Skip to main content
Prueba Lexiel gratisProbar ahora →
Ciberdelitos en España: phishing, estafas online y como denunciar con pruebas digitales
Guías prácticas13 minEquipo Lexiel

Ciberdelitos en España: phishing, estafas online y como denunciar con pruebas digitales

Guía sobre ciberdelitos en España: phishing, estafas informáticas (arts. 248-249 CP), suplantación de identidad, como denunciar, preservar pruebas digitales y jurisprudencia clave.

ciberdelitosphishingestafa informáticacódigo penalprueba digitaldenunciasuplantación identidad

Ciberdelitos en España: un fenomeno en auge

Los ciberdelitos han experimentado un crecimiento exponencial en España. Según datos del Ministerio del Interior, los delitos informáticos representan ya más del 16% del total de infracciones penales registradas, con más de 375.000 procedimientos en 2024. Esta guía analiza los principales tipos delictivos, su regulación penal, los mecanismos de denuncia y la crucial cuestión de la preservación de la prueba digital.

Estafa informática: arts. 248 y 249 del Código Penal

La estafa informática es el ciberdelito más frecuente en España. El art. 248 CP define la estafa como la obtención de un beneficio patrimonial ilícito mediante engano bastante, y su apartado 2 extiende la tipicidad a las manipulaciones informáticas.

#### Art. 248.2 CP: estafa informática en sentido estricto

El art. 248.2 CP tipifica como estafa la conducta de quiénes, con animo de lucro y valiendose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.

Elementos del tipo:

  • Manipulación informática: Cualquier intervención en el proceso de elaboración electrónica de datos (phishing, pharming, skimming, malware bancario).
  • Animo de lucro: Intención de obtener un beneficio patrimonial.
  • Transferencia patrimonial: Movimiento de fondos o activos sin consentimiento del titular.
  • Perjuicio de tercero: Daño patrimonial efectivo.

#### Penas aplicables (art. 249 CP)

La estafa se castiga con penas de prisión de seis meses a tres años, graduadas en función de la cuantía defraudada, los medios empleados y la relación entre víctima y autor. Si la cuantía no excede de 400 EUR, se califica como delito leve (art. 249.2 CP) con pena de multa de uno a tres meses.

Circunstancias agravantes (art. 250 CP):

  • Cuantía superior a 50.000 EUR o que afecte a un elevado número de personas.
  • Abuso de las relaciones personales existentes entre víctima y defraudador.
  • Utilización de medios que dificulten la identificación del autor.
  • Estafa sobre bienes de primera necesidad, viviendas u otros bienes de reconocida utilidad social.

Phishing: la estafa más común en el entorno digital

El phishing consiste en la suplantación de la identidad de una entidad de confianza (banco, administración pública, empresa de servicios) para obtener credenciales de acceso, datos bancarios o información personal de la víctima.

#### Modalidades de phishing

  • Phishing clásico por email: Correos electrónicos que replican la apariencia de entidades bancarias o administraciones, con enlaces a páginas web fraudulentas.
  • Smishing: Phishing a través de SMS. Muy frecuente con falsos avisos de Correos, Hacienda o entidades bancarias.
  • Vishing: Phishing por llamada telefónica, donde el estafador se hace pasar por un operador del banco o una autoridad.
  • Spear phishing: Ataques dirigidos a personas concretas con información personalizada, especialmente peligrosos en el ámbito empresarial.
  • Pharming: Redirección del tráfico web legítimo a páginas fraudulentas mediante manipulación de DNS o del archivo hosts.

#### Responsabilidad de las entidades bancarias

La jurisprudencia española ha establecido que las entidades bancarias tienen una obligación cuasi objetiva de garantizar la seguridad de los medios de pago electrónico. El Real Decreto-ley 19/2018 (transposición de la Directiva PSD2) obliga al proveedor de servicios de pago a devolver el importe de las operaciones no autorizadas, salvo que pruebe negligencia grave del usuario (art. 44).

La STS 317/2023 (Sala 1ª) confirmo que la entidad bancaria responde de las transferencias realizadas mediante phishing cuando no ha implementado la autenticación reforzada de clientes (SCA) exigida por la PSD2, trasladando la carga de la prueba al banco para demostrar que el usuario actuo con negligencia grave.

Suplantación de identidad digital

La suplantación de identidad en el ámbito digital puede encuadrarse en diferentes tipos penales:

#### Usurpación del estado civil (art. 401 CP)

El que usurpare el estado civil de otro será castigado con pena de prisión de seis meses a tres años. Este tipo es aplicable cuando alguien asume completamente la identidad de otra persona (nombre, DNI, firma) en el entorno digital.

#### Descubrimiento y revelación de secretos (art. 197 CP)

El acceso no autorizado a cuentas de correo electrónico, redes sociales o servicios en la nube constituye un delito contra la intimidad del art. 197 CP, castigado con prisión de uno a cuatro años. Si se difunden los datos obtenidos, la pena asciende a prisión de dos a cinco años (art. 197.3 CP).

#### Falsificación de documentos (arts. 390-400 CP)

La creación de documentos digitales falsos (certificados, contratos, facturas) o la alteración de documentos autenticos constituye falsedad documental, con penas de prisión de seis meses a tres años (falsedad en documento privado, art. 395 CP) o de tres a seis años (falsedad en documento público, art. 390 CP).

Otros ciberdelitos relevantes

#### Acceso ilícito a sistemas informáticos (art. 197 bis CP)

El acceso no autorizado a un sistema informático o su parte, vulnerando las medidas de seguridad establecidas, se castiga con prisión de seis meses a dos años. Si se accede a datos especialmente protegidos (secretos de empresa, datos personales sensibles), la pena se agrava.

#### Daños informáticos (art. 264 CP)

La destrucción, alteración o inutilización de datos, programas informáticos o documentos electrónicos ajenos se castiga con pena de prisión de seis meses a tres años. Si el ataque afecta a infraestructuras críticas, la pena es de tres a ocho años (art. 264 bis CP).

#### Estafa de inversiones online

La captación de inversores mediante plataformas fraudulentas de trading, criptomonedas o esquemas piramidales se tipifica como estafa agravada del art. 250 CP, especialmente cuando afecta a un número elevado de víctimas.

Como denunciar un ciberdelito

#### Ante quien denunciar

  • Policía Nacional: Brigada Central de Investigación Tecnológica (BCIT). Se puede denunciar online a través de la web del Cuerpo Nacional de Policía.

  • Guardia Civil: Grupo de Delitos Telematicos (GDT). Acepta denuncias presenciales y colabora con investigaciones internacionales.
  • Tribunal de Instancia de Instrucción: Mediante querella con asistencia letrada. Recomendable en estafas de cuantía elevada.
  • INCIBE (Instituto Nacional de Ciberseguridad): Atención al ciudadano en el teléfono 017 y a través de su web. No es un órgano de denuncia penal, pero asesora y canaliza.

#### Documentación necesaria

Para que la denuncia sea efectiva, debe acompanarse de la mayor cantidad de pruebas posible:

  • Capturas de pantalla de correos, mensajes o páginas web fraudulentas.

  • Extractos bancarios con las operaciones no autorizadas.
  • Registro de llamadas (si aplica vishing).
  • URLs completas de las páginas fraudulentas.
  • Cabeceras completas de correos electrónicos (para rastrear la IP de origen).
  • Cualquier comunicación con el estafador.

Preservación de pruebas digitales

La prueba digital es frágil y facilmente alterable. Su correcta preservación es determinante para el éxito del procedimiento penal.

#### Acta notarial de contenido web

El notario puede levantar acta de presencia del contenido de una página web, correo electrónico o conversación digital en un momento determinado. Este mecanismo proporciona fe pública al contenido, dotandolo de pleno valor probatorio.

#### Hash y cadena de custodia

Los archivos digitales deben preservarse con su hash criptográfico (SHA-256 o similar) para garantizar que no han sido alterados. La cadena de custodia digital debe documentar quien ha tenido acceso al archivo, cuando y en que condiciones.

#### Volcado forense de dispositivos

En casos complejos, un perito informático puede realizar un volcado forense del dispositivo (teléfono, ordenador) utilizando herramientas como EnCase o FTK, preservando una imagen bit a bit del soporte con su hash correspondiente.

Lexiel y los ciberdelitos

Lexiel AI permite a los abogados penalistas buscar jurisprudencia actualizada sobre ciberdelitos en CENDOJ, filtrar por tipo delictivo (phishing, ransomware, estafa de inversiones), cuantía defraudada o circunstancias agravantes. Su motor de búsqueda semántica facilita encontrar sentencias relevantes sobre admisibilidad de prueba digital, responsabilidad de entidades bancarias y autenticación reforzada, cuestiones que evolucionan rápidamente y requieren un acceso eficiente a la última doctrina.

Preguntas frecuentes

¿Cuánto tiempo tengo para denunciar una estafa informática?

La estafa básica prescribe a los cinco años (art. 131.1 CP) y la estafa agravada del art. 250 CP a los diez años. El delito leve de estafa (cuantía inferior a 400 EUR) prescribe al año. El plazo se computa desde la comisión del hecho o desde que se tiene conocimiento del mismo.

¿?Puede el banco devolverme el dinero si soy víctima de phishing?

Sí. El RD-ley 19/2018 obliga al banco a devolver el importe de operaciones no autorizadas salvo que demuestre negligencia grave del usuario. La jurisprudencia reciente (STS 317/2023) refuerza esta obligación, especialmente si el banco no implemento la autenticación reforzada (SCA).

¿?Las capturas de pantalla sirven como prueba en juicio?

Sí, pero su valor probatorio es limitado si no están corroboradas por otros medios. Un acta notarial de contenido web o un informe pericial informático proporcionan mayor solidez probatoria.

¿Qué hago si suplantan mi identidad en redes sociales?

Denuncie ante la Policía Nacional o la Guardia Civil aportando capturas de pantalla del perfil falso. Simultáneamente, reporte el perfil a la plataforma (Instagram, Facebook, X) para su eliminación. Si se utilizan sus datos para cometer delitos, la denuncia debe incluir una querella específica.

¿?Es delito el hacking ético o las pruebas de penetración?

El acceso no autorizado a sistemas informáticos es delito (art. 197 bis CP) independientemente de la intención. Las pruebas de penetración solo son legales cuando se realizan con autorización expresa del titular del sistema (contrato de pentesting). El "hacking ético" sin autorización no exime de responsabilidad penal.

¿?Puedo reclamar indemnización a la empresa que sufrio la brecha de datos?

Sí, conforme al RGPD y la LOPDGDD, puede ejercer una acción de responsabilidad civil contra el responsable del tratamiento que no implemento medidas de seguridad adecuadas. La cuantía depende del daño sufrido (patrimonial y moral).

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.