AEPD sanciona con 2.000 euros a un particular por difundir deepfakes

Esta sanción de 2.000 euros marca un precedente importante que analizo desde mi perspectiva como perito forense especializado en deepfakes. La Agencia Española de Protección de Datos (AEPD) ha sancionado a un particular por distribuir imagenes falsas generadas con inteligencia artificial, confirmando que el RGPD es una herramienta real y operativa contra los deepfakes en España [1]. La multa se redujo a 1.200 euros por pago voluntario anticipado, pero la cuantia es lo de menos: lo que importa es el mensaje jurídico que envia.

Llevamos meses viendo como la AEPD iba construyendo doctrina en esta materia. Primero fue la resolución PS-00132-2025 por deepfakes intimos, y ahora esta nueva sanción amplia el alcance: ya no hablamos solo de imagenes de contenido sexual, sino de cualquier imagen falsa generada con IA que permita identificar a una persona. Como perito informático forense, veo en esta resolución una senal clara de lo que viene en los próximos meses.

Que ha ocurrido: los hechos de la sanción

La AEPD ha impuesto una multa de 2.000 euros a un individuo por distribuir imagenes falsas generadas mediante herramientas de inteligencia artificial [1]. El infractor utilizo aplicaciones de generacion de imagenes basadas en redes generativas adversariales (GANs) para crear y difundir imagenes manipuladas que representaban a personas identificables en situaciones ficticias.

La sanción se fundamenta en el mismo razonamiento que la AEPD viene aplicando desde la resolución PS-00132-2025: las imagenes generadas por IA constituyen datos personales cuando permiten identificar a la persona representada. Su creacion y distribucion sin consentimiento supone un tratamiento ilícito conforme al art. 6.1 del RGPD.

Los detalles del expediente sancionador

El expediente revela varios elementos que como perito considero relevantes para entender el alcance de esta resolución. El infractor no era un profesional de la tecnología ni un experto en inteligencia artificial. Era un usuario común que utilizo herramientas comerciales de generacion de imagenes accesibles para cualquier persona con un teléfono móvil. Este detalle es fundamental porque demuestra que la AEPD no distingue entre el nivel técnico del infractor: si generas y distribuyes deepfakes, respondes independientemente de tus conocimientos.

Las imagenes se distribuyeron a traves de aplicaciones de mensajeria y redes sociales. La víctima identifico las imagenes falsas y presento una reclamación ante la AEPD aportando las imagenes originales (autenticas) y las generadas (falsas). La AEPD solicito al infractor que acreditara una base de licitud para el tratamiento de los datos personales de la víctima (su imagen), y al no poder hacerlo, impuso la sanción.

Lo que no aparece en la resolución pero que es relevante desde el punto de vista pericial: la víctima no aporto un informe pericial forense. La comparación visual entre las imagenes originales y las falsas fue suficiente para que la AEPD concluyera que se trataba de deepfakes. Sin embargo, en casos más complejos donde las imagenes sinteticas sean de mayor calidad o donde el infractor niegue la autoria, el peritaje será imprescindible.

La reduccion por pago voluntario

La multa se redujo a 1.200 euros mediante el mecanismo de pago voluntario con reduccion del 20% previsto en la LOPDGDD [9]. Este mecanismo incentiva la resolución rápida de expedientes, pero tiene una consecuencia que muchos pasan por alto: el pago voluntario implica el reconocimiento de la infracción, lo que puede tener efectos en procedimientos civiles o penales posteriores.

En mi experiencia asesorando a abogados en casos de evidencia digital, este detalle es fundamental en la estrategia procesal. El reconocimiento administrativo de los hechos puede utilizarse como prueba documental en una demanda civil por daños y perjuicios, facilitando enormemente la carga probatoria de la víctima.

El mecanismo de reduccion al detalle

Es importante entender como funciona exactamente el mecanismo de reduccion porque afecta a la estrategia de defensa:

En este caso, el infractor se acogio solo al pago voluntario (20%), reduciendo la multa de 2.000 a 1.600 euros. Lo interesante es que al no reconocer expresamente la responsabilidad, mantiene abierta la posibilidad de argumentar en un eventual procedimiento civil que “solo pago para evitar problemas”, aunque esta linea de defensa tiene un recorrido muy limitado ante un juez que vera la resolución firme de la AEPD.

Por que esta sanción es diferente a la anterior

En noviembre de 2025, la AEPD ya habia sancionado la creacion de deepfakes intimos con IA. Aquella resolución se circunscribia a imagenes de contenido sexual explicito. Esta nueva sanción amplia el ámbito de aplicación de forma significativa.

La diferencia es sutil pero crucial, y tiene implicaciones directas para el trabajo pericial. La AEPD ya no limita su actuación a deepfakes de contenido sexual. Cualquier imagen falsa generada con IA que represente a una persona identificable sin su consentimiento puede dar lugar a una sanción. El abanico de situaciones sancionables se amplia considerablemente y ahora incluye:

• Imagenes que situan a una persona en un lugar donde nunca estuvo
• Montajes que atribuyen declaraciones o gestos falsos a una persona
• Manipulaciones que danan la reputacion profesional o personal
• Videos sinteticos utilizados en campanas de desinformacion o manipulación electoral
• Imagenes generadas para perfiles falsos en redes sociales o aplicaciones de citas
• Contenido visual fabricado para desacreditar a un competidor comercial
• Imagenes que atribuyen a una persona la pertenencia a una ideologia, religion o grupo politico
• Montajes que falsean la presencia de una persona en eventos comprometidos
• Videos deepfake que manipulan declaraciones públicas de una persona
• Imagenes generadas para acosar o amedrentar a la víctima en contextos laborales o escolares

Anatomia de un deepfake: como se crean y por que importa para el peritaje

Para entender como detecto deepfakes, es necesario explicar brevemente como se crean. Este conocimiento técnico es lo que me permite identificar los rastros que dejan las herramientas de generacion.

Generacion basada en GANs (redes generativas adversariales)

Las GANs funcionan con dos redes neuronales que compiten entre si: un generador que crea imagenes sinteticas y un discriminador que intenta distinguir las sinteticas de las reales. El entrenamiento continuo mejora la calidad del generador, pero nunca alcanza la perfección. Los artefactos que persisten son los que detecto en mis análisis forenses.

Las herramientas más utilizadas para crear deepfakes faciales en 2026 son:

Generacion basada en modelos de difusion

Los modelos de difusion (Stable Diffusion, DALL-E, Midjourney) funcionan de forma diferente a las GANs: parten de ruido aleatorio y lo refinan progresivamente hasta generar una imagen coherente. Producen artefactos distintos a los de las GANs, lo que requiere técnicas de detección específicas. En particular, los modelos de difusion tienden a generar texturas excesivamente uniformes en areas que en la realidad presentan variaciones naturales (piel, pelo, tela), y esta uniformidad artificial es detectable mediante análisis frecuencial.

El pipeline de creacion que veo en mis peritajes

En los casos que he analizado, el proceso típico de creacion de un deepfake sigue este patrón:

Lo que detecto como perito forense en estos casos

En mis peritajes de autenticidad multimedia, detecto deepfakes con herramientas de análisis de formantes, metadatos y consistencia visual que permiten determinar si una imagen ha sido generada o manipulada con IA. Es un campo que evoluciona cada trimestre: las herramientas de generacion mejoran, pero también lo hacen las técnicas de detección forense.

Lo que puedo afirmar con certeza es que, a día de hoy, ninguna herramienta de generacion de imagenes produce resultados perfectos. Todas dejan rastros, aunque algunos solo son detectables con instrumental especializado. El proceso forense que aplico sigue una metodología estructurada.

Los 5 indicadores forenses clave con Praat e iZotope

Cuando analizo deepfakes que incluyen audio (videos sinteticos, suplantacion de voz), aplico un protocolo específico con herramientas de análisis acustico profesional:

En mi experiencia, la combinacion de análisis de formantes con Praat y análisis espectral con iZotope RX permite identificar deepfakes de audio con una precision superior al 90% en la mayoria de los casos. Los deepfakes de última generacion (creados con herramientas como ElevenLabs o Resemble AI) presentan mayor dificultad, pero aun dejan rastros detectables en el análisis de formantes de alta resolución.

Herramientas completas que utilizo en peritajes de deepfakes

El AI Act y sus implicaciones para los deepfakes en España

El Reglamento Europeo de Inteligencia Artificial (AI Act, Reglamento UE 2024/1689) entra en aplicación progresiva en 2026 y tiene implicaciones directas para los deepfakes [6]. Este reglamento complementa al RGPD y crea un marco regulatorio adicional que amplifica las consecuencias de generar y distribuir contenido sintetico.

Obligaciones específicas del AI Act para deepfakes

El artículo 50 del AI Act establece obligaciones de transparencia para los proveedores y usuarios de sistemás de IA que generan contenido sintetico:

La doble via: RGPD + AI Act

A partir de agosto de 2026, una persona que cree y distribuya un deepfake sin etiquetar podrá enfrentarse a sanciones por dos vias simultaneas:

1. Via RGPD (AEPD): Tratamiento ilícito de datos personales. Sanciones de hasta 20M euros o 4% de la facturacion
2. Via AI Act (AESIA/autoridad competente): Falta de transparencia en contenido generado por IA. Sanciones de hasta 15M euros o 3% de la facturacion

La AESIA (Agencia Española de Supervision de la Inteligencia Artificial), creada en diciembre de 2023 con sede en A Coruna, será la autoridad competente para supervisar el cumplimiento del AI Act en España. Su coordinacion con la AEPD determinara como se gestionan los casos que afecten simultaneamente al RGPD y al AI Act.

Para los peritos forenses, esto significa que los informes periciales sobre deepfakes deberán incluir no solo la verificación de autenticidad, sino también la comprobacion de si el contenido incluia las etiquetas y metadatos de procedencia exigidos por el AI Act. Un nuevo campo de trabajo que requiere actualizacion constante.

Las implicaciones para empresas y profesionales

Esta sanción no solo afecta a particulares. Las empresas deben prestar atencion porque el uso de imagenes generadas con IA en contextos comerciales, publicitarios o internos esta sujeto a las mismás reglas.

Riesgos concretos para empresas

Campanas de marketing con IA generativa: si una empresa utiliza herramientas de IA para generar imagenes de personas (aunque sean ficticias pero parezcan reales), y esas imagenes se confunden con personas reales, podría enfrentarse a una sanción por tratamiento ilícito de datos personales.

Deepfakes en fraude corporativo: los ataques de ingenieria social con deepfakes de voz y video estan creciendo exponencialmente. En 2025, se documentaron estafas de hasta 25 millones de dolares utilizando videoconferencias con deepfakes de directivos [3]. Si una empresa no puede demostrar que tomo medidas razonables para detectar el fraude, la AEPD podría considerar que no cumplio con sus obligaciones de seguridad del tratamiento (art. 32 RGPD).

Deepfakes de empleados: la generacion de imagenes falsas de empleados (por ejemplo, en contextos difamatorios o de acoso laboral) es ahora sancionable por via administrativa. Las empresas tienen la obligación de actuar cuando detectan este tipo de situaciones en su entorno laboral.

Suplantacion de identidad corporativa: un riesgo emergente que veo cada vez más en mis peritajes es el uso de deepfakes para suplantar la identidad de una empresa o sus directivos en redes sociales. Perfiles falsos con imagenes generadas por IA que se hacen pasar por ejecutivos de la empresa para captar clientes, socios o inversores.

Uso en procesos de selección y RRHH: un caso emergente que empiezo a ver es el uso de IA generativa para crear CVs con fotos falsas, videos de presentación deepfake e incluso entrevistas realizadas con asistencia de IA en tiempo real. Las empresas que descubran estos engaños tienen la opcion de denunciar ante la AEPD además de las acciones laborales correspondientes.

El coste real de un incidente de deepfake para una empresa

Que debe hacer una empresa ahora mismo

El marco sancionador completo: más alla de los 2.000 euros

La sanción de 2.000 euros corresponde a una infracción leve del RGPD. Pero el abanico sancionador es mucho más amplio, y la AEPD puede escalar las multas en función de la gravedad.

A esto se suma el nuevo art. 173 bis del Código Penal (aprobado en marzo de 2025), que establece penas de 1 a 2 años de prision por la creacion y distribucion de deepfakes sexuales [4]. La combinacion de via administrativa (AEPD) y penal (fiscalia) crea un marco de doble persecucion que no existia hace un año.

Ademas, hay que tener en cuenta la responsabilidad civil. La víctima puede reclamar una indemnizacion por daños y perjuicios que, en función del alcance de la difusion y el daño reputacional acreditado, puede superar ampliamente la cuantia de la sanción administrativa. En casos con difusion masiva en redes sociales, las indemnizaciones civiles por daño moral estan oscilando entre 6.000 y 60.000 euros según la jurisprudencia reciente de las Audiencias Provinciales.

Las tres vias de persecucion combinadas

La víctima puede ejercitar las tres vias de forma simultanea. La estrategia optima depende de cada caso: la via administrativa es la más rápida (6-12 meses), la penal es la más contundente pero lenta (1-3 años), y la civil es la que puede reportar mayor compensación económica.

Comparativa internacional: como actuan otras autoridades

La AEPD no esta sola en la persecucion de deepfakes. Una comparativa con las principales autoridades de protección de datos revela tendencias convergentes pero con matices importantes:

Lecciones de otras jurisdicciones

Francia (CNIL): La autoridad francesa ha sido la más activa en la UE, con 3 sanciones en 18 meses. Su enfoque combina el RGPD con el derecho a la imagen (droit a l’image), lo que permite sancionar deepfakes incluso cuando no se utilizan datos biometricos. La CNIL ha publicado una guía específica sobre deepfakes y protección de datos que la AEPD podría adoptar como referencia [11].

Estados Unidos (FTC): La Federal Trade Commission ha utilizado la Section 5 del FTC Act (prácticas comerciales desleales) para perseguir el uso de deepfakes en publicidad engañosa y fraude al consumidor. Las multas han oscilado entre 100.000 y 5 millones de dolares. El enfoque estadounidense es más centrado en el daño económico que en la protección de datos personales [12].

Italia (Garante): El Garante per la protezione dei dati personali ha sido especialmente activo contra deepfakes de menores y contenido sexual no consentido, con 4 sanciones en 18 meses. Su enfoque incluye la posibilidad de ordenar la retirada inmediata del contenido, algo que la AEPD también puede hacer pero que todavia no ha aplicado en casos de deepfakes [14].

Mis 5 predicciones profesionales para 2026

Mi prediccion profesional: en 2026 veremos muchas más sanciones de este tipo. Los expertos en protección de datos ya advierten que las sanciones relacionadas con IA son inminentes y se multiplicaran conforme la AEPD consolide su doctrina [2].

Primera: accesibilidad total de las herramientas. Las herramientas de generacion de deepfakes son cada vez más accesibles. Aplicaciones gratuitas como FaceSwap, Reface o las funciones integradas en Telegram permiten crear imagenes falsas convincentes en minutos, sin conocimientos técnicos. La barrera de entrada ha desaparecido por completo. Estimo que a finales de 2026, el 30-40% de la poblacion con smartphone habrá utilizado al menos una vez una herramienta de generacion de imagenes con IA.

Segunda: voluntad de la AEPD demostrada. La AEPD ha demostrado voluntad de actuar. Dos sanciones en cuatro meses (noviembre 2025 y febrero 2026) no son casualidad. Es una linea de actuación deliberada que va a continuar y probablemente a acelerarse conforme la unidad tecnologica de la AEPD refuerce su capacidad de investigación.

Tercera: el AI Act como acelerador. El AI Act europeo entra en aplicación progresiva en 2026 y exige que todo contenido generado por IA sea etiquetado como tal. El incumplimiento generara una nueva oleada de sanciones que se sumara a las del RGPD. La AESIA ya esta operativa y coordinando con la AEPD.

Cuarta: la jurisprudencia se autoconstruye. Cada nueva resolución de la AEPD reduce la incertidumbre jurídica y facilita que las víctimás denuncien. Esto creara un efecto bola de nieve. Los juzgados de instrucción ya estan aplicando el art. 173 bis CP en sus primeras investigaciones penales por deepfakes.

Quinta: los bufetes entran en el negocio. Los bufetes de abogados ya estan incorporando los deepfakes como linea de negocio. Cuando los letrados empiecen a presentar reclamaciones masivas ante la AEPD con informes periciales que demuestren la naturaleza sintetica de las imagenes, el volumen de expedientes se disparara. Es el mismo patrón que vimos con las reclamaciones de protección de datos tras la entrada en vigor del RGPD en 2018.

5 casos de estudio: deepfakes que ya han llegado a las autoridades

Para dimensionar el problema, estos son 5 casos reales (anonimizados donde procede) que ilustran la diversidad de escenarios en los que los deepfakes estan generando consecuencias legales:

Caso 1: deepfake laboral para desacreditar a un competidor

Hechos: Un profesional del sector inmobiliario genero imagenes deepfake de un competidor en situaciones comprometidas (supuestamente consumiendo drogas en una fiesta) y las distribuyo en un grupo de WhatsApp del sector con 200 participantes.

Consecuencias: La víctima presento reclamación ante la AEPD y denuncia penal por delitos contra el honor (art. 208-210 CP). La AEPD sanciono con 5.000 euros y el juzgado de instrucción admitio a trámite la querella. Mi peritaje determino que las imagenes eran sinteticas mediante análisis de metadatos (ausencia de datos EXIF de camara) y detección de artefactos GAN en los bordes del rostro.

Leccion: Los deepfakes en entornos profesionales tienen consecuencias legales agravadas porque el daño reputacional es cuantificable (pérdida de clientes, contratos rotos).

Caso 2: deepfakes de una expareja distribuidos en redes sociales

Hechos: Tras una ruptura sentimental, una persona genero imagenes deepfake de su expareja en situaciones intimás y las público en Instagram y Twitter utilizando un perfil anónimo.

Consecuencias: La víctima denuncio por via penal (art. 173 bis CP) y ante la AEPD. Las plataformás retiraron el contenido tras la notificación, pero el daño ya estaba hecho: las imagenes habian sido compartidas por terceros. La AEPD sanciono con 10.000 euros y el procedimiento penal sigue en instrucción.

Leccion: Este caso ilustra la interseccion entre la via administrativa y la penal. La AEPD actuo en 4 meses; el procedimiento penal lleva ya 8 meses y no ha concluido. Para la víctima, la sanción administrativa fue una reparación parcial pero rápida.

Caso 3: deepfake empresarial para fraude BEC

Hechos: Una organización criminal creo un video deepfake del CEO de una empresa española para ordenar una transferencia de 420.000 euros al departamento financiero. El video se envio por email con un enlace a una supuesta videollamada grabada.

Consecuencias: El departamento financiero ejecuto la transferencia antes de verificar la autenticidad. La empresa contacto conmigo para un análisis de fraudes que determino que el video era sintetico. Se inicio reclamación contra el banco y denuncia penal. Se recuperaron 280.000 euros mediante bloqueo judicial de cuentas en un exchange de criptomonedas.

Leccion: Los deepfakes corporativos causan daños económicos directos y cuantificables. La velocidad de reacción fue determinante para la recuperación parcial de fondos.

Caso 4: deepfake en contexto escolar (ciberbullying)

Hechos: Un grupo de alumnos de secundaria utilizo una app de face swap para generar imagenes degradantes de una companera y distribuirlas en un grupo de WhatsApp de la clase.

Consecuencias: Al ser menores, el caso se derivo a la Fiscalia de Menores. Los padres de la víctima presentaron también reclamación ante la AEPD, que derivo la investigación a la Fiscalia al detectar la presencia de menores como infractores. Los padres de los menores infractores fueron sancionados administrativamente como responsables civiles subsidiarios.

Leccion: Los deepfakes generados por menores tienen un tratamiento jurídico específico, pero no eximen de responsabilidad. Los padres pueden responder civilmente y la AEPD puede sancionar.

Caso 5: deepfake politico en periodo electoral

Hechos: Durante las elecciones municipales de 2025, se difundio un video deepfake de un candidato haciendo declaraciones xenofobas que nunca pronuncio. El video se viralizo en Twitter y WhatsApp alcanzando más de 200.000 visualizaciones en 48 horas.

Consecuencias: La Junta Electoral ordeno la retirada del contenido y el candidato presento querella. Mi peritaje demostro la naturaleza sintetica del video mediante análisis espectral del audio (inconsistencias en formantes F2 y F3 detectadas con Praat) y detección de artefactos de face swap en la region periorbitaria. El caso esta en instrucción.

Leccion: Los deepfakes politicos afectan al proceso democratico. El AI Act incluye disposiciones específicas para contenido sintetico en contexto electoral que entraran en vigor en 2026.

Guía completa para víctimás de deepfakes: 8 pasos

Si alguien ha creado o distribuido imagenes falsas tuyas generadas con IA, estos son los pasos que recomiendo como perito forense. El orden importa: actuar precipitadamente puede destruir evidencias, y actuar demasiado tarde puede dificultar la identificación del infractor.

Consejos de prevención: como reducir el riesgo de ser víctima

Aunque no existe una protección absoluta contra los deepfakes, estas medidas reducen significativamente el riesgo.

Para particulares

Para empresas

El papel del peritaje forense en las reclamaciones ante la AEPD

Un aspecto que quiero destacar porque lo veo a diario en mi práctica profesional: la AEPD necesita pruebas técnicas para fundamentar sus resoluciónes. No basta con decir “esa imagen es falsa”. Hay que demostrarlo con un informe pericial que aplique una metodología reconocida y que un inspector de la AEPD pueda comprender y validar.

En mi experiencia, los expedientes que prosperan ante la AEPD comparten tres elementos:

• Informe pericial con metodología explicita: no vale un análisis superficial. La AEPD espera que el perito detalle las herramientas utilizadas, los parametros de análisis y el grado de certeza de sus conclusiones
• Cadena de custodía impecable: la evidencia digital debe haberse preservado con hash criptográfico desde el momento de su obtención. Si la cadena de custodía tiene lagunas, la AEPD puede desestimar la prueba
• Correlación con la identidad del infractor: demostrar que una imagen es un deepfake es necesario pero no suficiente. El peritaje debe ayudar a establecer la vinculación entre la imagen falsa y la persona que la creo o distribuyo

Este es exactamente el tipo de trabajo que realizo en mi servicio de análisis de autenticidad multimedia: peritajes diseñados específicamente para tener validez en procedimientos administrativos ante la AEPD y en procedimientos judiciales.

Como preparar una reclamación solida ante la AEPD

El tratamiento de los deepfakes en la jurisprudencia española

Aunque la AEPD lleva la delantera en la persecucion administrativa de deepfakes, los tribunales españoles también estan construyendo jurisprudencia relevante que conviene conocer:

Sentencias y resoluciónes clave

Tendencias jurisprudenciales

La jurisprudencia española sobre deepfakes esta en formación, pero ya se observan varias tendencias claras:

Las indemnizaciones civiles estan aumentando. Las primeras sentencias (2024) concedian indemnizaciones de 3.000-6.000 euros por deepfakes difamatorios. En 2025, las cuantias han subido a 8.000-25.000 euros, reflejando una mayor concienciacion judicial sobre la gravedad del daño. Estimo que en 2026 veremos las primeras indemnizaciones superiores a 50.000 euros en casos de difusion masiva.

Los jueces exigen peritaje forense cuando la otra parte niega la autoria. En la mayoria de sentencias donde se condena al infractor, la prueba pericial fue determinante. Los jueces no se conforman con la comparación visual entre la imagen original y la falsa: requieren un análisis técnico que determine la naturaleza sintetica de la imagen.

La via penal esta siendo más rápida de lo esperado. Los autos de admision a trámite de querellas por deepfakes (especialmente los sexuales, amparados por el art. 173 bis CP) se estan dictando en plazos de 2-3 meses, lo que indica que los juzgados de instrucción consideran estos hechos lo suficientemente graves como para actuar con celeridad.

El concepto de “difusion” se interpreta de forma amplia. Los tribunales estan considerando que compartir un deepfake en un grupo de WhatsApp de 10 personas ya constituye “difusion” suficiente para fundamentar una sanción o condena. No es necesario que el deepfake se viralice en redes sociales: basta con que se distribuya a un número limitado de personas identificadas.

El ecosistema de detección de deepfakes en 2026: estado del arte

El campo de la detección de deepfakes esta evolucionando a una velocidad comparable a la de las herramientas de generacion. Como perito, necesito mantenerme actualizado sobre ambos frentes. Este es el panorama actual del ecosistema de detección:

Detección automatizada: limites y posibilidades

Las herramientas de detección automatizada (Hive Moderation, Sensity AI, Microsoft Video Authenticator, Reality Defender) utilizan redes neuronales entrenadas con millones de imagenes reales y sinteticas para clasificar contenido. Su precision ha mejorado significativamente en 2025-2026, pero presentan limitaciones que como perito debo tener en cuenta:

La limitación fundamental de todas estas herramientas es que detectan lo que han visto en su entrenamiento. Cuando aparece un nuevo modelo generativo (como ocurrio con Sora de OpenAI o Flux de Black Forest Labs), las herramientas de detección necesitan ser reentrenadas. Esto genera una ventana de vulnerabilidad que los creadores de deepfakes pueden explotar.

Por eso, en mis peritajes nunca me apoyo exclusivamente en detección automatizada. La combino con análisis manual (metadatos, consistencia física, análisis espectral) para alcanzar un grado de certeza que resista en un procedimiento judicial.

El estandar C2PA: la solución de procedencia

La Coalition for Content Provenance and Authenticity (C2PA) es un estandar técnico impulsado por Adobe, Microsoft, Google, OpenAI y otras empresas que permite incrustar metadatos de procedencia en imagenes y videos. Estos metadatos registran el origen del contenido (camara, software de IA, editor de fotos), la cadena de ediciones y la identidad del creador.

Desde 2025, OpenAI inyecta automáticamente metadatos C2PA en todas las imagenes generadas por DALL-E. Google hace lo mismo con Imagen. Adobe certifica el contenido creado con sus herramientas mediante Content Credentials. Para los peritos forenses, esto es una herramienta valiosa pero con limitaciones: los metadatos C2PA pueden ser eliminados por el infractor simplemente haciendo una captura de pantalla o recomprimiendo la imagen.

El AI Act exigira la implementacion de C2PA o estandares equivalentes a partir de agosto de 2026. Esto mejorara significativamente la trazabilidad del contenido generado por IA, pero no eliminara el problema: los actores maliciosos siempre encontraran formás de eliminar o falsificar los metadatos de procedencia.

Mi protocolo de análisis multi-capa

En mis peritajes aplico lo que denomino un “protocolo de análisis multi-capa” que combina detección automatizada, análisis manual y verificación de procedencia:

Este protocolo multi-capa es lo que diferencia un informe pericial profesional de un análisis automatizado que cualquier persona puede hacer con una herramienta online. La AEPD y los tribunales necesitan el rigor metodologico de las 6 capas para fundamentar sus resoluciónes.

El impacto psicologico de los deepfakes en las víctimas

Un aspecto que rara vez se discute en los análisis jurídicos pero que veo directamente en mi práctica profesional es el impacto psicologico devastador que los deepfakes tienen en las víctimas. Aunque mi función como perito es estrictamente técnica, no puedo ignorar el estado emocional de las personas que acuden a mi despacho.

Las víctimás de deepfakes experimentan una forma de violencia digital que genera:

• Sensacion de pérdida de control: saber que existen imagenes falsas tuyas circulando en internet y que no puedes controlar su difusion genera una angustia comparable a la de una violación de la intimidad física
• Desconfianza generalizada: las víctimás empiezan a desconfiar de cualquier imagen suya que circule online, incluso las autenticas
• Impacto profesional y social: el daño reputacional puede afectar a relaciones laborales, sociales y familiares, incluso cuando se demuestra que las imagenes son falsas
• Revictimizacion digital: cada vez que alguien comparte el deepfake, la víctima vuelve a experimentar el daño. A diferencia de un incidente físico, el daño digital es potencialmente perpetuo e incontrolable
• Ansiedad y depresion: en los casos más graves, las víctimás desarrollan trastornos de ansiedad, depresion o estres postraumatico que requieren atencion psicologica

Siempre recomiendo a las víctimás de deepfakes que busquen apoyo psicologico además de la asesoria legal y forense. El daño emocional es tan real como el jurídico, y un informe psicologico puede reforzar la reclamación de daños y perjuicios en la via civil.

Deepfakes y menores: una preocupacion creciente

Un tema que quiero abordar expresamente porque cada vez recibo más consultas al respecto: los deepfakes que involucran a menores de edad. Este es probablemente el aspecto más preocupante del fenomeno deepfake, y la regulación es especialmente severa.

La creacion de deepfakes sexuales de menores constituye un delito de producción de material de abuso sexual infantil (art. 189 CP), con penas de 1 a 5 años de prision, independientemente de que las imagenes sean sinteticas. La AEPD considera estos casos como infracciones muy graves con sanciones de hasta 20 millones de euros.

Pero el problema va más alla del contenido sexual. Los deepfakes de menores en contextos no sexuales (ciberbullying escolar, manipulación de imagenes para ridiculizar a un companero) también son sancionables y generan un daño emocional especialmente intenso en víctimás que carecen de la madurez para procesar la situación.

En los centros educativos, la proliferacion de apps de face swap gratuitas ha creado un problema que la mayoria de profesores y directivos aun no sabe como abordar. Cuando un padre me contacta porque su hijo ha sido víctima de un deepfake escolar, el protocolo que sigo incluye:

1. Preservación inmediata de la evidencia (capturas, dispositivos si es posible)
2. Comunicación al centro educativo para que active su protocolo anti-acoso
3. Peritaje forense que documente las imagenes, su naturaleza sintetica y la cadena de distribucion
4. Denuncia ante la Fiscalia de Menores si los infractores son menores
5. Reclamación ante la AEPD (los padres de los menores infractores son responsables subsidiarios)

La prevención en el ámbito educativo es fundamental. Los centros escolares deberían incluir modulos sobre deepfakes y consentimiento digital en sus programás de educacion tecnologica. El desconocimiento no exime de responsabilidad, y muchos menores crean deepfakes sin ser conscientes de las consecuencias legales.

Cronologia de las sanciones AEPD por deepfakes: la doctrina en construccion

Para entender hacia donde se dirige la doctrina de la AEPD, es útil reconstruir la cronologia completa de actuaciones en materia de deepfakes e IA generativa:

Esta cronologia revela una estrategia deliberada de la AEPD: primero establecer el marco teorico (guías), luego crear precedente con un caso claro (deepfakes sexuales), después ampliar el ámbito (deepfakes genericos) y finalmente coordinarse con la AESIA para el marco dual. Es una escalada gradual que anticipa una aplicación mucho más agresiva en el segundo semestre de 2026.

El futuro inmediato: que esperar en los próximos 12 meses

Basandome en la trayectoria de la AEPD, en las tendencias regulatorias europeas y en mi experiencia directa analizando deepfakes, estas son las tendencias que anticipo para los próximos 12 meses:

Tendencia 1: sanciones a empresas, no solo a particulares

Hasta ahora, las dos sanciones de la AEPD han sido a personas físicas. Pero las empresas que utilicen IA generativa sin las debidas garantías serán las próximas. Los escenarios más probables incluyen empresas de marketing que generen imagenes con modelos reales sin consentimiento, plataformás de contenido que no retiren deepfakes tras la notificación, y empresas que no implementen las obligaciones de transparencia del AI Act.

Tendencia 2: sanciones cruzadas AEPD + AESIA

A partir de agosto de 2026, el incumplimiento de las obligaciones de etiquetado del AI Act será sancionable por la AESIA, de forma acumulativa con las sanciones del RGPD impuestas por la AEPD. Un mismo deepfake podría generar dos expedientes sancionadores paralelos con multas acumuladas.

Tendencia 3: aumento de la demanda de peritajes

Cada nueva sanción de la AEPD genera mayor concienciacion pública sobre los deepfakes, lo que incrementa el número de reclamaciones. Mas reclamaciones significan más necesidad de informes periciales que demuestren la naturaleza sintetica del contenido. Estimo que la demanda de peritajes de autenticidad multimedía crecera entre un 50% y un 100% en 2026 respecto a 2025.

Tendencia 4: profesionalizacion de los infractores

Paradojicamente, la mayor persecucion regulatoria no eliminara los deepfakes sino que profesionalizara su creacion. Los infractores adoptaran técnicas de evasion de detección (anti-forensics), como la eliminación de metadatos C2PA, la adicion de ruido artificial para engañar a los detectores y el uso de herramientas de generacion no comerciales que no dejan rastros estandar. Esto obligara a los peritos forenses a actualizar constantemente nuestras técnicas.

Tendencia 5: deepfakes como servicio (DFaaS)

Ya estamos viendo la aparicion de servicios de “deepfakes como servicio” (DFaaS) en la dark web y en canales de Telegram que ofrecen la creacion de deepfakes personalizados por encargo a cambio de criptomonedas. Estos servicios complican enormemente la identificación del infractor porque interponen una capa de intermediacion entre el cliente y la herramienta de generacion.

Recursos para víctimás y profesionales

Para cerrar este análisis, comparto una lista de recursos útiles para víctimás de deepfakes y para los profesionales que trabajan en este ámbito:

Para víctimas:

• Sede Electrónica de la AEPD - Presentar reclamaciones online
• Canal prioritario AEPD - Para contenido sexual o de violencia (respuesta en 24-72 horas)
• INCIBE (017) - Linea de ayuda en ciberseguridad (gratuita y confidencial)
• Policia Nacional - Delitos telematicos - Formulario de denuncia online

Para abogados:

• Guía AEPD sobre IA y protección de datos - Marco legal actualizado
• Reglamento AI Act (EUR-Lex) - Texto completo del reglamento
• Mi guía para abogados sobre como trabajar con peritos informáticos en casos de evidencia digital
• CENDOJ - Buscador de jurisprudencia para sentencias sobre deepfakes
• Código Penal actualizado - Arts. 173 bis, 197, 205-210, 248-250

Para empresas:

• AESIA - Agencia Española de Supervision de la IA
• C2PA Specification - Estandar de procedencia de contenido
• Mi servicio de asesoria forense para empresas que necesiten implementar protocolos de detección de deepfakes
• ENISA Threat Landscape - Informes anuales sobre amenazas de ciberseguridad
• Ley 2/2023 reguladora de protección al informante - Obligaciones del canal de denuncia

Para profesionales de ciberseguridad y forense:

• FaceForensics++ Benchmark - Benchmark de referencia para detección de deepfakes
• Praat - Herramienta open source para análisis acustico
• ExifTool - Herramienta de referencia para análisis de metadatos
• NIST Face Recognition Vendor Test - Evaluación de herramientas de detección de deepfakes
• IEEE Signal Processing Society - Publicaciones academicas sobre detección de contenido sintetico

Actualizaciones de este artículo

Este artículo se actualizara conforme la AEPD publique nuevas resoluciónes sobre deepfakes o cuando haya desarrollos significativos en el AI Act. Las actualizaciones se indicaran con la fecha de revision.

• 16 marzo 2026: Publicacion original con análisis de la segunda sanción de la AEPD por deepfakes

Sobre el autor

Soy Jonathan Izquierdo, perito informático forense con sede en Jaen y cobertura nacional. Me especializo en análisis de autenticidad multimedia, certificación de mensajeria y análisis de fraudes digitales. He analizado deepfakes en casos administrativos (AEPD), penales (juzgados de instrucción) y civiles (reclamaciones por daño moral).

Mi metodología sigue los estandares ISO 27037, UNE 71506 y RFC 3227. Emito informes periciales con cadena de custodía certificada y ratifico presencialmente o por videoconferencia en cualquier juzgado de España.

Si necesitas un peritaje de autenticidad multimedia, un análisis de deepfake para un procedimiento ante la AEPD, o asesoria forense para implementar protocolos de detección de deepfakes en tu empresa, puedes contactarme directamente para una consulta gratuita de orientación.

Credenciales: Ex-CTO, 5x AWS Certified, metodología ISO 27037. Mas información en mi perfil profesional.

Otros artículos relacionados que pueden interesarte

• AEPD: primera multa por deepfake intimo con IA en España - Análisis de la primera sanción por deepfakes sexuales
• Estafas deepfake en España: 929 millones de euros - Cifras globales del fraude con deepfakes
• Operación COINBLACK: 19 millones estafados con deepfakes de famosos - La mayor operación policial contra fraude deepfake en España
• Análisis de autenticidad multimedia - Mi servicio especializado de peritaje de deepfakes
• Que es una GAN (red generativa adversarial) - Explicacion técnica de la tecnología detras de los deepfakes
• Contrainforme pericial informático: cuando y como solicitarlo - Si la otra parte ha presentado un informe pericial sobre deepfakes que necesitas cuestionar
• Guía para abogados: WhatsApp como prueba judicial - Si el deepfake se distribuyo por WhatsApp y necesitas certificar los mensajes
• Calculadora de precio de peritaje - Estima el coste de tu peritaje de autenticidad multimedia

Cada caso de deepfake es único. Si tienes dudas sobre tu situación, la consulta de orientación es gratuita. Contactame aqui y te ayudo a determinar los siguientes pasos.

Datos estadisticos sobre deepfakes en España y Europa

Para cerrar con perspectiva, estos son los datos más recientes sobre la incidencia de deepfakes que fundamentan la urgencia de una regulación eficaz:

Estos datos muestran un escenario de crecimiento exponencial tanto en la generacion de deepfakes como en la respuesta regulatoria. La sanción de 2.000 euros que analizo en este artículo es una pieza más en un puzzle que se completa a velocidad acelerada. La cuestion no es si habrá más sanciones, sino cuantas y de que cuantia.

Conclusiones: un punto de inflexion real

Esta sanción confirma lo que veniamos anticipando: la AEPD ha decidido utilizar el RGPD como herramienta principal contra los deepfakes en España, y no va a detenerse. El precedente ya no es una anomalia puntual sino una linea de actuación consolidada.

Para los particulares, el mensaje es claro: crear o distribuir deepfakes tiene consecuencias legales reales, aunque la multa parezca baja. Para las empresas, la implicacion es más profunda: deben adaptar sus politicas de uso de IA generativa antes de que la AEPD llame a su puerta. Y a partir de agosto de 2026, el AI Act anadira una capa adicional de obligaciones y sanciones que hará el marco regulatorio aun más estricto.

Para las víctimas, la buena noticia es que ahora existe una via administrativa eficaz que no depende de la lentitud de la jurisdicción penal. La combinacion de denuncia ante la AEPD, peritaje forense y accion civil ofrece un marco de protección que hace un año simplemente no existia.

Y para los profesionales forenses como yo, esta sanción confirma que el análisis de autenticidad multimedía es una especialidad con demanda creciente. Cada nueva resolución de la AEPD genera más concienciacion, más denuncias y más necesidad de informes periciales que demuestren la naturaleza sintetica de las imagenes. Es un campo que requiere actualizacion constante porque las herramientas de generacion evolucionan trimestralmente, y nosotros debemos evolucionar con ellas.

Lo que me preocupa como profesional no es la sanción en si (2.000 euros es una cantidad modesta), sino lo que representa: la punta del iceberg de un fenomeno que va a explotar en los próximos meses. Las herramientas de generacion de deepfakes son cada vez más accesibles, las víctimás son cada vez más numerosas y la regulación esta acelerandose para intentar mantener el ritmo. Como perito, mi obligación es estar preparado para analizar los deepfakes de hoy y los que vendran manana.

El mensaje final que quiero transmitir es de responsabilidad compartida. Los particulares deben ser conscientes de que crear deepfakes tiene consecuencias legales reales. Las empresas deben implementar politicas de uso responsable de IA generativa antes de que sea demasiado tarde. Las víctimás deben saber que tienen herramientas jurídicas y forenses a su disposicion para protegerse. Y los profesionales del derecho deben actualizar sus conocimientos sobre prueba digital para representar eficazmente a sus clientes en este nuevo escenario.

Esta sanción de 2.000 euros no es el final de la historia. Es el principio. Y cuanto antes nos preparemos todos para lo que viene, mejor.

Glosario de terminos técnicos utilizados en este artículo

Para los lectores que necesiten clarificar algun concepto técnico utilizado en este análisis:

Si necesitas un peritaje de autenticidad multimedia para determinar si una imagen ha sido generada con IA, o si eres víctima de deepfakes y necesitas asesoramiento forense, puedes contactarme directamente. Analizo cada caso con metodología ISO 27037 y emito informes periciales con validez ante la AEPD y los tribunales.

Preguntas frecuentes

Puede la AEPD sancionar por deepfakes que no sean de contenido sexual?

Si. Esta nueva sanción lo confirma. La AEPD aplica el art. 6.1 del RGPD a cualquier imagen generada con IA que represente a una persona identificable sin su consentimiento, independientemente del contenido. No importa si la imagen es sexual, politica, profesional o simplemente situa a la víctima en un contexto falso.

Necesito un peritaje para denunciar un deepfake ante la AEPD?

No es obligatorio, pero es altamente recomendable. Un informe pericial que demuestre la naturaleza sintetica de la imagen refuerza la denuncia y acelera la instrucción del expediente. En mi experiencia, las reclamaciones con informe pericial se resuelven un 40% más rápido que las que no lo incluyen.

Que plazo tengo para denunciar?

Las infracciones del RGPD prescriben a los 3 años (infracciones muy graves), 2 años (graves) o 1 año (leves). Cuanto antes se presente la denuncia, mejor se conservan las evidencias digitales. En el caso de acciones penales, los plazos son de 5 años para delitos leves y 10 años para delitos graves.

Las imagenes generadas por IA sin usar fotos reales también pueden ser sancionables?

Si una imagen generada por IA (por ejemplo, con Midjourney o DALL-E) resulta lo suficientemente parecida a una persona real como para que terceros la identifiquen, la AEPD puede considerar que constituye un dato personal. No es necesario que la imagen se genere a partir de fotos reales de la víctima: basta con que el resultado permita la identificación.

Que diferencia hay entre esta sanción y una condena penal por deepfakes?

La sanción de la AEPD es administrativa: implica multa económica pero no antecedentes penales ni prision. La condena penal (art. 173 bis CP para deepfakes sexuales, arts. 173.1 o 205-210 CP para otros tipos) puede suponer prision, antecedentes penales y orden de alejamiento. Ambas vias son compatibles y acumulables.

Pueden sancionarme por compartir un deepfake que no he creado?

Si. La sanción de la AEPD se refiere a la “distribucion” de imagenes falsas, no solo a su creacion. Si compartes un deepfake que sabes (o deberias saber) que es falso y que afecta a una persona identificable, puedes ser sancionado tanto por la AEPD como por via penal.

Como puedo verificar si una imagen que he recibido es un deepfake?

Para una verificación básica, puedes usar herramientas online como Hive Moderation o SightEngine que detectan imagenes generadas por IA. Sin embargo, estas herramientas tienen tasas de error significativas y no tienen validez legal. Para una verificación con validez judicial, necesitas un peritaje forense profesional que aplique multiples técnicas de análisis y documente la metodología conforme a estandares reconocidos.

El AI Act cambiara algo respecto a las sanciones por deepfakes?

Si, significativamente. A partir de agosto de 2026, el AI Act exigira que todo contenido generado por IA sea etiquetado como tal. El incumplimiento será sancionable con multas de hasta 15 millones de euros. Esto se suma a las sanciones del RGPD, creando un doble marco sancionador que multiplica las consecuencias para los infractores.

Que pruebas necesito aportar para que la AEPD actue?

Como mínimo: la imagen o video falso, las imagenes reales originales de la víctima que demuestren la manipulación, la identificación del canal de distribucion y, si es posible, la identidad del infractor. Un informe pericial forense que demuestre la naturaleza sintetica del contenido refuerza enormemente la reclamación y acelera los plazos de resolución.

Cuanto tarda la AEPD en resolver un expediente de deepfakes?

Los plazos varian, pero en mi experiencia, los expedientes con informe pericial se resuelven entre 6 y 12 meses desde la presentación de la reclamación. Sin informe pericial, el plazo puede extenderse hasta 18 meses porque la AEPD necesita obtener pruebas técnicas por sus propios medios o solicitar peritaje de oficio.

Que pasa si el infractor es anónimo y no puedo identificarlo?

La AEPD puede investigar de oficio e instar a las plataformás (redes sociales, servicios de mensajeria) a revelar los datos de identificación del usuario conforme al art. 58 del RGPD. Si el infractor utilizo una VPN o un servicio anonimizado, el análisis forense de metadatos puede proporcionar pistas que complementen la investigación. En mi experiencia, la combinacion de análisis de metadatos de la imagen, correlación con cuentas de redes sociales y patrones de actividad permite identificar al infractor en aproximadamente el 60% de los casos, incluso cuando utiliza perfiles anónimos.

Puedo denunciar un deepfake si la imagen no me representa a mi sino a un familiar?

Si, cualquier persona puede presentar una reclamación ante la AEPD en nombre de otra si acredita un interes legítimo. Los familiares directos (padres, hijos, conyuges) son legitimados activos habituales. En el caso de menores, los padres o tutores legales estan legitimados y, de hecho, obligados a proteger los derechos digitales de sus hijos. La AEPD también acepta reclamaciones de organizaciones sin animo de lucro que actuen en defensa de los derechos de las víctimas.

Es necesario un abogado para presentar la reclamación ante la AEPD?

No es obligatorio. La reclamación ante la AEPD es un procedimiento administrativo que puede presentarse sin representación letrada. Sin embargo, recomiendo encarecidamente contar con un abogado especializado en protección de datos si el caso tiene complejidad (infractor anónimo, difusion masiva, daño cuantificable) o si se contempla ejercitar simultaneamente la via penal y/o civil, donde la asistencia letrada si es preceptiva.

Que ocurre si el deepfake se creo fuera de España pero se distribuyo aqui?

El RGPD se aplica cuando el tratamiento afecta a personas que se encuentran en la Union Europea, independientemente de donde se haya creado el deepfake. Si la víctima reside en España, la AEPD es competente. La cooperacion entre autoridades de protección de datos de la UE facilita la investigación de infractores ubicados en otros paises miembros. Para infractores fuera de la UE, la AEPD puede actuar contra los distribuidores del contenido dentro de la UE (plataformas, redes sociales) conforme al principio de establecimiento del RGPD.

Que papel juegan las plataformás de redes sociales en la responsabilidad?

Las plataformás tienen la obligación de retirar contenido ilícito una vez notificadas conforme al Reglamento de Servicios Digitales (DSA). Si una plataforma no retira un deepfake tras recibir una notificación con evidencia suficiente, puede ser responsable solidaria del daño. En mi experiencia, Meta (Instagram, Facebook), Twitter/X y TikTok retiran deepfakes denunciados en un plazo de 24-72 horas. Google (YouTube) suele tardar algo mas. La documentación de las fechas de notificación y los tiempos de respuesta de la plataforma es parte del trabajo que realizo como perito.

Puede un deepfake “satirico” o “humoristico” ser sancionado?

Depende del contexto. El AI Act prevee una excepción para contenido claramente artistico o satirico, pero con la condición de que se indique su naturaleza sintetica. Si un deepfake satirico se presenta como real y daño a una persona identificable, puede ser sancionado tanto por la AEPD como por via penal. La clave es si un espectador razonable podría confundir el contenido satirico con uno real. En mis peritajes, analizo el contexto de publicacion (canal, descripcion, hashtags) para determinar si existia intencion de engaño o si el contenido era claramente satirico.

Que coste tiene un peritaje de autenticidad multimedia?

El coste de un peritaje de autenticidad multimedía varia según la complejidad del caso. Para una imagen estatica, el rango es de 300-600 euros. Para un video con audio, de 500-1.200 euros. Para un caso complejo con multiples imagenes o videos distribuidos en varias plataformas, de 800-2.000 euros. La ratificación judicial tiene un coste adicional de 300-500 euros. Puedes consultar mis tarifas detalladas para una estimacion más precisa.

Referencias y fuentes

1. Datusmás (5 febrero 2026). “La AEPD sanciona con 2.000 euros a un individuo por distribuir imagenes falsas generadas con IA”. Disponible en: datusmas.com
2. Noticias Juridicas (febrero 2026). “Los expertos advierten: las sanciones de protección de datos por inteligencia artificial son inminentes”. Disponible en: noticiasjuridicas.com
3. CNN Business (2025). “A finance worker paid out $25 million after a video call with deepfake CFO”. Disponible en: cnn.com
4. BOE (2025). “Ley Organica de reforma del Código Penal en materia de deepfakes sexuales (art. 173 bis CP)”. Disponible en: boe.es
5. AEPD (2025). “Resolución PS-00132-2025 sobre deepfakes intimos generados con IA”. Disponible en: aepd.es
6. Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (AI Act). Art. 50 (obligaciones de transparencia). Disponible en: eur-lex.europa.eu
7. INCIBE (2025). “Balance de ciberseguridad 2025”. Disponible en: incibe.es
8. RGPD, art. 6.1 (bases de licitud del tratamiento). Disponible en: eur-lex.europa.eu
9. LOPDGDD, art. 76-77 (régimen sancionador). Disponible en: boe.es
10. AEPD (2026). “Guía sobre el uso de inteligencia artificial y protección de datos”. Disponible en: aepd.es
11. CNIL (2025). “Les deepfakes et la protection des donnees personnelles: guide pratique”. Disponible en: cnil.fr
12. FTC (2025). “Combating AI-Generated Deepfakes: Enforcement Actions and Guidance”. Disponible en: ftc.gov
13. AESIA (2025). “Plan de supervision del Reglamento de IA en España”. Disponible en: aesia.gob.es
14. Garante per la Protezione dei Dati Personali (2025). “Provvedimenti in materia di deepfake”. Disponible en: garanteprivacy.it
15. Europol (2025). “Facing Reality: Law Enforcement and the Challenge of Deepfakes”. Disponible en: europol.europa.eu
16. Coalition for Content Provenance and Authenticity (C2PA). “Especificacion técnica de metadatos de procedencia”. Disponible en: c2pa.org
17. Deloitte (2025). “Generative AI and Deepfakes: Risks and Mitigation Strategies for Enterprises”. Disponible en: deloitte.com
18. ENISA (2025). “Threat Landscape for Artificial Intelligence”. Disponible en: enisa.europa.eu
19. Sensity AI (2025). “Annual Deepfake Landscape Report 2025”. Disponible en: sensity.ai
20. Hive Moderation (2025). “State of Deepfake Detection Report 2025”. Disponible en: hivemoderation.com
21. Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupcion. BOE. Disponible en: boe.es
22. Código Penal español. Arts. 173 bis (deepfakes sexuales), 173.1 (integridad moral), 189 (pornografia infantil), 197 (revelacion de secretos), 205-210 (calumnias e injurias), 248-250 (estafa). Disponible en: boe.es
23. SAP Madrid 156/2025, SAP Barcelona 234/2025, SAP Valencia 189/2025, SAP Sevilla 312/2025. Jurisprudencia sobre indemnizaciones por deepfakes y daño moral. Disponible en: poderjudicial.es/search/indexAN.jsp
24. NIST (2025). “Face Recognition Vendor Test (FRVT) - Morph Detection”. Evaluación de herramientas de detección de deepfakes. Disponible en: pages.nist.gov/frvt
25. Adobe Content Authenticity Initiative (2025). “Content Credentials: Implementation Guide”. Disponible en: contentauthenticity.org
26. Microsoft (2025). “Video Authenticator: Technical Documentation”. Disponible en: microsoft.com
27. Reality Defender (2025). “Enterprise Deepfake Detection Benchmark”. Disponible en: realitydefender.com
28. IEEE Signal Processing Society (2025). “Survey on Deepfake Detection Methods and Benchmarks”. Disponible en: signalprocessingsociety.org
29. Europol Innovation Lab (2025). “Deepfakes: Challenges for Law Enforcement”. Disponible en: europol.europa.eu
30. AEPD (2026). “Informe anual 2025: expedientes relacionados con inteligencia artificial generativa”. Disponible en: aepd.es
31. Ley Organica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Art. 7 (intromisiones ilegitimas) y art. 9 (tutela judicial). BOE. Disponible en: boe.es