca promover mayor competencia y reducir barreras de entrada.
Objetivos regulatorios: Facilitar entrada de nuevos actores (concesionarios fijos, agregadores), reducir tarifas, y garantizar acceso no discriminatorio al mercado.
Implicaciones Técnicas para Plataformas de Envío Masivo de SMS
Adaptaciones tecnológicas necesarias para cumplimiento normativo en México 2026
Integración con REPEP
Desarrollo de conectores API para consulta automática del Registro Público para Evitar Publicidad antes de cada envío masivo. Implementación de bases de datos distribuidas para optimizar rendimiento.
Funcionalidades requeridas: Consulta en tiempo real, caché inteligente de resultados, limpieza automática de bases de datos contra registros de exclusión.
Validación técnica: Solo permitir envío de SMS promocionales a números no registrados en REPEP, con trazabilidad completa de consultas realizadas.
Sistema de Gestión de Consentimientos
Implementación de base de datos robusta para almacenar y gestionar consentimientos de usuarios conforme a NOM-184-SCFI. Sistema de trazabilidad completa para demostrar cumplimiento ante autoridades.
Características técnicas: API para registro de consentimientos, validación automática antes del envío, gestión de revocaciones en tiempo real, auditoría completa de historial.
Protección de datos: Encriptación de información sensible, registros de acceso, procedimientos de eliminación automática tras revocación.
Controles Anti-Spam y Anti-Fraude
Implementación de algoritmos de IA para detectar patrones de envío spam, suplantación de identidad y rutas grises. Análisis de contenido y metadatos de mensajes para identificar actividades fraudulentas.
Técnicas aplicadas: Verificación de remitentes contra bases de datos de operadores, análisis semántico de contenido, detección de volúmenes sospechosos de envío.
Integración con operadores: Conexión con sistemas de verificación de los operadores móviles para validar autenticidad de remitentes y rutas de envío.
Sistemas de Detección de Rutas Grises
Desarrollo de herramientas técnicas para identificar y bloquear envíos que intenten eludir la interconexión regulada. Verificación automática de que los SMS siguen rutas autorizadas por la LFTR.
Controles implementados: Validación de numeración contra bases de datos de operadores asignados, monitoreo de patrones de enrutamiento, bloqueo automático de rutas irregulares.
Reporting regulatorio: Generación automática de informes sobre intentos de rutas grises para reporte a autoridades competentes.
Gestión de Numeración y Remitentes
Implementación de validación automática de numeración mexicana asignada. Controles para asegurar que los números utilizados como remitente corresponden efectivamente al emisor autorizado.
Verificación técnica: Integración con bases de datos de numeración de operadores, validación de prefijos asignados, gestión de permisos especiales para numeración internacional.
Compatibilidad con A2P: Soporte para remitentes alfanuméricos y numéricos, validación de propiedad de marcas y denominaciones sociales.
Logging y Auditoría Regulatoria
Desarrollo de sistemas completos de logging inmutable para registrar todas las operaciones de envío, consultas a REPEP, verificaciones de consentimiento y validaciones técnicas.
Requisitos de auditoría: Almacenamiento de logs con marca temporal, capacidad de auditoría forense, generación automática de informes de cumplimiento para IFT y Profeco.
Monitoreo en tiempo real: Dashboards para supervisión continua de cumplimiento, alertas automáticas por incumplimientos detectados, reporting ejecutivo para gestión.
Obligaciones para Operadores y Empresas de Envío Masivo
Operadores Móviles Tradicionales
Telcel, Movistar, AT&T y otros operadores deben implementar controles estrictos contra spam, suplantación y rutas grises. Obligados a colaborar en la investigación de colusión del IFT.
Responsabilidades específicas: Validación de remitentes, bloqueo de SMS fraudulentos, reporte de actividades sospechosas, mantenimiento de interconexión no discriminatoria.
Concesionarios Fijos y Mayoristas
Operadores de cable, fibra óptica y otros concesionarios fijos pueden ofrecer servicios SMS gracias a la LFTR. Deben cumplir con las mismas obligaciones de interconexión que operadores móviles.
Requisitos de entrada: Infraestructura técnica adecuada, acuerdos de interconexión con operadores móviles, cumplimiento de tarifas regulatorias de terminación.
Agregadores y Revendedores
Empresas como 402T Labs deben garantizar el cumplimiento normativo de sus clientes. Obligadas a implementar controles anti-spam y verificar consentimientos antes de autorizar envíos.
Obligaciones técnicas: Validación de identidad de clientes, integración con REPEP, controles de rutas grises, mantenimiento de registros de auditoría completos.
Empresas Extranjeras
Compañías extranjeras que envíen SMS a destinatarios mexicanos deben adaptar sus sistemas para cumplir con LFTR, NOM-184-SCFI y consultas al REPEP.
Consideraciones técnicas: Uso de proveedores mexicanos certificados, implementación de validaciones específicas para mercado mexicano, gestión diferenciada de consentimientos por jurisdicción.
Casos de Uso Prácticos y Ejemplos de Cumplimiento
Caso 1: Banco Mexicano - SMS Transaccionales y de Seguridad
Situación: Institución financiera envía códigos OTP para transacciones, alertas de seguridad y notificaciones de movimientos. Utiliza remitente alfanumérico con su marca registrada.
Cumplimiento requerido: Como comunicaciones necesarias para ejecutar servicios contratados, no requieren consentimiento adicional. Deben estar inscritas en el RAT de la AEPD por tratamiento de datos personales.
Adaptación 2026: Especial atención por riesgo de suplantación fraudulenta. Implementar redundancia con múltiples proveedores SMS y sistemas de verificación adicionales contra fraudes.
Aspectos técnicos: Validación automática de remitentes contra bases de entidades legítimas, sistemas de detección de anomalías, colaboración con operadores para bloqueo de intentos fraudulentos.
Caso 2: Comercio Electrónico Nacional - Promociones por SMS
Situación: Tienda online mexicana envía ofertas flash y recordatorios de carrito abandonado a su base de clientes registrados. Utiliza remitente alfanumérico con nombre comercial.
Cumplimiento requerido: Deben haber obtenido consentimiento expreso específico para SMS comerciales durante el registro de usuarios. Consulta obligatoria al REPEP antes de cada campaña promocional.
Adaptación 2026: Integración completa con REPEP, sistema de gestión de consentimientos, y controles anti-spam. Monitoreo continuo por posible investigación de colusión entre operadores.
Aspectos técnicos: API de consulta REPEP, base de datos segmentada por tipo de consentimiento, sistema de revocación automática, logging completo de operaciones.
Caso 3: Empresa Extranjera de E-commerce - Marketing a México
Situación: Compañía estadounidense de venta online envía SMS de ofertas a usuarios mexicanos que compraron previamente. Inicialmente utilizaba proveedores sin controles locales.
Cumplimiento requerido: Deben obtener consentimiento expreso para SMS comerciales y consultar REPEP. Como empresa extranjera, debe trabajar con proveedores mexicanos certificados.
Adaptación 2026: Cambio a proveedores locales con integración REPEP, implementación de controles específicos para mercado mexicano, y preparación para eventuales resoluciones de la investigación de colusión.
Aspectos técnicos: Geolocalización de destinatarios, aplicación de reglas mexicanas específicas, gestión de consentimientos diferenciada por país, proveedores certificados localmente.
Caso 4: Clínica Dental - Recordatorios y Confirmaciones
Situación: Consultorio médico envía recordatorios de citas por SMS a pacientes registrados. Utiliza su número telefónico real como remitente para que pacientes puedan confirmar reprogramando.
Cumplimiento requerido: Como comunicaciones transaccionales relacionadas con servicios médicos contratados, no requieren consentimiento adicional. Deben respetar preferencias de comunicación del paciente.
Adaptación 2026: Verificación de que el número utilizado pertenece efectivamente a la clínica. Implementar opciones para que pacientes opten por otros canales de comunicación si lo prefieren.
Aspectos técnicos: Validación de numeración asignada, sistema de gestión de preferencias de pacientes, integración con agenda médica, confirmación automática de asistencias.
Caso 5: Servicio de Delivery - Notificaciones Operativas
Situación: Plataforma de entregas envía SMS con estado de pedidos (en preparación, en ruta, entregado) utilizando remitente alfanumérico con su marca.
Cumplimiento requerido: Las notificaciones operativas relacionadas con pedidos en curso no requieren consentimiento, pero deben incluir opciones para gestionar preferencias de comunicación.
Adaptación 2026: Diferenciación clara entre notificaciones operativas (permitidas) y promocionales (requieren consentimiento). Preparación para cambios regulatorios derivados de investigación de colusión.
Aspectos técnicos: Sistema de gestión de preferencias por canal, separación automática de comunicaciones transaccionales vs comerciales, integración con API de seguimiento.
Caso 6: Asociación Civil - Campañas Informativas
Situación: ONG mexicana envía SMS informativos sobre campañas de donación a sus socios registrados. Utiliza remitente alfanumérico con nombre de la organización.
Cumplimiento requerido: Para socios existentes, puede enviar información sobre actividades similares. Debe consultar REPEP y respetar revocaciones de consentimiento.
Adaptación 2026: Registro cuidadoso de consentimientos, diferenciación entre información institucional y publicidad, cumplimiento con NOM-184-SCFI.
Aspectos técnicos: Base de datos segmentada por tipo de relación, sistema de gestión de bajas, reporting de impacto en campañas de sensibilización.
Buenas Prácticas para el Cumplimiento Normativo
Transparencia en Consentimientos
Utilizar formularios claros y específicos explicando qué comunicaciones se autorizan. Evitar consentimientos genéricos o marcados por defecto.
Mecanismos de Baja Efectivos
Implementar sistemas STOP/BAJA inmediatos y confiables. Procesar revocaciones en tiempo real y no contactar nuevamente al usuario.
Registros de Auditoría Detallados
Mantener registros completos de consentimientos, consultas REPEP, envíos realizados y verificaciones técnicas para demostrar cumplimiento.
Segmentación de Bases de Datos
Diferenciar claramente entre contactos con consentimiento para promocionales y aquellos que solo autorizan comunicaciones transaccionales.
Colaboración con Proveedores
Trabajar con proveedores certificados que cumplan con la regulación mexicana y mantengan altos estándares de control anti-spam.
Monitoreo Continuo del Cumplimiento
Implementar sistemas de alerta automática para detectar posibles incumplimientos o cambios regulatorios que afecten las operaciones.
Preguntas Frecuentes sobre Regulación SMS México 2026
Resolvemos las dudas más comunes sobre cumplimiento normativo
¿Qué implica la investigación de colusión entre operadores móviles?
El IFT investiga posibles prácticas anticompetitivas entre operadores móviles en el mercado A2P. Si se comprueba colusión, podría derivar en multas significativas, cambios en tarifas de interconexión y reordenamiento competitivo del sector SMS.
¿Es obligatorio consultar el REPEP antes de enviar SMS promocionales?
Sí, la NOM-184-SCFI y la gestión del REPEP por Profeco hacen obligatoria la consulta del registro antes de cualquier campaña de marketing directo por SMS. Los números inscritos no pueden ser contactados para fines promocionales.
¿Puedo enviar SMS promocionales sin consentimiento del destinatario?
No, la NOM-184-SCFI prohíbe expresamente el envío de SMS promocionales sin consentimiento expreso e informado del destinatario. Solo se permiten comunicaciones promocionales con autorización previa revocable.
¿Qué diferencia hay entre comunicaciones transaccionales y promocionales?
Las transaccionales son necesarias para ejecutar servicios contratados (códigos OTP, confirmaciones de pedido, alertas de seguridad) y no requieren consentimiento adicional. Las promocionales requieren consentimiento expreso y consulta al REPEP.
¿Las empresas extranjeras deben cumplir con la regulación mexicana?
Sí, cualquier empresa que envíe SMS a destinatarios mexicanos debe cumplir con LFTR, NOM-184-SCFI, consultas al REPEP y demás disposiciones mexicanas, independientemente de su ubicación geográfica.
¿Qué sanciones existen por incumplimiento?
Profeco puede imponer multas administrativas por violación a NOM-184-SCFI. El IFT puede sancionar incumplimientos a LFTR. Los usuarios afectados pueden demandar judicialmente por daños y perjuicios. En casos graves, posibles sanciones penales.
¿Cómo gestionar las revocaciones de consentimiento?
Debe existir un mecanismo sencillo y gratuito (STOP, BAJA, etc.) que procese la revocación inmediatamente. Una vez revocada, no se pueden enviar más SMS promocionales, aunque sí comunicaciones estrictamente transaccionales si son necesarias.
¿Qué documentación debo mantener para demostrar cumplimiento?
Registros de consentimientos obtenidos, consultas realizadas al REPEP, logs de envíos realizados, verificaciones de numeración, y procedimientos internos de cumplimiento implementados. Toda documentación debe mantenerse durante el plazo legal correspondiente.
¿Cómo afectan las rutas grises a mi negocio?
Las rutas grises permiten eludir la interconexión regulada y controles anti-spam, pero son ilegales bajo LFTR. Su uso puede derivar en bloqueos por parte de operadores, sanciones regulatorias, y pérdida de entregabilidad de SMS legítimos.
¿Qué cambios se esperan con la nueva Agencia Reguladora?
Se espera continuidad en las políticas de competencia y protección al usuario. La investigación de colusión en curso continuará bajo la nueva agencia. Posible evolución hacia regulación más específica para SMS A2P y nuevas tecnologías como RCS.
¿Necesitas ayuda con cumplimiento normativo en México?
Nuestro equipo experto te ayuda a adaptar tu estrategia SMS a LFTR, NOM-184-SCFI y REPEP.