Delito de estafa

Phishing: cómo funciona esta estafa digital y cómo actuar si eres víctima

Posted on by Calonge Asociados

El phishing es una de las estafas digitales más extendidas en España y sigue evolucionando con técnicas cada vez más sofisticadas. Mediante suplantaciones de identidad, los ciberdelincuentes consiguen que las víctimas entreguen voluntariamente sus datos personales, bancarios o credenciales de acceso, lo que puede desembocar en pérdidas económicas o robos de identidad. En muchos casos, el fraude se consuma sin que la víctima llegue a ser plenamente consciente de lo ocurrido hasta que detecta movimientos no autorizados o pierde el control de sus cuentas.

En este artículo vamos a explicarte cómo funciona el phishing, qué implicaciones legales tiene y cómo debes actuar si lo has sufrido.

Además, si te interesa conocer otras formas de fraude online y cómo denunciarlas, te recomendamos leer también nuestro artículo “Estafas por internet: cómo denunciarlas y qué pruebas reunir”.

¿Qué es el phishing y cómo se ejecuta esta estafa?

El término “phishing” proviene del inglés y alude a la acción de “pescar” a la víctima. Se trata de una técnica de ingeniería social mediante la cual un atacante suplanta la identidad de una empresa, entidad pública o persona de confianza para engañar al usuario y obtener datos confidenciales. Aunque los canales más habituales son el correo electrónico, los SMS o las llamadas telefónicas, los fraudes también se cometen a través de redes sociales, códigos QR (quishing) o incluso redes WiFi públicas (Evil Twin).

Un correo de phishing típico puede presentarse como una alerta bancaria, una notificación de paquete, una devolución de Hacienda o una multa pendiente. La víctima, bajo presión o urgencia emocional, sigue el enlace que se le proporciona o responde al mensaje facilitando información sensible. En muchas ocasiones, el fraude se detecta cuando ya se han producido movimientos bancarios no autorizados o accesos indebidos a cuentas personales.

Por ejemplo, el estafador puede enviar un correo que simula proceder de tu banco, indicando que ha habido un problema con tu cuenta y que debes actualizar tus datos. El mensaje incluye un enlace que redirige a una página web idéntica a la del banco, donde la víctima introduce sus credenciales de acceso, sin saber que está entregándolas directamente al estafador.

Una vez que el delincuente obtiene las claves, puede:

  • Realizar transferencias bancarias no autorizadas.
  • Solicitar créditos en nombre de la víctima.
  • Acceder a plataformas y suplantar su identidad.
  • Comercializar los datos robados en la web oscura.

Los distintos tipos de phishing: conoce sus variantes

Aunque el mecanismo base del phishing es común, existen múltiples formas adaptadas al canal o al perfil de la víctima. Entre las más relevantes se encuentran:

  • Email phishing: el más habitual. Los atacantes envían correos masivos suplantando a entidades conocidas. Suelen incluir enlaces a páginas falsas o archivos infectados.
  • Spear phishing: es más elaborado y se dirige a objetivos concretos. Se basa en información personalizada sobre la víctima para aumentar su eficacia.
  • Smishing: estafas a través de SMS que inducen a hacer clic en enlaces maliciosos.
  • Vishing: llamadas fraudulentas, a menudo usando técnicas de spoofing para aparentar que proceden del banco o una autoridad pública.
  • Whaling: ataques dirigidos a directivos o cargos de alta responsabilidad con el fin de obtener acceso a datos sensibles de la empresa.
  • Evil Twin: redes WiFi públicas falsas que interceptan la conexión del usuario y capturan sus datos.
  • Quishing: engaño a través de códigos QR, cada vez más frecuente en campañas que simulan promociones, descuentos o comunicaciones oficiales.

Además, se están expandiendo otras técnicas como el pharming (modificación del tráfico web legítimo hacia sitios falsificados) y el phishing en redes sociales o motores de búsqueda, donde los ciberdelincuentes crean páginas que simulan ser tiendas, bancos o instituciones para aparecer en primeros resultados.

¿Qué dice la ley sobre el phishing?

En España, el phishing constituye un delito de estafa, conforme a los artículos 248 y 249 del Código Penal (CP), cuando, con ánimo de lucro, se utiliza manipulación informática o artificios semejantes para producir un error en otro que le lleve a realizar un acto de disposición patrimonial en perjuicio propio o ajeno.

Asimismo, puede suponer un delito de descubrimiento y revelación de secretos (artículo 197 del CP) cuando se accede a datos personales protegidos sin consentimiento.

¿Qué hacer si has sido víctima de phishing?

1. Reúne y conserva todas las pruebas

Es fundamental guardar capturas de pantalla de correos, SMS, notificaciones o webs falsas, así como descargar los correos en su formato original (.eml o .msg) para conservar los metadatos. También debes guardar justificantes de pagos, extractos bancarios, registros de llamadas…

Si facilitaste datos a través de una web falsa, intenta recuperar la URL exacta. Puedes utilizar el historial de navegación de tu dispositivo.

2. Notifica a tu banco de inmediato

Según el artículo 43 del Real Decreto-ley 19/2018, el usuario debe comunicar a la entidad financiera cualquier operación fraudulenta “sin demora injustificada”, y en todo caso antes de 13 meses. Cuanto antes se actúe, más fácil será recuperar el dinero o evitar transferencias adicionales.

Algunas entidades pueden bloquear operaciones sospechosas o iniciar los trámites para recuperar los fondos.

Si la estafa está relacionada con un operador telefónico, servicio digital o plataforma, también debes notificarles para evitar un mayor perjuicio y para que puedan ayudarte a cerrar o recuperar la cuenta afectada.

3. Cambia tus contraseñas

Modifica inmediatamente las claves de acceso a tu banca online y a cualquier plataforma afectada. Además, realiza un análisis completo del sistema con un antivirus actualizado y valora restablecer el dispositivo si se ha instalado malware.

4. Presenta una denuncia 

Puedes hacerlo en la Policía Nacional, Guardia Civil o Juzgado de Guardia. No es necesario conocer la identidad del estafador, pero sí es fundamental relatar con precisión los hechos y aportar todas las pruebas.

En la denuncia deben constar:

  • Fecha y hora de los hechos.
  • Descripción del mensaje fraudulento recibido.
  • Datos de las cuentas afectadas.
  • Pruebas documentales (capturas, correos, movimientos bancarios).

La interposición de una denuncia permitirá a las autoridades iniciar una investigación de lo sucedido.

5. Consulta con un abogado especializado en delitos informáticos

El asesoramiento legal es fundamental para ejercer acciones judiciales o extrajudiciales y proteger tus derechos. Un abogado puede ayudarte a:

  • Reclamar judicialmente la devolución del dinero sustraído.
  • Solicitar medidas cautelares.
  • Responsabilizar civilmente al banco si no ha actuado con la debida diligencia (por ejemplo, si ha autorizado operaciones sin los mecanismos de autenticación reforzada exigidos por la normativa PSD2).

¿Quién es responsable si el fraude ocurre desde una app bancaria?

Uno de los supuestos más habituales es el phishing bancario, cuando los delincuentes obtienen credenciales de acceso y realizan operaciones desde la app de la víctima.

En este punto, la Directiva PSD2 y su transposición al ordenamiento español mediante el Real Decreto-ley 19/2018, de servicios de pago, establece una doble responsabilidad:

  • El usuario debe proteger sus claves y no actuar con negligencia grave.
  • El banco debe garantizar sistemas de autenticación reforzada y seguridad del servicio.

Si el banco no puede demostrar que el usuario actuó con negligencia grave, deberá reembolsar el importe de la operación. Por tanto, si actuaste diligentemente, puedes reclamar la devolución del dinero.

¿Qué puede hacer una empresa si sufre un ataque de phishing?

El phishing no afecta solo a usuarios particulares. Cada vez más empresas sufren este tipo de ataques, que suelen adoptar formas como:

  • Correos simulando ser de proveedores con instrucciones falsas de pago.
  • Suplantación del CEO o director financiero para ordenar transferencias urgentes.
  • Acceso a cuentas de correo corporativas para manipular facturas.

Este fenómeno, conocido como Business Email Compromise (BEC), puede ocasionar graves pérdidas económicas y afectar a la responsabilidad de los directivos si no se ha aplicado un protocolo adecuado.

Las empresas víctimas pueden ejercer acciones penales como perjudicadas, reclamar judicialmente las cantidades perdidas e incluso pedir responsabilidades a su entidad bancaria o a sus propios empleados, si existió imprudencia profesional.

Por eso, es imprescindible que las compañías adopten políticas de ciberseguridad, formen a su personal en detección de fraudes y documenten sus procesos de pago y verificación.

Recomendaciones para prevenir el phishing

La mejor defensa ante el phishing es la prevención. Te recomendamos:

  • Nunca compartas tus claves o PIN por email o teléfono.
  • Verifica la dirección del remitente y desconfía de urgencias o amenazas inusuales.
  • Evita conectarte a redes WiFi públicas para operaciones sensibles.
  • No accedas a enlaces desde correos o SMS sospechosos: es preferible escribir directamente la URL de la entidad en el navegador.
  • Activa siempre la verificación en dos pasos cuando esté disponible.
  • En el caso de empresas, incluye cláusulas específicas sobre ciberseguridad en los contratos con proveedores y aplica protocolos internos rigurosos.

 

En conclusión, el phishing no es una amenaza abstracta: es una realidad diaria que puede afectar tanto a particulares como a empresas, con consecuencias económicas, legales y reputacionales graves. A través del engaño y la suplantación, los delincuentes aprovechan la confianza del usuario para obtener sus datos y acceder a su patrimonio.

La buena noticia es que la ley te protege. En España, el phishing está tipificado como delito de estafa informática y puede conllevar importantes responsabilidades penales y civiles. Si actúas con diligencia, puedes recuperar tu dinero, exigir responsabilidades al banco y frenar los efectos de la estafa.

Actuar con rapidez es esencial: recoge pruebas, notifica a tu entidad bancaria, presenta denuncia y busca asesoramiento jurídico. Un abogado especializado puede ayudarte a ejercer tus derechos, reclamar daños y evitar que el fraude quede impune.

Y recuerda: la mejor defensa es la prevención. Desconfía de los mensajes alarmantes, verifica siempre los remitentes, activa sistemas de verificación en dos pasos y forma parte de una cultura digital crítica y segura.