Cómo denunciar una estafa online en España: guía paso a paso

La realidad de las estafas online en España: por qué esta guía puede salvarte miles de euros

Cada 68 segundos, alguien es víctima de una estafa online en España. No es una exageración: según el Informe sobre la Cibercriminalidad en España 2024 del Ministerio del Interior, las Fuerzas y Cuerpos de Seguridad registraron 464.801 ciberdelitos ese año. De ellos, el 89 % —exactamente 412.850 casos— fueron estafas informáticas. Y esa cifra solo recoge los casos denunciados.

La realidad es más cruda. Los expertos en ciberseguridad estiman que entre el 60 % y el 70 % de las víctimas de estafas online nunca llegan a denunciar. Las razones son variadas: vergüenza, desconocimiento del procedimiento, la creencia de que «no servirá de nada» o, simplemente, no saber por dónde empezar.

Los datos del primer semestre de 2025 confirman que la tendencia no se detiene: 121.579 infracciones penales vinculadas a cibercriminalidad solo en los primeros tres meses del año, de las cuales 106.801 correspondieron a estafas informáticas. INCIBE, por su parte, gestionó 122.223 incidentes de ciberseguridad en todo 2025, un 26 % más que el año anterior. Su línea de ayuda 017 atendió 142.767 consultas, un 44,9 % más que en 2024.

Pero hay una cifra que debería preocuparte especialmente: la tasa de identificación del autor en estafas online ronda el 15-20 % cuando la víctima denuncia sin pruebas sólidas. Cuando la víctima aporta evidencia digital completa y de calidad, esa tasa se eleva al 35-40 %. Y cuando se añade un informe pericial profesional, las probabilidades de identificación se multiplican por 2 o 3, según datos de la Unidad de Investigación Tecnológica de la Policía Nacional.

La diferencia entre recuperar tu dinero o perderlo para siempre depende, en gran medida, de lo que hagas en las primeras horas después de descubrir la estafa. Esta guía te explica exactamente qué hacer, paso a paso, con información actualizada a marzo de 2026.

He escrito esta guía después de años certificando evidencia digital en casos de fraude online. He visto cómo denuncias bien preparadas conducen a la identificación del estafador y la recuperación del dinero, y he visto cómo denuncias mal preparadas se archivan sin que pase nada. La diferencia no está en la suerte: está en la preparación.

Si estás leyendo esto porque acabas de ser víctima de una estafa online, respira hondo. Todavía estás a tiempo de actuar. Pero cada hora que pasa, el estafador puede mover el dinero, eliminar perfiles o destruir las pruebas que podrían identificarlo. Lee esta guía completa, sigue los pasos en orden, y maximizarás tus posibilidades de obtener justicia.

Si te encuentras en una situación de urgencia — acabas de descubrir la estafa hace menos de 24 horas — ve directamente a las secciones «Notificar al banco inmediatamente» y «Preservar la evidencia» y actúa en paralelo. Después vuelve aquí y sigue el resto de la guía.

TL;DR: lo esencial en 60 segundos

Antes de denunciar: preservar la evidencia digital (paso crítico)

El error más grave y más frecuente que cometen las víctimas de estafas online es acudir directamente a la comisaría sin haber preservado las pruebas. O peor aún: borrar mensajes, contactar al estafador para «negociar» o modificar archivos sin darse cuenta.

La evidencia digital es volátil por naturaleza. Un perfil de red social puede desaparecer en minutos. Un mensaje de WhatsApp puede ser eliminado por el remitente. Una página web fraudulenta puede ser dada de baja. Una dirección de email puede dejar de existir. Si no has capturado y preservado esas pruebas antes de que desaparezcan, no podrás demostrar lo que ocurrió.

Dedica entre 30 minutos y 2 horas a este paso antes de hacer cualquier otra cosa. Es la inversión de tiempo más importante que harás en todo el proceso.

Los 18 tipos de evidencia que debes preservar

No todas las estafas generan los mismos tipos de evidencia, pero esta lista cubre la práctica totalidad de los escenarios. Revísala entera y preserva todo lo que aplique a tu caso:

1. Capturas de pantalla completas

Las capturas son tu primera línea de defensa, pero la forma en que las hagas determinará si son útiles o no.

Qué capturar:

• Perfil del estafador en la plataforma (nombre, foto, fecha de registro, valoraciones).
• Conversación completa, mensaje por mensaje, desde el primer contacto.
• Anuncios o publicaciones que te atrajeron (producto, precio, descripción).
• Página web fraudulenta (portada, condiciones, datos de contacto, formulario de pago).
• Confirmaciones de pedido o transacción.
• Cualquier error, mensaje de «cuenta suspendida» o página que ya no existe.

Cómo hacerlo correctamente:

• Usa la función nativa del dispositivo (no apps de terceros que puedan alterar metadatos).
• No recortes nunca: incluye la barra de estado del teléfono (fecha, hora, cobertura, batería) o la barra de direcciones completa del navegador.
• En ordenador: usa la captura completa de pantalla, no solo la ventana activa.
• Haz capturas con scroll si la conversación es larga — herramientas como la captura de pantalla larga (disponible en Samsung, Xiaomi, etc.) o extensiones de navegador.
• Guarda en formato PNG (sin compresión con pérdida).
• Haz la captura inmediatamente — no esperes a mañana.

Errores que debes evitar:

• No hagas capturas selectivas eligiendo solo los mensajes que te convienen. Captura TODO, incluyendo tus propios mensajes. La otra parte puede usar los huecos en su beneficio.
• No captures la pantalla con otra cámara o teléfono (se pierde resolución y metadatos).
• No edites las capturas de ninguna forma (ni recortar, ni censurar datos — eso se hace después).

2. Correos electrónicos con cabeceras técnicas completas

Los emails son una de las pruebas más valiosas porque contienen cabeceras técnicas que revelan información crucial: la dirección IP del remitente, los servidores por los que pasó el mensaje, timestamps precisos y posibles indicios de suplantación (spoofing).

Cómo exportar emails con cabeceras en cada proveedor:

• Gmail: Abre el email → tres puntos (⋮) → «Mostrar original» → se abrirá una nueva pestaña con el email completo, incluidas todas las cabeceras. Pulsa «Descargar original» para guardarlo como archivo .eml.
• Outlook/Hotmail: Abre el email → tres puntos → «Ver» → «Ver origen del mensaje». Copia todo el contenido y guárdalo como archivo .eml.
• Yahoo Mail: Abre el email → tres puntos → «Ver mensaje sin formato». Copia y guarda.
• Apple Mail: Abre el email → menú «Visualización» → «Mensaje» → «Todas las cabeceras». Para guardar como .eml: «Archivo» → «Guardar como».
• Thunderbird: Abre el email → «Ver» → «Código fuente del mensaje» (Ctrl+U). Guarda como .eml.

Qué información contienen las cabeceras:

• From: / Reply-To: — Dirección del remitente (puede estar falsificada).
• Received: — Ruta completa del email, con IPs y timestamps de cada servidor.
• X-Originating-IP: — IP real del remitente (si no usó VPN).
• DKIM-Signature: / SPF: — Autenticación del dominio (revela si el email es legítimo o suplantado).
• Message-ID: — Identificador único del mensaje.
• Date: — Fecha y hora exactas de envío.

Formato recomendado: Guarda cada email como archivo .eml (texto plano con cabeceras). Si no es posible, guárdalo como PDF incluyendo las cabeceras completas.

3. Mensajes de chat y conversaciones completas

Las conversaciones en aplicaciones de mensajería son evidencia fundamental, pero son también las más vulnerables — el estafador puede borrar mensajes o desaparecer.

WhatsApp:

• Exportar conversación: Abre el chat → tres puntos → «Más» → «Exportar chat» → «Incluir archivos multimedia». Se generará un archivo .zip con el historial completo y los medios adjuntos.
• Hazlo antes de que el estafador elimine mensajes. Los mensajes eliminados por el remitente («Este mensaje fue eliminado») desaparecen del export.
• Si usas WhatsApp en el navegador (WhatsApp Web), la exportación debe hacerse desde el teléfono.
• Si el estafador ha bloqueado o eliminado su cuenta, la exportación desde tu teléfono sigue funcionando.

Telegram:

• Exportar conversación: Escritorio → menú ≡ → «Ajustes» → «Avanzado» → «Exportar datos de Telegram». Puedes elegir formato HTML o JSON.
• Para un análisis forense de Telegram más completo, se recomienda la extracción directa del dispositivo por un perito.
• Telegram permite «autodestruir» mensajes: si el estafador configuró esta opción, actúa rápido.

Instagram DM:

• Solicita una copia de tus datos: «Configuración» → «Tu actividad» → «Descargar tu información». Incluye todos los DMs.
• También haz capturas de pantalla del chat como respaldo inmediato.

Facebook Messenger:

• Descargar información: «Configuración y privacidad» → «Tu información de Facebook» → «Descargar tu información» → selecciona «Mensajes».

SMS:

• En Android: usa apps como «SMS Backup & Restore» para exportar todos los SMS a XML.
• En iPhone: conecta al ordenador y usa iTunes/Finder para hacer un backup completo. Los SMS se incluyen en el backup.
• Haz capturas de pantalla como respaldo inmediato, asegurándote de que se vea el número del remitente y la fecha.

Llamadas telefónicas:

• Captura de pantalla del registro de llamadas (número, fecha, hora, duración).
• Si grabaste la llamada (legal en España si eres parte de la conversación — STS 114/1984), guarda el archivo de audio.
• Anota inmediatamente el contenido de la llamada si no la grabaste: quién habló, qué se dijo, qué datos proporcionaste.

4. Comprobantes de pago y extractos bancarios

La prueba económica del perjuicio es imprescindible para cualquier denuncia.

Qué guardar:

• Extracto bancario que muestre la transacción (descárgalo en PDF desde tu banca online).
• Comprobante de transferencia (con IBAN de destino, fecha, importe, concepto).
• Comprobante de Bizum (captura de pantalla con número de teléfono, importe, fecha).
• Recibo de pago con tarjeta (nombre del comercio, importe, referencia de transacción).
• Confirmación de PayPal, Stripe u otro procesador de pago.
• Comprobante de envío de criptomonedas (hash de transacción, dirección de wallet de destino, blockchain utilizada).
• Factura o ticket de compra si te lo enviaron.
• Cualquier cargo posterior no autorizado en tus cuentas.

Formato recomendado: PDF descargado directamente de la entidad financiera (tiene validez superior a una captura de pantalla).

5. Datos identificativos del estafador

Crea un documento de texto plano (.txt) con absolutamente todos los datos que tengas del presunto estafador:

• Nombres utilizados (real o ficticio).
• Números de teléfono (incluyendo prefijo internacional).
• Direcciones de email.
• IBAN / número de cuenta bancaria de destino.
• Perfiles en redes sociales (URLs completas).
• Nombres de usuario en plataformas (Wallapop, Vinted, etc.).
• Direcciones de wallets de criptomonedas.
• URLs de páginas web fraudulentas.
• Dirección postal si la proporcionó.
• DNI/NIE/NIF si lo facilitó.
• Empresa o nombre comercial que utilizó.
• Número de referencia de anuncio en la plataforma.
• Cualquier otro identificador.

6. URLs y dominios web

Las páginas web fraudulentas pueden ser dadas de baja en cuestión de horas. Preserva esta evidencia inmediatamente:

• Copia la URL completa en un archivo de texto (incluyendo https://, parámetros, etc.).
• Haz captura de pantalla de la página completa (con scroll).
• Guarda la página web completa: en el navegador, «Archivo» → «Guardar como» → «Página web completa». Esto descarga el HTML y todos los recursos (imágenes, CSS, JS).
• Consulta los datos del dominio en who.is y guarda el resultado: registrante, fecha de registro, servidores DNS.
• Haz una búsqueda en web.archive.org para comprobar si la página ha sido archivada. Si aparece, guarda la URL del archivo.
• Si la web ya no está disponible, busca en la caché de Google: escribe cache:url-de-la-pagina en el buscador.

7. Publicidad y anuncios originales

Si la estafa comenzó con un anuncio (en redes sociales, Google Ads, marketplaces, correo electrónico):

• Captura el anuncio completo con toda la información visible.
• Si es un anuncio de Facebook/Instagram, pulsa los tres puntos → «¿Por qué veo este anuncio?» para obtener información sobre el anunciante.
• En marketplaces (Wallapop, Milanuncios, Vinted): captura el anuncio original, el perfil del vendedor, sus valoraciones y la fecha de publicación.
• Guarda la URL directa del anuncio.

8. Documentos y archivos recibidos

Cualquier documento que te haya enviado el estafador puede contener metadatos valiosos:

• Facturas, presupuestos, contratos (pueden contener metadatos de autor, fechas de creación, software utilizado).
• Fotografías de productos (los metadatos EXIF pueden revelar ubicación, dispositivo, fecha).
• Documentos de identidad (DNI escaneado, puede estar falsificado — un perito puede verificarlo).
• PDFs, documentos Word, presentaciones (los metadatos revelan autor, organización, fechas).
• No abras ejecutables ni archivos sospechosos: guárdalos sin ejecutar para análisis posterior.

9. Grabaciones de audio y vídeo

Si tienes grabaciones de videollamadas, llamadas telefónicas o vídeos que el estafador te haya enviado:

• Guarda el archivo original sin editarlo ni comprimirlo.
• Anota la fecha, hora y contexto de cada grabación.
• Las grabaciones de llamadas telefónicas son legales en España si eres parte de la conversación (no si grabas conversaciones de terceros).

10. Accesos remotos a tu dispositivo

Si el estafador accedió a tu ordenador o teléfono mediante herramientas como AnyDesk, TeamViewer, o similar:

• No apagues el ordenador todavía — la memoria RAM puede contener evidencia valiosa que se pierde al apagar.
• Haz capturas de pantalla del software de acceso remoto (nombre del programa, ID de sesión, duración de la conexión).
• Revisa el historial de conexiones remotas en la aplicación utilizada.
• Anota exactamente qué hizo el estafador durante la sesión remota (qué archivos abrió, qué programas ejecutó, si te pidió datos).
• Desconecta de internet (desactiva WiFi, quita el cable de red) para impedir más accesos, pero no apagues el equipo.
• Contacta con un perito informático lo antes posible para realizar un análisis forense del dispositivo.

11. Datos de geolocalización

En algunos casos, hay evidencia de ubicación útil:

• Si la estafa involucró un encuentro presencial (compraventa), anota la ubicación exacta.
• Si usaste una app de transporte para acudir al punto de encuentro, captura el historial del viaje.
• Las fotos que te envió el estafador pueden contener geolocalización forense en los metadatos EXIF.

12. Perfiles y valoraciones en plataformas

Si la estafa ocurrió en un marketplace o plataforma:

• Captura el perfil completo del estafador (nombre, foto, fecha de registro, número de transacciones, valoraciones).
• Captura las valoraciones de otros usuarios (pueden ser víctimas anteriores).
• Revisa si otros usuarios han denunciado al mismo perfil (busca en Google «[nombre de usuario] + estafa»).
• Si la plataforma tiene sistema de mensajería interna, exporta esa conversación también (además de la que pudieras tener por WhatsApp u otro canal).

13. Códigos QR recibidos

Si recibiste códigos QR del estafador (para pagar, para acceder a una web):

• Haz captura de pantalla del QR antes de escanearlo.
• Anota a qué URL o dirección redirigía el QR.
• Si escaneaste el QR e introdujiste datos, anota exactamente qué datos proporcionaste.

14. Tokens, credenciales y accesos comprometidos

Si durante la estafa proporcionaste credenciales o datos sensibles:

• Anota exactamente qué datos proporcionaste (contraseñas, PINs, códigos de verificación, datos de tarjeta).
• No cambies las contraseñas todavía si el acceso aún no ha sido comprometido y necesitas preservar evidencia del estado actual.
• Si ya has detectado accesos no autorizados, cambia las contraseñas inmediatamente y anota qué cambios hiciste y a qué hora.

15. Historial de navegación

Tu navegador almacena un registro de las páginas que visitaste:

• Exporta el historial de navegación del período relevante.
• En Chrome: chrome://history/ → tres puntos → «Exportar».
• Este historial puede probar que visitaste la web fraudulenta en una fecha concreta.

16. Notificaciones y alertas del banco

Si tu banco te envió SMS, emails o notificaciones push sobre operaciones sospechosas:

• Captura cada una de ellas con la fecha y hora.
• Son evidencia de que el banco detectó actividad sospechosa (relevante para la reclamación PSD2).

17. Publicaciones en foros o redes sociales

Si encontraste otras víctimas del mismo estafador en foros, redes sociales o grupos:

• Captura esas publicaciones con URLs.
• Anota los datos de contacto de las otras víctimas (pueden ser testigos útiles).
• Busca en Google, Twitter y Reddit el nombre, teléfono o IBAN del estafador — puede haber denuncias previas.

18. Cronología detallada de los hechos

Este es quizá el documento más importante que puedes preparar. Crea un archivo de texto con una cronología precisa de todo lo que ocurrió:

• Fecha y hora del primer contacto con el estafador.
• Medio de contacto (cómo lo encontraste o cómo te contactó).
• Resumen de cada interacción (qué se dijo, qué se acordó).
• Fecha y hora de cada pago o transacción.
• Cuándo te diste cuenta de que era una estafa.
• Qué pasos has dado desde entonces (llamada al banco, capturas, etc.).
• Cualquier comunicación posterior con el estafador.

Cómo preservar la evidencia correctamente: integridad y cadena de custodia

Tener las pruebas no es suficiente. La forma en que las preservas determinará si un juez las acepta como válidas o las descarta. La cadena de custodia es el procedimiento que garantiza que una prueba digital no ha sido alterada ni manipulada desde que se obtiene hasta que se presenta ante el tribunal.

Esto es lo que debes hacer para maximizar el valor probatorio de tu evidencia:

Lo que NUNCA debes hacer después de descubrir la estafa

Tan importante como saber qué hacer es saber qué no hacer. Estos errores pueden arruinar tu caso:

Herramientas útiles para la preservación de evidencia

Estas herramientas pueden ayudarte a preservar evidencia de forma más eficaz:

Paso 1: notificar al banco inmediatamente (primeras 24 horas)

Si has entregado dinero al estafador por cualquier medio de pago, contactar con tu banco es tan urgente como preservar la evidencia. Hazlo en paralelo: mientras un familiar o amigo te ayuda a hacer capturas, tú llama al banco.

La rapidez es crítica porque los estafadores profesionales utilizan redes de «mulas bancarias» para dispersar el dinero en múltiples cuentas y países en cuestión de horas. Si el banco consigue bloquear la cuenta de destino antes de que el estafador mueva el dinero, la recuperación es mucho más probable.

Marco legal: la Directiva PSD2 y tu protección como consumidor

La Directiva PSD2 (Payment Services Directive 2), transpuesta al derecho español mediante el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago, establece un marco de protección robusto para los consumidores frente a operaciones fraudulentas:

Principios fundamentales de la PSD2:

1. Responsabilidad casi objetiva del banco: El proveedor de servicios de pago (tu banco) debe devolver el importe de las operaciones no autorizadas salvo que demuestre que el cliente actuó con negligencia grave o con intención de defraudar (art. 44 RDL 19/2018).

2. Autenticación reforzada (SCA): Toda operación electrónica de pago debe requerir autenticación reforzada del cliente (algo que sabe + algo que tiene + algo que es). Si el banco autorizó una operación fraudulenta sin requerir autenticación reforzada, la responsabilidad recae totalmente sobre el banco.

3. Plazo de reclamación de 13 meses: Tienes un plazo de 13 meses desde la fecha del cargo para reclamar operaciones no autorizadas (art. 43 RDL 19/2018).

4. Plazo de resolución de 15 días hábiles: El banco debe resolver tu reclamación en un plazo máximo de 15 días hábiles (ampliable a 35 en casos complejos) (art. 45 RDL 19/2018).

5. Devolución inmediata: El banco debe devolver el importe de la operación no autorizada «de inmediato» una vez notificada, a más tardar al final del día hábil siguiente, salvo que tenga motivos razonables para sospechar fraude del propio titular (art. 45.1 RDL 19/2018).

La sentencia del Tribunal Supremo STS 571/2025 de 9 de abril de 2025 reforzó significativamente esta protección. El Supremo estableció que:

• El banco es responsable de las operaciones no autorizadas derivadas de suplantación de identidad, incluso si se utilizaron las credenciales del cliente.
• El banco debe implementar mecanismos automáticos de supervisión y alerta ante operaciones inusuales (por importe, horario, frecuencia, destino).
• El cliente no está obligado a prevenir riesgos desconocidos; su obligación es actuar con prudencia razonable.
• Si el banco no detecta señales claras de fraude (transferencias inusuales, IP desconocida, operaciones fuera de horario), es responsable.

Qué decir exactamente cuando llames al banco

Cuando llames al servicio de atención al cliente o al número de emergencia de tu banco, comunica lo siguiente de forma clara y directa:

1. «He sido víctima de una estafa. Necesito comunicar una operación no autorizada.»
2. Detalla la operación u operaciones fraudulentas: fecha, importe, beneficiario.
3. «Solicito el bloqueo inmediato de mi tarjeta / cuenta / acceso a banca online.»
4. «Solicito la retrocesión / chargeback de las operaciones fraudulentas al amparo del artículo 45 del Real Decreto-ley 19/2018.»
5. «Voy a presentar denuncia policial y les haré llegar una copia.»
6. Anota el nombre del agente, la referencia de la incidencia, la fecha y hora de la llamada. Esto es crucial si necesitas reclamar después.

Procedimiento según el método de pago

Si pagaste con tarjeta de crédito o débito (chargeback)

La tarjeta de crédito o débito es el método de pago que ofrece mayor protección al consumidor frente a estafas:

Procedimiento de chargeback (retrocesión):

Plazos clave del chargeback:

Tasa de éxito: En estafas con tarjeta donde se aporta denuncia policial y evidencia, la tasa de recuperación supera el 60 %, según datos sectoriales. Si además aportas informe pericial que demuestre la suplantación, se acerca al 80 %.

Si pagaste por transferencia bancaria

La transferencia bancaria ofrece menos protección que la tarjeta, pero no todo está perdido:

Si la transferencia aún no se ha ejecutado (transferencias programadas o con retardo):

• Llama inmediatamente al banco y solicita la cancelación.
• Las transferencias SEPA pueden tardar hasta un día hábil en ejecutarse. Si actúas a tiempo, se puede cancelar.

Si la transferencia ya se ha ejecutado:

Tasa de éxito: Si actúas en las primeras 24 horas, la tasa de recuperación ronda el 20-30 %. Si pasan más de 48 horas, baja al 5-10 %. Si el dinero se ha movido a cuentas extranjeras, la recuperación es muy difícil sin intervención judicial internacional.

Si pagaste con Bizum

Bizum es un sistema de pago instantáneo e irrevocable, lo que lo convierte en uno de los más complicados para la víctima de estafa:

El problema fundamental: Bizum se ejecuta en tiempo real, no tiene mecanismo nativo de chargeback, y el pago se autoriza con el PIN del usuario. Esto hace que los bancos argumenten que la operación fue «autorizada» por el cliente.

Sin embargo, la protección PSD2 también aplica a Bizum:

Modalidades de estafa con Bizum más frecuentes:

Si pagaste con PayPal

PayPal ofrece la Protección del comprador, uno de los sistemas de reclamación más favorables para el consumidor:

Importante: Si enviaste dinero como «Amigos y familiares» (en lugar de «Bienes y servicios»), la Protección del comprador no aplica. Los estafadores lo saben y por eso te piden que envíes el dinero de esta forma.

Si pagaste con criptomonedas

Las transacciones en blockchain son irreversibles por diseño. No existe chargeback, no existe retrocesión, y no hay un banco intermediario al que reclamar.

Sin embargo, no todo está perdido:

Tasa de éxito: Inferior al 5 % en términos de recuperación directa del dinero. Sin embargo, el análisis de blockchain puede identificar al estafador si los fondos llegan a una exchange regulada, lo que abre la vía judicial para reclamar daños y perjuicios.

Modelo de reclamación escrita al banco

A continuación, un modelo que puedes adaptar para presentar por escrito al banco:

Qué hacer si el banco rechaza la reclamación

Si el banco deniega la devolución, tienes tres vías de escalada:

1. Departamento de Conducta de Entidades del Banco de España:

• Requisito previo: haber reclamado primero al SAC del banco y no haber obtenido respuesta satisfactoria en 2 meses (o respuesta negativa).
• Presentación: a través de la Oficina Virtual del Banco de España o por correo postal.
• Plazo de resolución: 4-6 meses.
• Importante: el informe del Banco de España no es vinculante, pero tiene un peso significativo y muchos bancos cumplen sus resoluciones.

2. Reclamación ante la CNMC o el juzgado de lo mercantil si se trata de una cláusula abusiva.

3. Vía judicial (Juzgado de Primera Instancia):

• Para importes de hasta 2.000 €: juicio verbal sin necesidad de abogado ni procurador.
• Para importes de 2.001 a 6.000 €: juicio verbal, no es obligatorio pero sí muy recomendable contar con abogado.
• Para importes superiores a 6.000 €: juicio ordinario, se requiere abogado y procurador.
• El coste judicial puede recuperarse si ganas (costas procesales a cargo del banco).

Paso 2: denuncia ante la Policía Nacional

La denuncia ante las autoridades policiales es imprescindible no solo para iniciar la investigación criminal, sino también como requisito para muchos procedimientos de reclamación (banco, seguro, plataformas de pago).

Brigada Central de Investigación Tecnológica (BCIT)

La Brigada Central de Investigación Tecnológica (BCIT), integrada en la Comisaría General de Policía Judicial de la Policía Nacional, es el órgano especializado en la investigación y persecución de ciberdelitos a nivel nacional y transnacional. Actúa como Centro de Prevención y Respuesta E-Crime de la Policía Nacional.

Sus funciones principales incluyen:

• La investigación directa de los casos especialmente complejos de ciberdelincuencia.
• La coordinación de operaciones que involucran a diversas Jefaturas Superiores.
• La representación internacional y ejecución de investigaciones transfronterizas.
• La colaboración con Europol, Interpol y otras agencias internacionales.

Los ciberdelitos que investiga la BCIT incluyen: estafas y fraudes informáticos, phishing y suplantación, ataques informáticos y ransomware, delitos contra la propiedad intelectual en internet, fraudes en telecomunicaciones, blanqueo de capitales a través de criptomonedas, y cualquier actividad delictiva que utilice medios telemáticos.

Denuncia online: Oficina Virtual de Denuncias

La Policía Nacional ofrece la posibilidad de presentar denuncia por vía telemática a través de su Oficina Virtual de Denuncias en denuncias.policia.es.

Pasos para denunciar online:

Limitaciones de la denuncia online:

La Oficina Virtual de Denuncias tiene restricciones sobre qué tipos de hechos se pueden denunciar por esta vía. Estafas informáticas y fraudes online generalmente sí se pueden denunciar online, pero:

• Si el importe es elevado o la estafa es compleja, es preferible la denuncia presencial.
• Si tienes muchos documentos de evidencia, la denuncia presencial permite entregarlos de forma más completa.
• Si la estafa involucra violencia, intimidación o el autor es conocido, no se puede usar la vía online.

Denuncia presencial en comisaría

Para estafas de cierta complejidad o cuantía, la denuncia presencial sigue siendo la opción más completa:

Qué llevar a la comisaría:

Cómo describir los hechos en la denuncia:

El relato que hagas ante el agente se transcribirá en el atestado policial y será la base de la investigación. Sigue estas recomendaciones:

• Sé cronológico: empieza por el principio (cómo conociste al estafador o cómo llegaste a la web fraudulenta) y termina por la última acción que has realizado.
• Sé concreto: da fechas, horas, importes y datos exactos. «Hice una transferencia de 1.200 € el 15 de marzo a las 12:30 al IBAN ES76 0049 xxxx xx xxxxxxxxxx» es mucho mejor que «le envié dinero hace unos días».
• Incluye datos técnicos: número de teléfono del estafador, dirección de email, URL de la web fraudulenta, IBAN de destino, etc.
• Cuantifica el perjuicio económico total: suma todos los pagos realizados y gastos asociados.
• Solicita expresamente la investigación de los hechos y la identificación del autor.
• Si crees que hay más víctimas, dilo. Esto puede motivar una investigación más amplia.

Después de presentar la denuncia:

• Te darán una copia de la denuncia con un número de referencia (atestado). Guárdala con cuidado.
• Puedes hacer seguimiento llamando a la comisaría y proporcionando el número de atestado.
• Sé realista: la investigación de estafas online puede tardar meses. La carga de trabajo de las unidades de ciberdelincuencia es enorme.
• Si pasados 2-3 meses no tienes noticias, puedes llamar para preguntar por el estado.
• Si la policía archiva el caso por falta de autor conocido, no pierdes el derecho a presentar querella ante el juzgado o a reclamar por la vía civil si se identifica al autor en el futuro.

📁 DENUNCIA_ESTAFA_[TU_NOMBRE]_[FECHA]
├── 📁 01_CRONOLOGIA
│   └── cronologia-hechos.pdf
├── 📁 02_DATOS_ESTAFADOR
│   └── datos-identificativos.pdf
├── 📁 03_CAPTURAS_PANTALLA
│   ├── captura-anuncio-01.png
│   ├── captura-perfil-estafador.png
│   └── ...
├── 📁 04_CONVERSACIONES
│   ├── export-whatsapp.zip
│   ├── export-email.eml
│   └── ...
├── 📁 05_COMPROBANTES_PAGO
│   ├── extracto-bancario.pdf
│   ├── comprobante-transferencia.pdf
│   └── ...
├── 📁 06_WEB_FRAUDULENTA
│   ├── captura-web-completa.png
│   ├── web-guardada.html
│   └── datos-dominio-whois.txt
├── 📁 07_HASHES_SHA256
│   └── hashes-todos-archivos.txt
└── 📄 INDICE-ARCHIVOS.pdf

Qué hacer si la policía no acepta toda tu evidencia digital

En algunos casos, los agentes de comisaría pueden no estar familiarizados con la importancia de ciertos tipos de evidencia digital y pueden no saber cómo incorporar un USB con archivos al atestado. Si esto ocurre:

• Insiste amablemente en que quede constancia en la denuncia de que aportas un USB con evidencia digital organizada.
• Si no aceptan el USB, pide que al menos conste en el atestado que ofreces entregar la evidencia digital y que quede registrado el contenido (lista de archivos).
• Solicita que el caso se derive a la unidad de delitos tecnológicos de la Jefatura Superior o Comandancia correspondiente.
• Si la experiencia es insatisfactoria, puedes presentar una queja formal ante la Inspección del Cuerpo o acudir al Juzgado de Guardia.
• Alternativamente, puedes solicitar que te reciba un agente de la Unidad de Investigación Tecnológica local, que tendrá más experiencia con evidencia digital.

Modelo de escrito de denuncia para llevar preparado

Llevar la denuncia ya redactada por escrito es una excelente práctica. El agente la transcribirá al formato oficial, pero disponer de un documento bien estructurado ahorra tiempo y garantiza que no se omite nada. Aquí tienes un modelo adaptable:

Diferencias entre denunciar en una ciudad grande vs. un municipio pequeño

La experiencia de denunciar una estafa online puede ser muy diferente según dónde lo hagas:

En ciudades grandes (Madrid, Barcelona, Valencia, Sevilla, etc.):

• Hay unidades especializadas en ciberdelincuencia (BCIT, equipos de investigación tecnológica) con más recursos y experiencia.
• Los agentes de comisaría están más familiarizados con este tipo de delitos.
• Puede haber más espera para ser atendido (comisarías saturadas).
• El caso tiene más probabilidades de ser investigado activamente.

En municipios pequeños o zonas rurales:

• Es más probable que debas denunciar ante la Guardia Civil (no hay comisaría de Policía Nacional).
• Los agentes del puesto local pueden tener menos experiencia con ciberdelitos, pero están obligados a aceptar la denuncia y a derivar el caso a la unidad especializada.
• La atención suele ser más personal y con menos espera.
• El caso será derivado al Equipo de Investigación Tecnológica de la Comandancia provincial o al GDT central.

Recomendación: Independientemente de dónde vivas, prepara tu denuncia de forma completa y organizada (siguiendo esta guía). Si el agente que te atiende no tiene experiencia con ciberdelitos, tu documentación bien preparada compensará ese déficit y facilitará que el caso sea correctamente derivado y priorizado.

Cuándo pedir traslado a la BCIT

Si tu caso implica alguna de estas circunstancias, puedes solicitar que sea derivado a la Brigada Central de Investigación Tecnológica:

• Importe defraudado superior a 50.000 €.
• Estafa con criptomonedas que requiere análisis de blockchain.
• Estafador que opera desde fuera de España (investigación transfronteriza).
• Estafa masiva con múltiples víctimas identificadas.
• Uso de malware o herramientas sofisticadas de hacking.
• Suplantación de identidad de una empresa conocida.

Paso 3: denuncia ante la Guardia Civil

La Guardia Civil ofrece una alternativa equivalente a la Policía Nacional para denunciar estafas online. En algunos casos, puede ser incluso más conveniente.

Grupo de Delitos Telemáticos (GDT)

El Grupo de Delitos Telemáticos (GDT), integrado en la Unidad Central Operativa (UCO) de la Guardia Civil, es la unidad especializada en la investigación de ciberdelitos. Su portal web (gdt.guardiacivil.es) permite reportar incidentes y solicitar colaboración ciudadana.

El GDT investiga: estafas y fraudes online, ataques informáticos, delitos contra menores en internet, fraudes en telecomunicaciones, blanqueo de capitales a través de medios digitales, delitos en la Dark Web, y cualquier otro ciberdelito.

Denuncia telemática de la Guardia Civil

Desde el verano de 2025, la Guardia Civil permite interponer denuncias sin salir de casa a través de su Sede Electrónica:

Denuncia presencial en cuartel o puesto

El procedimiento presencial es similar al de la Policía Nacional:

• Acude a cualquier cuartel o puesto de la Guardia Civil con la misma documentación que llevarías a una comisaría (ver lista del Paso 2).
• El agente tomará declaración y formalizará el atestado.
• Si el caso presenta complejidad técnica, puede ser derivado al Equipo de Investigación Tecnológica de la Comandancia correspondiente o, en casos de especial relevancia, al GDT central.

Cuándo elegir Guardia Civil vs. Policía Nacional

En la práctica, ambos cuerpos son igual de válidos. Lo importante es denunciar, no dónde lo hagas. Si en tu localidad solo hay Guardia Civil (municipio sin comisaría de Policía Nacional), acude a la Guardia Civil sin dudarlo.

Consejo importante: Una vez presentada la denuncia ante un cuerpo, el caso se tramita a través de ese cuerpo. Si presentas la denuncia ante la Policía Nacional, no necesitas duplicarla ante la Guardia Civil (ni viceversa). No dupliques denuncias salvo que un abogado te lo aconseje por alguna razón específica.

Formulario de colaboración ciudadana del GDT

Además de la denuncia formal, el GDT ofrece un formulario de colaboración ciudadana en su web (gdt.guardiacivil.es) para:

• Reportar webs fraudulentas o de contenido ilegal.
• Informar sobre estafas o fraudes online detectados.
• Proporcionar información sobre ciberdelincuentes.
• Alertar sobre campañas de phishing o distribución de malware.

Este formulario no sustituye a la denuncia formal, pero es útil para proporcionar información adicional que pueda ayudar a la investigación o alertar sobre amenazas en curso.

Paso 4: INCIBE y la línea 017

El Instituto Nacional de Ciberseguridad (INCIBE) no es una autoridad policial ni judicial, pero ofrece un servicio de asesoramiento gratuito que puede ser muy valioso, especialmente si no sabes por dónde empezar.

¿Qué es INCIBE y qué puede hacer por ti?

INCIBE es el organismo de referencia en ciberseguridad en España, dependiente del Ministerio para la Transformación Digital y de la Función Pública. Sus funciones relevantes para víctimas de estafas incluyen:

• Asesoramiento gratuito y confidencial sobre cómo actuar ante incidentes de ciberseguridad.
• Derivación a las autoridades competentes (Policía, Guardia Civil, AEPD).
• Gestión de incidentes a través de su equipo CERT (Computer Emergency Response Team).
• Detección y notificación de sistemas vulnerables y campañas de fraude activas.
• Recursos educativos a través de la Oficina de Seguridad del Internauta (OSI).

La línea 017: Tu Ayuda en Ciberseguridad

La línea 017 es el servicio de atención telefónica de INCIBE para cuestiones de ciberseguridad. En 2025, atendió 142.767 consultas, un 44,9 % más que en 2024, lo que da idea de su relevancia.

Datos de contacto:

Qué puedes esperar cuando llames al 017:

Estadísticas del 017 (2025):

• 49 % consultas preventivas: usuarios que contactan para resolver dudas antes de que ocurra un incidente.
• 51 % consultas reactivas: víctimas que contactan para saber cómo actuar tras un incidente.
• 28 % de los usuarios recibieron intentos de phishing, vishing o smishing.
• 16 % contactaron por fraudes en compras online.
• 14 % contactaron por suplantación de identidad digital.

Reporte de fraude de INCIBE

Además de la línea 017, INCIBE ofrece un formulario de reporte de fraude en su web (incibe.es/ciudadania/ayuda/reporte-de-fraude) que permite:

• Reportar emails de phishing.
• Reportar SMS fraudulentos (smishing).
• Reportar tiendas online falsas.
• Reportar webs que distribuyen malware.
• Reportar campañas de fraude activas.

Este reporte permite al CERT de INCIBE tomar medidas técnicas como solicitar la retirada del contenido fraudulento a los proveedores de hosting, bloquear dominios maliciosos y alertar a otros posibles afectados.

Oficina de Seguridad del Internauta (OSI)

La OSI es el portal de referencia de INCIBE dirigido a ciudadanos y usuarios de internet:

• Web: osi.es
• Qué ofrece:
  • Alertas actualizadas sobre campañas de fraude y phishing activas.
  • Guías prácticas sobre seguridad en internet.
  • Herramientas gratuitas de seguridad: antivirus, configuradores de privacidad, verificadores de enlaces.
  • Tests de autoevaluación de ciberseguridad.
  • Blog con noticias sobre amenazas y consejos de protección.

Recomendación: Suscríbete a los boletines de la OSI para mantenerte informado sobre las últimas campañas de fraude activas en España. Esto te permitirá identificar intentos de estafa antes de caer en ellos.

CERT de INCIBE: respuesta técnica a incidentes

El CERT (Computer Emergency Response Team) de INCIBE es el equipo técnico que responde a incidentes de ciberseguridad:

• Gestiona la retirada de webs fraudulentas, URLs de phishing y dominios maliciosos.
• Notifica a los proveedores de hosting sobre contenido fraudulento alojado en sus servidores.
• Coordina la respuesta a incidentes masivos (campañas de phishing a gran escala, distribución de malware).
• Analiza muestras de malware y phishing para identificar patrones.
• Comparte inteligencia sobre amenazas con otros CERTs nacionales e internacionales.

Si durante la estafa te enviaron un enlace malicioso, un archivo sospechoso o detectaste una web fraudulenta que sigue activa, reportarlo al CERT de INCIBE puede contribuir a su retirada y proteger a otras posibles víctimas.

Paso 5: acudir al Juzgado de Guardia

El Juzgado de Guardia es una opción que muchas víctimas desconocen, pero que puede ser decisiva en determinadas circunstancias.

Cuándo acudir al Juzgado de Guardia

Hay tres escenarios en los que acudir directamente al Juzgado de Guardia es la mejor opción:

1. Cuando la policía rechaza o minimiza la denuncia:

Aunque no debería ocurrir, hay casos en los que los agentes en comisaría consideran que «no pueden hacer nada» o intentan disuadirte de denunciar. Si esto sucede, tienes derecho a presentar la denuncia directamente ante el Juzgado de Instrucción de guardia de tu partido judicial. El juzgado está obligado a admitir la denuncia y a iniciar las diligencias pertinentes.

2. Cuando necesitas medidas cautelares urgentes:

Si necesitas que un juez ordene urgentemente:

• El bloqueo de una cuenta bancaria donde se encuentran tus fondos.
• La retirada de una web fraudulenta que está estafando activamente.
• La conservación de datos de comunicaciones electrónicas por un proveedor de servicios.
• La identificación urgente del titular de una línea telefónica o IP.

Solo un juez puede ordenar estas medidas, y el Juzgado de Guardia es la vía más rápida.

3. Cuando quieres presentar querella criminal (con abogado y procurador):

La querella es más potente que la denuncia porque:

• Te constituyes como acusación particular (parte activa en el proceso).
• Puedes solicitar diligencias de investigación concretas.
• Tienes acceso a las actuaciones y puedes intervenir en el procedimiento.
• El juez está obligado a admitir o inadmitir la querella de forma motivada (la denuncia puede archivarse con menos formalidades).

Diferencias entre denuncia y querella

Abogado de oficio: cuándo puedes solicitarlo

Si no tienes recursos económicos para contratar un abogado privado, puedes solicitar un abogado de oficio a través del turno de oficio del Colegio de Abogados de tu provincia.

Requisitos para acceder al abogado de oficio:

• Que tus ingresos anuales brutos no superen el doble del IPREM (en 2026, aprox. 15.876 € brutos anuales para persona sola, con ajustes según unidad familiar).
• Que no cuentes con patrimonio significativo.

Procedimiento:

• Solicita la asistencia jurídica gratuita en el Colegio de Abogados de tu provincia o en cualquier Juzgado.
• Se te asignará un abogado del turno de oficio que te representará gratuitamente.
• El abogado puede asistirte tanto para presentar la denuncia como para ejercer la acusación particular o para la reclamación civil.

Importante: La solicitud de abogado de oficio puede tardar semanas en resolverse. Si necesitas actuar con urgencia, no esperes a tener abogado para denunciar. Puedes presentar la denuncia tú solo ante la policía o el Juzgado de Guardia, y el abogado de oficio puede personarse después.

La acusación particular: por qué es importante

Si decides ejercer la acusación particular (constituirte como parte activa en el proceso penal, con abogado y procurador), obtienes ventajas significativas:

Ventajas de ser acusación particular:

• Acceso a las actuaciones: Puedes consultar el expediente judicial y conocer el estado de la investigación en todo momento.
• Capacidad de impulso procesal: Puedes proponer diligencias de investigación concretas (por ejemplo, solicitar un informe pericial, pedir que se requiera información a un banco o plataforma, solicitar la declaración de un testigo).
• Participación en el juicio oral: Puedes formular preguntas al acusado, a los testigos y a los peritos. Puedes presentar tus propios informes periciales y testimonios.
• Solicitud de indemnización: Puedes solicitar directamente en el proceso penal la responsabilidad civil (indemnización por los daños y perjuicios causados), evitando tener que iniciar un proceso civil separado.
• Mayor peso en las negociaciones: Si el acusado quiere llegar a un acuerdo (conformidad), la acusación particular tiene voz y voto.

Coste aproximado de la acusación particular:

• Abogado: Honorarios variables. Para un caso de estafa online, entre 1.500 y 5.000 € dependiendo de la complejidad y la duración del procedimiento. Si tienes derecho a abogado de oficio, no hay coste.
• Procurador: Honorarios regulados por arancel. Para un procedimiento abreviado, entre 300 y 800 €. Si tienes derecho a justicia gratuita, incluye procurador de oficio.
• Perito (si procede): 500-2.500 € adicionales.

¿Merece la pena? Depende del importe defraudado. Para estafas superiores a 5.000-10.000 €, la acusación particular es generalmente una inversión rentable. Para importes inferiores, puede no compensar económicamente (aunque sí emocionalmente, al sentir que participas activamente en la persecución del delito).

Cómo presentar la denuncia en el Juzgado de Guardia

Paso 6: denuncia ante la AEPD (si hay brecha de datos personales)

Si la estafa ha implicado un acceso no autorizado a tus datos personales — robo de credenciales, phishing con captación de datos, filtración de información personal, suplantación de identidad digital — puedes y debes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Cuándo procede la reclamación ante la AEPD

La reclamación ante la AEPD es pertinente cuando:

• Una empresa no ha protegido adecuadamente tus datos y ha facilitado la estafa (por ejemplo, una brecha de seguridad de la que resultó la filtración de tus datos bancarios).
• Has detectado que tus datos están siendo utilizados sin tu consentimiento (por ejemplo, han abierto cuentas bancarias o contratado servicios a tu nombre).
• Has ejercido tus derechos RGPD (acceso, rectificación, supresión) ante una empresa y no han respondido en el plazo legal de 1 mes.
• Una empresa te ha enviado comunicaciones comerciales no solicitadas que resultaron ser phishing o spam.
• Tus datos aparecen en bases de datos ilícitas que se comercializan en foros o en la Dark Web.

Procedimiento de reclamación ante la AEPD

Tus derechos bajo el RGPD

Como persona afectada por una estafa que ha comprometido tus datos personales, tienes estos derechos:

Casos frecuentes en los que procede la reclamación ante la AEPD

Estos son ejemplos concretos de situaciones en las que la reclamación ante la AEPD es pertinente tras una estafa online:

Caso 1: Filtración de datos bancarios por brecha de seguridad. Tu banco o una empresa donde eras cliente sufrió una brecha de seguridad y los datos filtrados (nombre, DNI, IBAN, email) fueron utilizados por estafadores para contactarte con información real tuya, haciendo el phishing mucho más creíble. La empresa que sufrió la brecha puede ser sancionada por no proteger adecuadamente tus datos.

Caso 2: Venta ilícita de bases de datos. Descubres que tus datos personales están a la venta en foros de internet o en la Dark Web. Puedes reclamar ante la AEPD contra la empresa de la que se extrajeron esos datos (si es identificable).

Caso 3: Compra online con datos de tarjeta robados. Alguien utiliza los datos de tu tarjeta de crédito para realizar compras online. Si la empresa vendedora no verificó correctamente la identidad del comprador (falta de 3D Secure / autenticación reforzada), puede ser responsable por incumplimiento de la normativa de protección de datos y servicios de pago.

Caso 4: Suplantación de identidad para contratar servicios. Alguien contrata un servicio a tu nombre (telefonía, préstamo, suscripción) utilizando tus datos personales. Puedes reclamar contra la empresa que contrató sin verificar adecuadamente tu identidad.

Caso 5: Correos de phishing que utilizan datos personales reales. Recibes un email de phishing que incluye tu nombre completo, DNI y número de cuenta bancaria reales, lo que demuestra que hubo una filtración de datos. Puedes reclamar contra la entidad de la que se extrajeron esos datos.

Sanciones posibles de la AEPD

Si la AEPD determina que una empresa ha incumplido el RGPD y ha facilitado la estafa por falta de medidas de seguridad:

• Infracciones leves: multa de hasta 40.000 €.
• Infracciones graves: multa de hasta 300.000 €.
• Infracciones muy graves: multa de hasta 20 millones de euros o el 4 % del volumen de negocio anual global de la empresa.

Cómo funciona la investigación policial: qué ocurre con tu denuncia

Muchas víctimas desconocen qué pasa con su denuncia después de presentarla. Entender el proceso puede ayudar a gestionar las expectativas:

Fase 1: Registro y clasificación (1-7 días)

Tu denuncia se registra en el sistema SIDENPOL (Policía Nacional) o SIGO (Guardia Civil). Se le asigna un número de atestado y se clasifica por tipo de delito, gravedad y cuantía. Los casos se priorizan según criterios como: cuantía del perjuicio, existencia de datos identificativos del autor, urgencia (fondos que aún pueden ser bloqueados), número de víctimas, y complejidad técnica.

Fase 2: Asignación a un investigador (1-4 semanas)

El caso se asigna a un investigador de la unidad de delitos tecnológicos (BCIT, UIT local, o GDT/Equipo de Investigación Tecnológica de la Guardia Civil). En períodos de alta carga, esta asignación puede tardar más.

Fase 3: Diligencias de investigación (1-12 meses)

El investigador realiza las diligencias necesarias:

• Solicitud de información a entidades bancarias: Para identificar al titular de la cuenta de destino. Requiere autorización judicial si no hay colaboración voluntaria.
• Solicitud de información a operadores de telecomunicaciones: Para identificar al titular de la línea telefónica utilizada. Requiere autorización judicial.
• Solicitud de información a plataformas online: Para identificar al titular de la cuenta (Wallapop, WhatsApp, Instagram, etc.). Muchas plataformas requieren orden judicial, especialmente las con sede fuera de España.
• Solicitud de datos de conexión a proveedores de internet: Para identificar al usuario asociado a una dirección IP. Requiere autorización judicial y los datos se conservan durante un tiempo limitado.
• Análisis de la evidencia aportada: La evidencia que tú proporcionaste se examina y se cruza con otros casos para identificar patrones.
• Cooperación internacional: Si el caso tiene componente transnacional, se activan los canales de cooperación (Europol, Orden Europea de Investigación, comisión rogatoria).

Fase 4: Identificación del autor (si procede)

Si las diligencias permiten identificar al autor, el caso se remite al juzgado con una propuesta de actuación (citación, detención). Si no se identifica al autor, el caso puede ser archivado «por autor desconocido», pero queda registrado y puede ser reabierto si surgen nuevos datos.

Fase 5: Remisión al juzgado

El atestado policial completo se remite al Juzgado de Instrucción competente, que decide si abre diligencias previas (instrucción del caso) o si archiva las actuaciones.

Protocolo especial: estafas con implicación de menores

Si un menor ha sido víctima de una estafa online (compras in-app no autorizadas, estafas en juegos online, engaños en redes sociales), el protocolo de denuncia tiene algunas particularidades:

• La denuncia debe ser presentada por los padres o tutores legales.
• Si la estafa involucró contacto con un adulto que se hizo pasar por menor, puede haber indicios de otros delitos más graves (grooming, art. 183 CP). Comunícalo expresamente en la denuncia.
• INCIBE 017 tiene un servicio específico de asesoramiento para menores y padres.
• La Fundación ANAR (teléfono 900 20 20 10) ofrece ayuda gratuita y confidencial para menores en riesgo.
• Si la estafa ocurrió en un videojuego o plataforma dirigida a menores, presenta reclamación ante la plataforma y ante la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN).

Estafas a empresas: consideraciones adicionales

Las empresas víctimas de estafas online tienen consideraciones adicionales que los particulares no tienen:

Obligaciones legales:

• Notificación de brecha de datos (RGPD): Si la estafa ha comprometido datos personales de clientes, empleados o proveedores, la empresa tiene la obligación de notificar la brecha a la AEPD en un plazo máximo de 72 horas y, en ciertos casos, a los afectados.
• Comunicación a auditores: Si la empresa está sujeta a auditoría, debe comunicar el incidente al auditor.
• Comunicación al seguro: Si tiene seguro cyber, debe comunicar el siniestro en el plazo estipulado (generalmente 24-72 horas).

Preservación de evidencia corporativa:

• Es imprescindible contar con un perito informático para la preservación forense, ya que la evidencia está distribuida en múltiples sistemas (servidores, estaciones de trabajo, correo electrónico, logs de red).
• El perito debe trabajar coordinadamente con el departamento de IT de la empresa.
• La preservación debe ser discreta si se sospecha de fraude interno (un empleado podría destruir evidencia si se alerta de la investigación).

Impacto fiscal:

• Las pérdidas por estafa pueden ser deducibles como gasto extraordinario si están debidamente documentadas (denuncia + sentencia o auto de archivo).
• Consulta con el asesor fiscal de la empresa.

Responsabilidad frente a terceros:

• Si la estafa afectó a clientes o proveedores (por ejemplo, un fraude del CEO que desvió pagos a cuentas falsas), la empresa puede tener responsabilidad frente a esos terceros.
• La documentación del perito es crucial para delimitar responsabilidades.

Otros canales de denuncia y reclamación

Además de los canales principales, existen otros organismos y vías que pueden ser útiles dependiendo de las circunstancias de la estafa:

Reclamación en la plataforma

Si la estafa ocurrió a través de una plataforma online (marketplace, red social, tienda), presenta una reclamación directamente ante la plataforma:

• Wallapop: Abre el chat con el vendedor → Reportar → Estafa. Wallapop puede bloquear la cuenta del estafador e investigar el caso.
• Vinted: Abre una disputa dentro de la transacción protegida. Si pagaste a través del sistema de Vinted, puedes obtener la devolución.
• Amazon: Contacta con Atención al Cliente → solicita la aplicación de la «Garantía de la A a la Z» si el producto no llegó o no es lo que se describía.
• eBay: Centro de resoluciones → «No he recibido el artículo» o «El artículo no coincide con la descripción».
• Facebook Marketplace: Reporta el perfil y el anuncio. Si pagaste a través de Facebook Pay, abre una disputa.
• Instagram/TikTok: Reporta la cuenta del estafador. Si compraste a través de publicidad, reporta también el anuncio.
• Airbnb, Booking, etc.: Contacta con el soporte de la plataforma antes de denunciar externamente.

Oficinas Municipales de Información al Consumidor (OMIC)

Las OMIC son oficinas gratuitas del ayuntamiento que asesoran y median en reclamaciones de consumo:

• Pueden mediar entre tú y la empresa o plataforma.
• Pueden derivar el caso a la Junta Arbitral de Consumo (resolución rápida y gratuita, pero requiere que la empresa acepte el arbitraje).
• Pueden informarte sobre tus derechos como consumidor.
• Localiza la OMIC más cercana en la web de tu ayuntamiento.

Organizaciones de consumidores

Las principales organizaciones de consumidores en España pueden ayudarte:

• OCU (Organización de Consumidores y Usuarios): Asesoramiento, reclamaciones colectivas, mediación. ocu.org.
• FACUA: Denuncia pública de abusos, asesoramiento legal, reclamaciones. facua.org.
• ASUFIN (Asociación de Usuarios Financieros): Especializada en reclamaciones bancarias y financieras. asufin.com.

Centro Europeo del Consumidor (CEC España)

Si la estafa involucra a una empresa o persona de otro país de la UE, Islandia o Noruega, el Centro Europeo del Consumidor (CEC España) puede ayudarte:

• Asesoramiento gratuito sobre compras transfronterizas.
• Mediación con la empresa o con el CEC del otro país.
• Información sobre la plataforma ODR (Online Dispute Resolution) de la Comisión Europea.
• Contacto: cec.consumo.gob.es.

CNMV (si la estafa involucra inversiones)

Si fuiste víctima de una estafa de inversión (chiringuito financiero, plataforma de trading falsa, criptoestafa con promesa de rendimientos):

• Consulta el listado de entidades no autorizadas de la CNMV en cnmv.es/Portal/Consultas/Advertencias.aspx.
• Presenta una reclamación o consulta ante la CNMV.
• La CNMV publica regularmente advertencias sobre chiringuitos financieros.

Junta Arbitral de Consumo

Si la estafa involucró a una empresa que está adherida al Sistema Arbitral de Consumo, puedes solicitar un arbitraje:

• Qué es: Un procedimiento gratuito, rápido y vinculante de resolución de conflictos entre consumidores y empresas.
• Requisito: La empresa debe estar adherida al sistema (voluntariamente) o aceptar el arbitraje para el caso concreto.
• Plazo de resolución: 90 días desde la aceptación del arbitraje.
• Ventaja: Es gratuito, más rápido que la vía judicial, y el laudo es ejecutable como una sentencia.
• Limitación: Solo resuelve la dimensión de consumo (reclamación económica), no la penal. Si quieres perseguir penalmente al estafador, necesitas la denuncia.
• Cómo solicitarlo: A través de la OMIC de tu ayuntamiento o de la Junta Arbitral de Consumo de tu comunidad autónoma.

Defensor del Pueblo

Si consideras que una administración pública no ha actuado correctamente en la gestión de tu caso (por ejemplo, la policía no admitió tu denuncia, o un organismo público no protegió adecuadamente tus datos):

• Puedes presentar una queja ante el Defensor del Pueblo.
• Es un trámite gratuito y sencillo (puede hacerse online en defensordelpueblo.es).
• El Defensor del Pueblo investigará y, si procede, emitirá una recomendación a la administración afectada.

Fiscalía de Criminalidad Informática

Puedes dirigirte directamente a la Fiscalía Especializada en Criminalidad Informática si consideras que tu caso merece atención especial:

• La Fiscalía puede ordenar directamente la apertura de diligencias de investigación.
• Es especialmente útil en casos complejos, con múltiples víctimas o de alcance transnacional.
• Contacto: a través de la Fiscalía Provincial de tu territorio.

OLAF (Oficina Europea de Lucha contra el Fraude)

Para estafas que involucren fondos europeos o fraudes transfronterizos de gran escala:

• Portal de denuncia: ec.europa.eu/anti-fraud.
• OLAF investiga fraudes que afectan al presupuesto de la UE.

Europol / IC3

Para estafas con conexiones internacionales:

• Europol: Actúa a través de las policías nacionales, no acepta denuncias directas de ciudadanos, pero puedes reportar información en europol.europa.eu/report-a-crime.
• IC3 (Internet Crime Complaint Center del FBI): Si la estafa tiene conexión con EE.UU., puedes presentar un reporte en ic3.gov.

Cuándo necesitas un perito informático: 15 escenarios detallados

No todos los casos de estafa online requieren un perito informático, pero hay situaciones donde su intervención marca la diferencia entre recuperar tu dinero o perderlo definitivamente, entre que el estafador sea identificado o quede impune.

Un perito informático aporta tres valores fundamentales:

1. Preservación forense con cadena de custodia: Las pruebas que recopile tendrán validez plena en juicio, al estar preservadas conforme a la norma ISO/IEC 27037.
2. Análisis técnico especializado: Puede extraer información que no es visible a simple vista (metadatos, IPs, trazas digitales, análisis de blockchain).
3. Informe pericial con validez judicial: El informe pericial es una prueba con peso procesal superior a las capturas de pantalla simples. Además, el perito puede ratificarse en juicio defendiendo sus conclusiones.

Escenario 1: Importe superior a 3.000 €

Por qué necesitas perito: A partir de este umbral, la complejidad procesal y el riesgo económico justifican la inversión en un informe pericial profesional. El coste del peritaje (generalmente entre 500 y 2.000 €) es una fracción del importe defraudado y puede ser decisivo para la recuperación.

Qué hace el perito: Preserva toda la evidencia digital con cadena de custodia certificada, elabora un informe técnico que documenta la estafa de forma incontestable, y proporciona una base probatoria sólida para la reclamación al banco (PSD2) y para el procedimiento penal.

Escenario 2: El estafador es anónimo o usa identidad falsa

Por qué necesitas perito: Si no sabes quién es el estafador, las autoridades necesitan pistas técnicas para identificarlo. Un perito puede analizar metadatos de emails, fotos y documentos, rastrear direcciones IP, investigar dominios web, analizar perfiles mediante técnicas OSINT (inteligencia de fuentes abiertas), e identificar patrones que vinculen al estafador con una persona o ubicación real.

Qué hace el perito: Análisis de cabeceras de email para extraer IPs de origen, análisis de metadatos EXIF de fotografías enviadas por el estafador (pueden revelar dispositivo, ubicación, fecha), investigación WHOIS de dominios fraudulentos, análisis de perfiles en redes sociales mediante técnicas OSINT, trazabilidad de IPs a través de diferentes servicios.

Escenario 3: Estafa mediante malware o acceso remoto

Por qué necesitas perito: Si el estafador instaló malware en tu dispositivo o accedió remotamente (mediante herramientas como AnyDesk, TeamViewer, etc.), se necesita un análisis forense del dispositivo para determinar exactamente qué hizo el atacante: qué datos accedió, qué archivos copió, qué credenciales robó, qué software instaló.

Qué hace el perito: Imagen forense del disco duro, análisis de memoria RAM (si el equipo no se apagó), análisis de logs del sistema, identificación del malware y su funcionalidad, determinación del alcance del acceso no autorizado, elaboración de timeline forense de la actividad del atacante.

Escenario 4: La otra parte niega los hechos

Por qué necesitas perito: Si el presunto estafador niega que la comunicación tuvo lugar, que hizo las promesas que le atribuyes, o que recibió el dinero, tus capturas de pantalla pueden ser impugnadas como «manipuladas». Un informe pericial que certifique la autenticidad e integridad de la evidencia elimina esa posibilidad.

Qué hace el perito: Certificación de mensajes de WhatsApp, Telegram, email, etc. mediante extracción forense directa del dispositivo, verificación de integridad de capturas de pantalla, análisis de metadatos que demuestren la autenticidad de las comunicaciones, elaboración de informe que resista la impugnación.

Escenario 5: Criptomonedas implicadas

Por qué necesitas perito: Las transacciones en blockchain son públicas pero pseudoanónimas. Un perito especializado puede rastrear el movimiento de los fondos a través de múltiples wallets, identificar si llegaron a una exchange regulada (donde el titular está identificado con KYC), y elaborar un informe que las autoridades puedan usar para solicitar la identificación del titular.

Qué hace el perito: Análisis de blockchain (Bitcoin, Ethereum, u otra), trazabilidad de transacciones a través de mixers, tumblers y múltiples wallets, identificación de exchanges de destino, elaboración de diagrama de flujo de fondos, colaboración con exchanges para solicitar información del titular.

Escenario 6: Múltiples víctimas del mismo estafador

Por qué necesitas perito: Si se identifica que hay varias víctimas del mismo estafador o esquema fraudulento, un único informe pericial puede servir para todas. Esto reduce costes por víctima y fortalece enormemente el caso al demostrar un patrón delictivo.

Qué hace el perito: Recopila y analiza la evidencia de múltiples víctimas, identifica patrones comunes (mismo IBAN, misma IP, mismo modus operandi), elabora un informe integral que puede ser utilizado en un procedimiento conjunto.

Escenario 7: Empresa como víctima de fraude externo

Por qué necesitas perito: Las empresas víctimas de estafas online (phishing a empleados, fraude del CEO, compromiso de email empresarial) necesitan un análisis profesional para determinar el alcance de la brecha, cumplir con las obligaciones de notificación del RGPD, y documentar los daños para la reclamación al seguro.

Qué hace el perito: Análisis forense de las comunicaciones comprometidas, determinación del vector de ataque (cómo consiguió el estafador acceso al email o a la red), evaluación del alcance de la información comprometida, informe para cumplimiento regulatorio (RGPD, notificación de brecha), informe para la compañía de seguros cyber.

Escenario 8: Empresa como víctima de fraude interno

Por qué necesitas perito: Si un empleado ha cometido fraude contra la empresa (desvío de fondos, facturación ficticia, manipulación de datos), el análisis forense de fraudes es esencial para documentar el alcance del fraude y para el despido disciplinario y/o la acción judicial.

Qué hace el perito: Análisis de ordenadores y dispositivos del empleado, revisión de emails y comunicaciones, análisis de accesos a sistemas y bases de datos, reconstrucción cronológica de la actividad fraudulenta, cuantificación económica del perjuicio.

Escenario 9: Procedimiento judicial ya iniciado

Por qué necesitas perito: Si el caso ya está en fase judicial (diligencias previas, fase de instrucción, juicio oral), el juez puede requerir prueba pericial para valorar la evidencia digital. Y si la otra parte impugna tus pruebas digitales, necesitarás un perito que las defienda.

Qué hace el perito: Elaboración de informe pericial conforme a los requerimientos del juzgado, ratificación en juicio con sometimiento al principio de contradicción, defensa de las conclusiones ante las preguntas de la otra parte y del fiscal, explicación de aspectos técnicos complejos de forma comprensible para el tribunal.

Escenario 10: Estafa de ingeniería social sofisticada

Por qué necesitas perito: Las estafas que utilizan técnicas avanzadas de ingeniería social — deepfakes de voz o vídeo, clonación de voz, suplantación perfecta de webs, emails que pasan filtros de seguridad — requieren análisis técnico para demostrar la sofisticación del engaño y la dificultad de detectarlo.

Qué hace el perito: Análisis de la sofisticación técnica de la estafa (cabeceras forjadas, dominios typosquatting, certificados SSL fraudulentos), determinación de si el engaño era detectable por una persona razonablemente diligente (relevante para la reclamación PSD2), documentación del nivel de sofisticación para el juzgado.

Escenario 11: Necesidad de recuperar evidencia eliminada

Por qué necesitas perito: Si el estafador borró mensajes, eliminó su perfil o la web fraudulenta fue dada de baja, un perito puede intentar recuperar la información eliminada.

Qué hace el perito: Recuperación de mensajes eliminados de WhatsApp mediante análisis de la base de datos msgstore.db, recuperación de archivos eliminados del disco duro mediante técnicas de file carving, extracción de datos de backups (iCloud, Google Drive), consulta de cachés y registros de navegación.

Escenario 12: Reclamación al banco denegada (escalada judicial)

Por qué necesitas perito: Si el banco ha rechazado tu reclamación PSD2 y necesitas acudir a la vía judicial, un informe pericial que demuestre que la operación no fue autorizada por ti, que el banco no implementó las medidas de seguridad adecuadas, o que la autenticación reforzada no se cumplió, puede ser determinante para ganar el caso.

Qué hace el perito: Análisis técnico de la operación fraudulenta (fue phishing, fue SIM swapping, fue un ataque man-in-the-middle, fue un fallo de la app del banco), verificación de si el banco cumplió con los requisitos de autenticación reforzada (SCA), análisis de los logs de la operación (si el banco los proporciona en virtud de orden judicial), informe pericial para el procedimiento judicial.

Escenario 13: Estafa con suplantación de identidad (tu identidad fue suplantada)

Por qué necesitas perito: Si alguien ha utilizado tu identidad para abrir cuentas, contratar servicios o cometer delitos, necesitas demostrar que no fuiste tú. Un perito puede analizar las evidencias técnicas que demuestren que el acceso no se realizó desde tus dispositivos ni desde tu ubicación.

Qué hace el perito: Análisis de los logs de acceso de los servicios afectados (con orden judicial), verificación de IPs, dispositivos y ubicaciones, demostración de que tú estabas en otro lugar o usando otro dispositivo en el momento del fraude, informe pericial que te exonere.

Escenario 14: Estafa en compraventa de alto valor

Por qué necesitas perito: Compraventas de vehículos, inmuebles u otros bienes de alto valor que resultan ser estafas requieren un análisis minucioso de toda la comunicación y documentación intercambiada.

Qué hace el perito: Verificación de la autenticidad de los documentos recibidos (contratos, DNIs, fichas técnicas), análisis de las comunicaciones, identificación de indicios de falsificación, informe pericial completo para el procedimiento judicial y la reclamación civil.

Escenario 15: Necesidad de contrainforme pericial

Por qué necesitas perito: Si la parte contraria ha aportado un informe pericial que te perjudica (por ejemplo, el banco presenta un informe diciendo que tú autorizaste la operación), necesitas un contrainforme que rebata sus conclusiones.

Qué hace el perito: Análisis crítico del informe pericial de la otra parte, identificación de errores metodológicos, conclusiones no fundamentadas o datos omitidos, elaboración de contrainforme que rebata punto por punto las conclusiones adversas, ratificación en juicio para defender el contrainforme.

Cómo trabaja el perito con tu abogado

Cuando contratas un perito informático y un abogado, la coordinación entre ambos es fundamental para maximizar las posibilidades de éxito:

División de roles:

• El abogado define la estrategia legal: qué vía procesal utilizar (penal, civil o ambas), qué acciones emprender, qué plazos deben cumplirse y cómo presentar las pruebas ante el tribunal.
• El perito aporta el componente técnico: preserva la evidencia, realiza el análisis forense, elabora el informe pericial y ratifica en juicio.
• Ambos deben trabajar coordinadamente desde el inicio. El perito necesita saber qué pretende demostrar el abogado para orientar su análisis, y el abogado necesita entender las posibilidades y limitaciones técnicas del análisis forense.

Flujo de trabajo típico:

Consejo importante: El perito debe ser siempre objetivo e imparcial. Un informe pericial que omite datos desfavorables o que exagera conclusiones será detectado por el perito de la otra parte y destruirá la credibilidad del informe ante el juez. El mejor perito es el que presenta la realidad técnica de forma completa, clara y objetiva — y la realidad técnica, en la mayoría de los casos de estafa, juega a favor de la víctima.

Cuánto tarda un informe pericial

Los plazos dependen de la complejidad del caso, pero estas son las referencias orientativas:

Si necesitas el informe con urgencia (por ejemplo, para una medida cautelar), comunícalo al perito al inicio. Muchos peritos ofrecen servicio urgente con un sobrecoste.

Análisis coste-beneficio del peritaje

Proceso de trabajo con un perito informático

Si decides contratar un perito, esto es lo que puedes esperar:

Plazos y prescripción: cuánto tiempo tienes

Los plazos legales son diferentes según la vía que utilices. Es fundamental conocerlos para no perder la oportunidad de reclamar.

Prescripción penal (denuncia/querella criminal)

El delito de estafa está regulado en los artículos 248 a 251 bis del Código Penal. Los plazos de prescripción dependen de la pena asociada al tipo de estafa:

Cómputo del plazo: El plazo de prescripción comienza a contar desde el día en que se cometió el delito. En estafas online, esto suele ser la fecha del último acto de disposición patrimonial (el último pago que realizaste). Si la estafa es continuada (múltiples actos durante un período), el plazo comienza desde el último acto.

Interrupción: El plazo se interrumpe cuando se presenta la denuncia o querella, o cuando se dirige el procedimiento contra el presunto culpable.

Plazos civiles (reclamación de daños y perjuicios)

Si quieres reclamar por la vía civil (además de o en lugar de la penal):

Plazos de reclamación bancaria (PSD2)

Plazos de chargeback por red de tarjeta

Plazos para conservación de datos por los operadores

Un aspecto crucial que afecta directamente a la investigación es el plazo durante el cual los operadores de telecomunicaciones e internet conservan los datos de conexión. Según la legislación española actual:

Consecuencia práctica: Si denuncias 8 meses después de la estafa, los datos de conexión todavía se conservan. Si denuncias 14 meses después, puede que ya se hayan eliminado y la investigación sea imposible. Este es uno de los motivos más importantes para denunciar lo antes posible.

Importante: El acceso policial a estos datos requiere autorización judicial. La policía no puede solicitar directamente a un operador los datos de conexión de un usuario; necesita que un juez autorice la cesión. Esto añade tiempo al proceso de investigación.

Plazos de reclamación a seguros

Si tienes un seguro de hogar con cobertura de ciberriesgos, un seguro cyber empresarial, o una tarjeta con seguro de compras:

Plazo de reclamación AEPD

Expectativas realistas: qué esperar después de denunciar

Es importante ser completamente honesto sobre lo que puedes esperar tras denunciar una estafa online. No quiero generar falsas expectativas, pero tampoco quiero disuadirte de denunciar.

Plazos orientativos del proceso

Tasas de resolución y recuperación por tipo de estafa

Según datos del Ministerio del Interior (Informe sobre Cibercriminalidad 2024) y experiencia profesional:

Cuándo el dinero es recuperable

Alta probabilidad de recuperación:

• Pagaste con tarjeta de crédito/débito y actúas dentro de los 120 días → chargeback.
• El banco no implementó autenticación reforzada (SCA) → reclamación PSD2 casi segura.
• Los fondos siguen en la cuenta de destino (actuaste en las primeras horas) → bloqueo judicial.
• Tienes seguro de compras o seguro cyber que cubre el siniestro.

Probabilidad media:

• Pagaste por transferencia y actúas en las primeras 24-48 horas.
• El estafador es identificado y tiene bienes embargables.
• La plataforma tiene sistema de pago protegido (Vinted, eBay, etc.).

Baja probabilidad:

• El dinero ya se ha movido a cuentas extranjeras.
• Pagaste con criptomonedas.
• El estafador es anónimo y opera desde fuera de la UE.
• Ha pasado mucho tiempo desde la estafa.

Cuándo el dinero NO es recuperable (siendo realistas)

Hay que ser honestos: en muchos casos, la recuperación del dinero no es posible. Esto ocurre especialmente cuando:

• Los fondos se han transferido a países sin cooperación judicial con España (ciertos países africanos, asiáticos o del este de Europa).
• Se utilizaron criptomonedas sin pasar por exchanges reguladas.
• El estafador forma parte de una red criminal organizada con múltiples capas de mulas bancarias.
• Ha pasado tanto tiempo que las trazas digitales se han perdido.

Sin embargo, denunciar sigue siendo importante aunque no recuperes el dinero, porque:

1. La denuncia permite a las autoridades acumular información sobre patrones y redes criminales.
2. Tu denuncia puede contribuir a una investigación más amplia que acabe desmantelando la red.
3. La denuncia es requisito para deducir la pérdida fiscalmente en muchos casos.
4. La denuncia es necesaria para reclamaciones al seguro.
5. La denuncia contribuye a las estadísticas oficiales, lo que a su vez influye en la asignación de recursos policiales a la lucha contra el cibercrimen.

Apoyo emocional: no estás solo

Ser víctima de una estafa online tiene un impacto emocional que no hay que subestimar. Los sentimientos más comunes son:

• Vergüenza: «¿Cómo he podido caer en esto?» Los estafadores son profesionales del engaño. Utilizan técnicas de manipulación psicológica refinadas durante años. Personas con formación técnica avanzada, empresarios experimentados y profesionales de la ciberseguridad han sido víctimas de estafas. No hay razón para avergonzarse.

• Culpa: «Debería haberme dado cuenta.» La retrospectiva siempre es 20/20. Las señales de alerta que ahora parecen evidentes no lo eran en el momento del engaño, cuando el estafador estaba aplicando técnicas de presión, urgencia y confianza.

• Rabia: «Quiero que pague por lo que me ha hecho.» La rabia es natural y puede ser un motor para actuar (denunciar, reclamar), pero no dejes que te lleve a tomar decisiones impulsivas (como contactar al estafador o publicar sus datos en redes sociales).

• Impotencia: «No servirá de nada denunciar.» Es comprensible, pero no es cierto. Denunciar es la única forma de iniciar el proceso de justicia y recuperación. Y cada vez hay más sentencias favorables a las víctimas de estafas online.

• Ansiedad: «¿Y si vuelve a pasar? ¿Y si tienen mis datos?» La securización de tus cuentas y dispositivos (ver guía de securización post-estafa) te ayudará a recuperar la sensación de control.

• Aislamiento: «No puedo contarle a nadie lo que me ha pasado.» Habla con alguien de confianza. La mayoría de las personas serán comprensivas y te apoyarán. Y si necesitas apoyo profesional, no dudes en buscarlo.

Recursos de apoyo emocional:

Impacto a largo plazo:

Estudios psicológicos sobre víctimas de fraude muestran que el impacto emocional puede prolongarse durante meses o años si no se gestiona adecuadamente. Algunos efectos comunes incluyen:

• Desconfianza generalizada hacia las transacciones online.
• Hipervigilancia excesiva que dificulta la vida digital normal.
• Sentimientos de inadecuación o pérdida de autoestima.
• En casos graves (romance scam, estafas de alto valor), síntomas de estrés postraumático.

Si experimentas alguno de estos efectos de forma persistente, consulta con un profesional de salud mental. No es una debilidad: es una respuesta normal ante una experiencia traumática.

El proceso de denuncia como parte de la recuperación:

Paradójicamente, el acto de denunciar puede ser terapéutico. Tomar acción contra la injusticia, sentir que estás haciendo algo en lugar de ser víctima pasiva, y contribuir a que el estafador no siga haciendo daño a otras personas son factores que ayudan a la recuperación emocional. No denunciar puede prolongar la sensación de impotencia.

Tipos de estafa y canal de denuncia recomendado: guía rápida

Esta matriz te permite identificar rápidamente, según el tipo de estafa que hayas sufrido, los canales de denuncia prioritarios, las acciones urgentes y la evidencia específica que necesitas:

Phishing bancario (email o web falsa del banco)

• Canales prioritarios: Banco (inmediato) + Policía Nacional o Guardia Civil + INCIBE 017.
• Acción urgente: Bloquear tarjeta/cuenta, cambiar contraseñas de banca online, activar alertas.
• Evidencia clave: Email original con cabeceras completas, URL de la web falsa (captura completa), capturas de los mensajes recibidos, extracto bancario con cargos no autorizados.
• Perito recomendado: Si importe > 3.000 € o si el banco deniega la devolución PSD2.

Smishing (SMS fraudulento — Correos, DGT, AEAT, etc.)

• Canales prioritarios: Banco (si proporcionaste datos) + Policía/Guardia Civil + INCIBE (reportar).
• Acción urgente: No pulsar enlaces, bloquear número, cambiar contraseñas si ya proporcionaste datos.
• Evidencia clave: Captura del SMS con número de remitente visible, URL a la que redirigía, captura de la web falsa si llegaste a visitarla.
• Perito recomendado: Si accedieron a tus cuentas y realizaron operaciones no autorizadas.

Vishing (llamada telefónica fraudulenta)

• Canales prioritarios: Banco (inmediato) + Policía/Guardia Civil.
• Acción urgente: Colgar, bloquear número, cambiar contraseñas, avisar al banco.
• Evidencia clave: Registro de llamadas (fecha, hora, duración, número), grabación si la tienes, notas de la conversación, datos del llamante (spoofing telefónico es habitual).
• Perito recomendado: Si instalaron software de acceso remoto durante la llamada.

Estafa en marketplace (Wallapop, Milanuncios, Vinted)

• Canales prioritarios: Plataforma (reclamación interna) + Policía/Guardia Civil + Banco (si pagaste con tarjeta).
• Acción urgente: Reportar en la plataforma, solicitar chargeback si pagaste con tarjeta.
• Evidencia clave: Conversación completa (dentro y fuera de la plataforma), perfil del vendedor/comprador, anuncio original, comprobante de pago, prueba de no recepción del producto.
• Perito recomendado: Solo si el importe es elevado o si la plataforma y el banco no resuelven.

Romance scam (estafa sentimental)

• Canales prioritarios: Policía/Guardia Civil (presencial, por la complejidad) + Banco + INCIBE.
• Acción urgente: Cortar toda comunicación, bloquear al estafador, no enviar más dinero bajo ninguna excusa.
• Evidencia clave: Historial completo de mensajes (puede ser extenso), fotos enviadas por el estafador (buscar en Google Images o TinEye para verificar si son robadas), todas las transferencias realizadas, perfiles en redes y apps de citas.
• Perito recomendado: Casi siempre, por la complejidad y la frecuente componente internacional.

Inversión fraudulenta / chiringuito financiero

• Canales prioritarios: CNMV (verificar si la entidad está autorizada) + Policía/Guardia Civil + Banco.
• Acción urgente: No invertir más dinero, consultar la lista negra de la CNMV, bloquear acceso a la plataforma fraudulenta.
• Evidencia clave: Web de la plataforma (capturas completas), comunicaciones con los «asesores», extractos de inversión y movimientos, publicidad que te atrajo, datos bancarios de las transferencias realizadas.
• Perito recomendado: Casi siempre, especialmente si hay criptomonedas implicadas.

Fraude del CEO / compromiso de email empresarial (BEC)

• Canales prioritarios: Banco (urgente, bloquear transferencia) + Policía/BCIT + Guardia Civil/GDT.
• Acción urgente: Bloquear transferencia (si aún es posible), securizar cuentas de email, auditoría de accesos.
• Evidencia clave: Email fraudulento con cabeceras completas, cadena de comunicación interna, comprobante de transferencia, logs de acceso al correo electrónico.
• Perito recomendado: Imprescindible. Necesitas análisis del email y del compromiso de la infraestructura.

Tienda online falsa

• Canales prioritarios: Banco (chargeback si pagaste con tarjeta) + Policía/Guardia Civil + INCIBE (reportar web).
• Acción urgente: Solicitar chargeback, reportar la web a INCIBE y al proveedor de hosting.
• Evidencia clave: URL completa de la tienda, capturas de productos y precios, confirmación de pedido, comprobante de pago, prueba de no recepción, datos WHOIS del dominio.
• Perito recomendado: Solo si el importe es elevado o hay indicios de robo de datos de tarjeta.

Estafa de soporte técnico falso

• Canales prioritarios: Policía/Guardia Civil + INCIBE 017 + Banco (si proporcionaste datos bancarios).
• Acción urgente: Desconectar de internet, no apagar el equipo, cambiar contraseñas desde otro dispositivo, contactar con un perito.
• Evidencia clave: Software de acceso remoto instalado (nombre, ID de sesión), registro de llamadas, capturas de pantalla durante la sesión, anotaciones de lo ocurrido.
• Perito recomendado: Muy recomendable. El perito puede analizar qué hizo el atacante en tu equipo.

Ransomware (secuestro de archivos con petición de rescate)

• Canales prioritarios: INCIBE-CERT (prioritario, para asistencia técnica) + Policía/Guardia Civil + Seguro cyber (si lo tienes).
• Acción urgente: Aislar el equipo infectado (desconectar de la red pero no apagar), no pagar el rescate, consultar nomoreransom.org para posibles desencriptadores gratuitos.
• Evidencia clave: Nota de rescate (captura), extensión de los archivos cifrados, logs del sistema, email o wallet de pago indicado por los atacantes.
• Perito recomendado: Imprescindible para análisis del ransomware, evaluación del daño y recuperación.

Suplantación de identidad (tu identidad fue usada por el estafador)

• Canales prioritarios: Policía/Guardia Civil (denuncia urgente) + AEPD + Banco (si abrieron cuentas a tu nombre) + Todas las empresas donde se usó tu identidad.
• Acción urgente: Denunciar inmediatamente, alertar a todas las entidades afectadas, solicitar certificado de vida laboral (para detectar contratos fraudulentos), monitorizar CIRBE (Central de Información de Riesgos del Banco de España).
• Evidencia clave: Notificaciones de servicios que no contrataste, extractos de cuentas que no abriste, comunicaciones de deudas que no contraíste.
• Perito recomendado: Recomendable para demostrar técnicamente que no fuiste tú.

Estafa con criptomonedas

• Canales prioritarios: Policía/BCIT + Guardia Civil/GDT + Exchange utilizada (si la hay).
• Acción urgente: Reportar la dirección de wallet en Chainabuse/Bitcoin Abuse, informar a la exchange si los fondos fueron a una exchange conocida.
• Evidencia clave: Hash de transacción (txID), dirección de wallet de destino, blockchain utilizada, capturas de la plataforma fraudulenta, comunicaciones con el estafador.
• Perito recomendado: Casi imprescindible para el análisis de blockchain y trazabilidad de fondos.

SIM swapping (duplicado fraudulento de tu tarjeta SIM)

• Canales prioritarios: Operador de telefonía (urgente) + Banco (bloquear accesos) + Policía/Guardia Civil.
• Acción urgente: Contactar con el operador para recuperar la línea, cambiar contraseñas de todas las cuentas con verificación por SMS, activar 2FA por app (no por SMS).
• Evidencia clave: Registro de la incidencia con el operador (fecha, hora, referencia), extracto de operaciones bancarias no autorizadas, logs de acceso a cuentas afectadas.
• Perito recomendado: Recomendable para documentar el ataque y para la reclamación al operador y al banco.

Factura falsa o desvío de pago (man-in-the-middle en email)

• Canales prioritarios: Banco (bloquear transferencia) + Policía/Guardia Civil + Proveedor real (verificar factura).
• Acción urgente: Solicitar retrocesión de la transferencia, verificar con el proveedor real si la factura era legítima, securizar cuentas de email.
• Evidencia clave: Email con la factura falsa (con cabeceras completas), factura real del proveedor para comparación, comprobante de transferencia, logs de acceso al email.
• Perito recomendado: Imprescindible para analizar el compromiso del email y la ruta del ataque.

Preguntas frecuentes

¿Puedo denunciar una estafa online sin salir de casa?

Sí. Tanto la Policía Nacional (denuncias.policia.es) como la Guardia Civil (a través de su Sede Electrónica) ofrecen formularios de denuncia telemática. Sin embargo, hay limitaciones importantes: la denuncia online de la Policía Nacional puede requerir ratificación presencial en un plazo de 72 horas, y para delitos complejos o de cierta cuantía, la denuncia presencial permite aportar toda la documentación de forma más completa. Mi recomendación: si la estafa supera los 1.000 € o es compleja, denuncia presencialmente. Si es sencilla y de poca cuantía, la vía online puede ser suficiente.

¿Cuánto tiempo tengo para denunciar una estafa online?

Depende del tipo y cuantía de la estafa. La estafa básica (más de 400 €) prescribe a los 5 años (art. 249 CP). La estafa agravada (más de 50.000 €) prescribe a los 10 años (art. 250 CP). La estafa leve (400 € o menos) prescribe en solo 1 año. Sin embargo, que el plazo legal sea largo no significa que debas esperar: cada día que pasa se pierden pruebas, el estafador tiene más tiempo para ocultar su rastro, y la investigación se dificulta. Denuncia lo antes posible.

¿Me devolverá el banco el dinero automáticamente?

No es automático, pero la ley te protege. Si pagaste con tarjeta de crédito/débito, la normativa PSD2 y la sentencia del Tribunal Supremo STS 571/2025 obligan al banco a devolver las operaciones no autorizadas salvo que demuestre negligencia grave del cliente. Si pagaste por transferencia bancaria, la devolución depende de si los fondos pueden ser bloqueados en la cuenta de destino — cuanto antes actúes, mejor. Con Bizum, la situación es más complicada porque se considera pago autorizado, pero hay sentencias favorables al consumidor en casos de ingeniería social. Con criptomonedas, no hay devolución posible por parte del banco.

¿Necesito un abogado para denunciar?

Para presentar una denuncia ante la policía o el Juzgado de Guardia, no. Cualquier persona puede denunciar por sí misma sin necesidad de abogado ni procurador. Sin embargo, para presentar una querella (que te da más poder procesal como acusación particular), necesitas abogado y procurador. Para la reclamación judicial contra el banco (si rechaza la devolución PSD2), necesitarás abogado si el importe supera los 2.000 €. Si no tienes recursos económicos, puedes solicitar un abogado de oficio a través del Colegio de Abogados.

¿Sirven las capturas de pantalla como prueba en un juicio?

Las capturas de pantalla son un indicio, pero su valor probatorio es limitado si no están respaldadas por un informe pericial. La parte contraria puede impugnarlas alegando manipulación, y el juez puede tener dudas sobre su autenticidad. Un informe pericial que certifique la autenticidad e integridad de la evidencia elimina esa incertidumbre y otorga pleno valor probatorio a las pruebas digitales.

¿Puedo denunciar si el estafador está en otro país?

Sí, siempre que tú seas residente en España o el delito haya tenido efectos en territorio español. Denuncia ante la Policía Nacional o la Guardia Civil. Si el estafador opera desde otro país de la UE, los mecanismos de cooperación judicial europea (Europol, Eurojust, Orden Europea de Investigación) facilitan la investigación transfronteriza. Para países fuera de la UE, se puede recurrir a comisiones rogatorias, aunque el proceso es más lento. Si el estafador opera desde un país sin cooperación judicial con España, la identificación y persecución se dificulta enormemente.

¿Qué hago si la policía me dice que no pueden hacer nada?

Esto no debería ocurrir, pero si sucede, tienes varias opciones: (1) insiste en que quede constancia escrita de la denuncia — es tu derecho constitucional y no pueden negarse; (2) acude al Juzgado de Guardia directamente para presentar la denuncia; (3) contacta con INCIBE (017) para que te orienten; (4) presenta la denuncia ante el Ministerio Fiscal (Fiscalía Provincial). Recuerda que el artículo 269 de la Ley de Enjuiciamiento Criminal establece que las denuncias deben ser admitidas por la autoridad judicial o policial.

¿Puedo denunciar si fui yo quien proporcionó mis datos voluntariamente?

Sí. El hecho de que hayas proporcionado tus datos bajo engaño no te convierte en culpable ni te impide denunciar. La estafa se define precisamente como obtener un beneficio patrimonial mediante engaño. Que el engaño haya sido suficientemente convincente para que tú proporcionases tus datos es, de hecho, un elemento constitutivo del delito de estafa. No dejes que la vergüenza te impida denunciar.

¿Qué pasa si la estafa es de poca cantidad (menos de 100 €)?

Aunque la cantidad sea pequeña, puedes y debes denunciar. Las estafas de poca cuantía (400 € o menos) se clasifican como delito leve con pena de multa, pero siguen siendo un delito perseguible. Además, tu denuncia puede ser la pieza que falta para que las autoridades identifiquen un patrón de estafas a gran escala (muchas víctimas con importes pequeños que suman una gran cantidad). El procedimiento de denuncia es el mismo independientemente del importe.

¿Puedo recuperar el dinero si ya ha pasado mucho tiempo?

Es menos probable, pero no imposible. Si el estafador es identificado y tiene bienes embargables, puedes reclamar por la vía civil incluso años después (plazo de 5 años por responsabilidad contractual o extracontractual). Para la reclamación al banco (PSD2), el plazo máximo es de 13 meses desde el cargo. Para el chargeback de tarjeta, 120 días. Si has pasado estos plazos, la vía más viable es la acción civil contra el estafador una vez identificado.

¿Cuánto cuesta un perito informático para un caso de estafa?

El coste varía según la complejidad del caso. Como orientación general: una consulta inicial suele ser gratuita; un informe pericial básico (certificación de mensajes, emails, capturas) puede costar entre 400 y 1.200 €; un análisis forense completo de dispositivo entre 800 y 2.500 €; un análisis de blockchain entre 1.000 y 3.000 €. El peritaje incluye el informe escrito y, si es necesario, la ratificación en juicio. Muchos peritos ofrecemos consulta gratuita para evaluar tu caso antes de presupuestar.

¿Qué diferencia hay entre denuncia en comisaría y en el juzgado?

La principal diferencia es quién investiga inicialmente. Cuando denuncias en comisaría, la policía judicial inicia las investigaciones y remite el atestado al juzgado. Cuando denuncias en el juzgado de guardia, el juez puede ordenar directamente diligencias de investigación y adoptar medidas cautelares urgentes (como bloqueo de cuentas). Para la mayoría de los casos, la comisaría es suficiente. El juzgado es preferible cuando necesitas medidas cautelares urgentes o cuando la policía no admite la denuncia.

¿Puedo deducir la pérdida por estafa en la declaración de la renta?

Depende. Las pérdidas patrimoniales por estafa pueden ser deducibles en el IRPF como pérdidas patrimoniales no derivadas de transmisión (se integran en la base imponible general, compensando hasta el 25 % de los rendimientos netos). Para ello necesitas: la denuncia policial, la sentencia judicial firme que reconozca la pérdida (o auto de archivo que confirme que no se va a recuperar el dinero), y la documentación acreditativa del perjuicio económico. Consulta con un asesor fiscal.

¿Qué hago si recibo amenazas del estafador después de denunciar?

Si el estafador te amenaza después de denunciar (o en cualquier momento), esto constituye un delito adicional de amenazas (art. 169-171 CP). Guarda la evidencia de las amenazas (capturas, grabaciones) y presenta una nueva denuncia por amenazas. Si sientes que tu seguridad personal está en peligro, llama al 112 (emergencias).

¿Puedo grabar una llamada del estafador como prueba?

En España, sí puedes grabar una conversación telefónica si eres parte de ella (una de las personas que habla), según reiterada jurisprudencia del Tribunal Supremo (entre otras, STS 114/1984). No necesitas el consentimiento de la otra persona ni avisarle. Lo que no puedes hacer es grabar conversaciones entre terceros en las que no participas. La grabación es admisible como prueba en juicio, aunque su valor probatorio se refuerza significativamente si un perito informático certifica su autenticidad e integridad (que no ha sido editada).

¿Qué pasa si denuncio y luego descubro que no era una estafa?

Si denuncias de buena fe (creyendo genuinamente que has sido estafado) y resulta que no era una estafa (por ejemplo, un envío retrasado que finalmente llega), no incurrirás en ningún delito. La denuncia falsa (art. 456 CP) requiere que sepas que los hechos son falsos y que denuncies con la intención de perjudicar a alguien. Si denunciaste de buena fe, simplemente comunícalo a la policía o al juzgado para que archiven el caso. No obstante, antes de denunciar, asegúrate razonablemente de que efectivamente se trata de una estafa y no de un simple retraso o malentendido comercial.

¿Cómo puedo saber si una tienda online es falsa antes de comprar?

Hay varias señales de alerta que pueden ayudarte a detectar tiendas falsas antes de caer en la estafa:

• Precios demasiado buenos para ser verdad: Descuentos del 70-90 % en productos de marca son una señal clara.
• Dominio reciente: Consulta la fecha de registro del dominio en who.is. Las tiendas falsas suelen tener dominios registrados hace días o semanas.
• Sin datos de contacto reales: Falta de dirección fiscal, teléfono, CIF/NIF o datos del responsable.
• Solo pago por transferencia o criptomonedas: Las tiendas legítimas ofrecen múltiples formas de pago, incluyendo tarjeta.
• Errores gramaticales y traducciones automáticas: Textos mal redactados o que parecen traducidos por máquina.
• Sin política de devoluciones o condiciones genéricas: Textos legales copiados de otras webs.
• Sin reseñas independientes: Busca «[nombre de la tienda] + opiniones» o «+ estafa» en Google.
• Certificado SSL sospechoso: Aunque tenga https://, verifica que el certificado corresponda a la empresa declarada.

¿Puedo denunciar una estafa si vivo fuera de España pero la estafa ocurrió en territorio español?

Sí. Si la estafa tuvo efectos en territorio español (por ejemplo, el dinero se transfirió a una cuenta bancaria española), los tribunales españoles son competentes. Puedes presentar la denuncia a través de la embajada o consulado de España en tu país de residencia, o mediante representante legal en España. También puedes presentar la denuncia telemáticamente si dispones de certificado digital español o Cl@ve.

¿Los menores de edad pueden denunciar una estafa online?

Los menores de edad pueden ser víctimas de estafas online (especialmente en juegos online, redes sociales y compras in-app). La denuncia debe ser presentada por sus representantes legales (padres o tutores). Si el menor tiene 16 o 17 años, puede presentar la denuncia por sí mismo en la comisaría, aunque los padres deben ser informados. Si eres menor y has sido estafado, cuenta inmediatamente a tus padres o tutor. INCIBE 017 también atiende a menores y a padres preocupados por la seguridad online de sus hijos.

Guía avanzada: securización post-estafa de tus cuentas y dispositivos

Denunciar y reclamar al banco es fundamental, pero igualmente importante es asegurarte de que la estafa no continúe. Si el estafador obtuvo tus credenciales, datos bancarios o acceso a tus dispositivos, necesitas securizar todo inmediatamente.

Cambio de contraseñas: plan de acción completo

Si proporcionaste alguna contraseña o el estafador pudo tener acceso a tus credenciales, cambia las contraseñas en este orden de prioridad:

Verificación de accesos no autorizados

Después de cambiar las contraseñas, verifica si alguien ha accedido a tus cuentas:

Gmail:

• Ve a la parte inferior de la bandeja de entrada → «Última actividad de la cuenta» → «Detalles». Revisa las IPs, ubicaciones y horarios de acceso.
• Ve a «Seguridad» → «Tus dispositivos» → revisa que solo aparezcan tus dispositivos.
• Ve a «Seguridad» → «Acceso de terceros» → revoca el acceso de apps que no reconozcas.

Microsoft/Outlook:

• account.microsoft.com → «Seguridad» → «Actividad de inicio de sesión reciente».

Facebook:

• «Configuración y privacidad» → «Configuración» → «Seguridad e inicio de sesión» → «Dónde has iniciado sesión». Cierra las sesiones que no reconozcas.

Instagram:

• «Configuración» → «Seguridad» → «Actividad de inicio de sesión».

Apple ID:

• appleid.apple.com → revisa los dispositivos asociados a tu cuenta.

Protección del teléfono móvil

Si el estafador conoce tu número de teléfono o si crees que puede intentar un SIM swapping:

• Contacta con tu operador y solicita un PIN de seguridad adicional para cualquier gestión sobre tu línea (cambio de SIM, portabilidad). Movistar, Vodafone, Orange y Yoigo ofrecen esta opción.
• Activa el bloqueo por eSIM si tu teléfono lo soporta.
• No uses verificación por SMS para cuentas importantes — usa apps de autenticación o llaves de seguridad físicas (YubiKey, Google Titan).
• Revisa los permisos de las apps instaladas en tu teléfono. Si el estafador te hizo instalar alguna app, desinstálala.

Protección del ordenador

Si el estafador accedió remotamente a tu ordenador:

• Desinstala el software de acceso remoto que se haya utilizado (AnyDesk, TeamViewer, etc.).
• Ejecuta un análisis completo de antivirus con un antivirus actualizado.
• Revisa los programas instalados recientemente y desinstala cualquier software que no reconozcas.
• Revisa las extensiones del navegador y elimina las que no hayas instalado tú.
• Verifica que no haya un keylogger instalado. Un keylogger registra todo lo que escribes (incluidas contraseñas).
• Si tienes dudas sobre si el equipo está limpio, consulta con un profesional. Un análisis forense del dispositivo puede determinar con certeza si hay malware residual.

Monitorización de identidad post-estafa

Si el estafador obtuvo datos personales suficientes (DNI, dirección, datos bancarios), monitoriza lo siguiente durante los próximos 6-12 meses:

• CIRBE (Central de Información de Riesgos del Banco de España): Solicita un informe de riesgos en www.bde.es para verificar que no se hayan contratado préstamos o créditos a tu nombre. Es gratuito.
• Vida laboral: Solicita un informe de vida laboral en la Seguridad Social para verificar que no se hayan dado de alta contratos laborales falsos a tu nombre.
• Declaración censal (AEAT): Verifica en la Agencia Tributaria que no se hayan creado actividades económicas o declaraciones fiscales a tu nombre.
• Movimientos bancarios: Revisa a diario los movimientos de todas tus cuentas durante al menos las primeras semanas. Activa las alertas de movimientos en la app del banco.
• Correo postal: Estate atento a correspondencia inesperada (contratos, facturas, requerimientos) de empresas o entidades que no conozcas.

Casos prácticos: ejemplos reales de denuncias exitosas

Para que esta guía sea todavía más útil, incluyo varios casos prácticos (basados en situaciones reales anonimizadas) que ilustran cómo una denuncia bien preparada puede marcar la diferencia.

Caso 1: Phishing bancario — Recuperación de 8.500 € mediante PSD2

Hechos: María recibió un SMS aparentemente de su banco indicando que se había detectado un acceso sospechoso a su banca online. El SMS incluía un enlace a una web que imitaba perfectamente la de su banco. María introdujo sus credenciales y un código de verificación que recibió por SMS. Los estafadores utilizaron esos datos para realizar tres transferencias por un total de 8.500 € a una cuenta en otro banco español.

Acciones de la víctima:

• Detectó las transferencias al día siguiente al revisar su extracto bancario.
• Llamó al banco inmediatamente y comunicó las operaciones no autorizadas.
• Acudió a comisaría con: capturas del SMS fraudulento, capturas de la web falsa (aún online), extracto bancario con las tres transferencias, y una cronología detallada.
• Presentó reclamación formal al banco al amparo de la PSD2.

Resultado: El banco inicialmente rechazó la reclamación argumentando que María había «autorizado» las operaciones al introducir sus credenciales y el código SMS. María, asesorada por un abogado, contrató un perito informático que elaboró un informe demostrando que: (a) el SMS provenía del mismo hilo que los SMS legítimos del banco (spoofing telefónico), (b) la web falsa era una réplica prácticamente indistinguible de la real, (c) el banco no había implementado mecanismos de detección de anomalías (tres transferencias en 10 minutos a una cuenta nueva). Con el informe pericial, presentó demanda civil. El banco ofreció un acuerdo extrajudicial y devolvió los 8.500 € íntegros más los intereses legales.

Lección: La reclamación PSD2 es la vía más eficaz para estafas bancarias. El informe pericial fue decisivo para demostrar que la autenticación del banco no fue suficiente.

Caso 2: Estafa en Wallapop — Identificación del estafador mediante metadatos

Hechos: Pedro vendía un portátil en Wallapop por 700 €. Un comprador le contactó, acordaron el envío, y el comprador envió un «comprobante de transferencia» que resultó ser un PDF falsificado. Pedro envió el portátil antes de confirmar que el dinero había llegado a su cuenta (nunca llegó).

Acciones de la víctima:

• Pedro exportó la conversación completa de Wallapop y WhatsApp.
• Hizo capturas del perfil del comprador (que poco después fue eliminado).
• Guardó el PDF del comprobante de transferencia falso.
• Denunció en comisaría con toda la documentación.
• Contrató un perito informático que analizó los metadatos del PDF falsificado.

Resultado: El análisis de metadatos del PDF reveló el nombre del autor del documento, el software utilizado (una versión concreta de Adobe Acrobat con licencia registrada a nombre de una persona), y la fecha y hora de creación. Con esos datos, la policía pudo identificar al estafador, que resultó tener más de 20 denuncias previas por el mismo tipo de estafa. Fue detenido y Pedro recuperó parte del dinero (el portátil no fue recuperado, pero se le indemnizó en el procedimiento penal).

Lección: Los metadatos de archivos son una fuente de información que la mayoría de los estafadores desconocen. Un perito informático puede extraer información identificativa de documentos aparentemente anónimos.

Caso 3: Fraude del CEO — Investigación de email comprometido

Hechos: La directora financiera de una PYME recibió un email del CEO solicitando una transferencia urgente de 35.000 € a un proveedor extranjero. El email provenía aparentemente de la cuenta del CEO. La directora realizó la transferencia. Al día siguiente, el CEO (que estaba de viaje) indicó que él no había enviado ese email.

Acciones de la empresa:

• Contactaron con el banco para intentar bloquear la transferencia (ya había sido ejecutada y el dinero movido).
• Denunciaron ante la Policía Nacional, que derivó el caso a la BCIT.
• Contrataron un perito informático para analizar la infraestructura de email.

Resultado: El análisis forense reveló que la cuenta de email del CEO había sido comprometida mediante un ataque de phishing semanas antes. El atacante había configurado una regla de reenvío que copiaba todos los emails del CEO a una cuenta externa, permitiéndole estudiar el estilo de comunicación y las operaciones habituales. El email fraudulento se envió desde la cuenta real del CEO (no era spoofing, era un compromiso real). El perito documentó la cadena de ataque completa, lo que permitió: (a) securizar la infraestructura, (b) reclamar al seguro cyber de la empresa (que cubrió 25.000 € de los 35.000 €), (c) aportar evidencia técnica a la investigación policial.

Lección: El fraude del CEO es una de las estafas más dañinas para empresas. El análisis forense del correo es imprescindible para entender cómo ocurrió y para la reclamación al seguro.

Caso 4: Romance scam — Documentación exhaustiva para querella internacional

Hechos: Ana mantuvo durante 8 meses una relación sentimental online con una persona que se presentaba como un ingeniero estadounidense trabajando en una plataforma petrolífera. Durante ese tiempo, la persona le pidió dinero en diversas ocasiones (gastos médicos, problemas con la aduana, inversión conjunta). Ana realizó un total de 23 transferencias por un importe de 47.000 €.

Acciones de la víctima:

• Ana contactó con INCIBE (017), que le confirmó que se trataba de un romance scam y le orientó sobre los pasos a seguir.
• Acudió a comisaría y presentó una denuncia detallada con toda la documentación.
• Contrató un perito informático que: (a) verificó mediante búsqueda inversa de imágenes que las fotos del «ingeniero» pertenecían a una persona real residente en Texas que desconocía que su identidad estaba siendo utilizada, (b) analizó las cabeceras de los emails y determinó que se enviaban desde Nigeria, (c) trazó las 23 transferencias y documentó el flujo de dinero, (d) identificó que varias cuentas de destino estaban vinculadas a una red de mulas bancarias.

Resultado: El caso fue complejo y la recuperación del dinero no fue posible (los fondos ya habían sido movidos a Nigeria). Sin embargo, la documentación exhaustiva del perito permitió que el caso fuera incluido en una investigación más amplia de Europol contra una red de romance scam que operaba en varios países europeos. La red fue desarticulada un año después, y aunque Ana no recuperó su dinero, varios de los responsables fueron detenidos.

Lección: Incluso cuando la recuperación del dinero no es posible, una denuncia bien documentada contribuye a investigaciones más amplias que pueden desmantelar redes criminales y proteger a futuras víctimas.

Caso 5: Inversión en criptomonedas fraudulenta — Rastreo de blockchain

Hechos: Luis invirtió 12.000 € en una plataforma de trading de criptomonedas que prometía rendimientos del 15 % mensual. La plataforma mostraba un panel con los «rendimientos» acumulados de Luis (que llegaron a mostrar 28.000 €). Cuando Luis intentó retirar fondos, la plataforma le exigió un «pago de comisiones de desbloqueo» de 3.000 € adicionales. Tras pagar, pidieron otro pago de «impuestos de retirada». Luis se dio cuenta de que era una estafa.

Acciones de la víctima:

• Luis había transferido los fondos iniciales desde Coinbase a la dirección de wallet que le proporcionó la plataforma.
• Denunció ante la Policía Nacional con toda la documentación: capturas de la plataforma, comunicaciones con los «asesores», dirección del wallet de destino, hash de las transacciones.
• Contrató un perito informático especializado en análisis forense de blockchain.

Resultado: El análisis de blockchain reveló que los fondos de Luis fueron trasladados a través de 7 wallets intermediarias antes de llegar a una cuenta en Binance (exchange con KYC obligatorio). El informe pericial documentó toda la trazabilidad. La policía, con el informe del perito, solicitó a Binance la identificación del titular de la cuenta receptora a través de una comisión rogatoria. El titular resultó ser un individuo en Rumanía que formaba parte de una red de estafas de inversión. El caso sigue en proceso judicial, pero la identificación del autor fue posible gracias al peritaje.

Lección: Aunque las criptomonedas parecen anónimas, son pseudoanónimas. El análisis forense de blockchain puede rastrear fondos y, si llegan a una exchange regulada, identificar al titular. El peritaje es esencial en estos casos.

Caso 6: Tienda online falsa — Chargeback exitoso con tarjeta

Hechos: Carlos compró unas zapatillas deportivas de marca en una tienda online que ofrecía precios con un 70 % de descuento. Pagó 89 € con tarjeta de crédito. El paquete nunca llegó. La tienda dejó de responder a los emails y, una semana después, la web fue dada de baja.

Acciones de la víctima:

• Carlos había guardado capturas de la web, la confirmación de pedido y el email de «confirmación de envío» (con un número de seguimiento falso).
• Contactó con su banco y solicitó un chargeback por «mercancía no recibida».
• Presentó denuncia online ante la Policía Nacional.
• Reportó la web a INCIBE.

Resultado: El banco tramitó el chargeback y le devolvió los 89 € en 21 días hábiles. No necesitó perito ni abogado. La denuncia policial contribuyó a que la policía identificara un patrón: la misma red operaba decenas de tiendas falsas con dominios similares.

Lección: Para compras con tarjeta de crédito de importes relativamente bajos, el chargeback es la vía más rápida y sencilla. Siempre que sea posible, paga con tarjeta de crédito en tiendas online desconocidas.

Caso 7: SIM swapping — Vaciado de cuenta bancaria

Hechos: Elena recibió una notificación de su operador (Movistar) indicando que se había activado un duplicado de su SIM. Minutos después, perdió cobertura en su teléfono. Mientras tanto, los estafadores —que ya tenían las credenciales de su banca online obtenidas previamente mediante phishing— utilizaron la nueva SIM para recibir los códigos SMS de verificación del banco y realizaron tres transferencias por un total de 9.800 € a cuentas de mulas bancarias.

Acciones de la víctima:

• Elena se dio cuenta del SIM swapping en 30 minutos. Llamó a Movistar desde otro teléfono y recuperó su línea.
• Llamó al banco (BBVA) y comunicó las transferencias fraudulentas. El banco bloqueó la cuenta pero las transferencias ya se habían ejecutado.
• Denunció ante la Guardia Civil con documentación completa.
• Presentó reclamación al banco (PSD2) y reclamación al operador (Movistar).
• Contrató un perito informático que documentó: (a) la cadena del ataque (phishing previo + SIM swapping + transferencias), (b) que el banco usaba SMS como único factor de autenticación (sin app de autenticación ni biometría), (c) que el operador emitió el duplicado de SIM sin verificación presencial adecuada.

Resultado: Con el informe pericial, Elena presentó demanda civil contra el banco y contra el operador. El banco devolvió los 9.800 € en el marco de un acuerdo extrajudicial (el informe pericial dejaba claro que el banco incumplía la PSD2 al depender exclusivamente de SMS para la autenticación). El operador asumió parte de los costes legales. El caso policial continúa investigándose para identificar a los autores del SIM swapping.

Lección: El SIM swapping es una de las estafas más peligrosas porque permite eludir la autenticación por SMS. La reclamación conjunta al banco y al operador, respaldada por un informe pericial, es la estrategia más efectiva. Y la mejor prevención: usa siempre 2FA por app, nunca por SMS.

Caso 8: Estafa del falso servicio técnico de Microsoft

Hechos: Roberto, de 72 años, recibió una llamada de alguien que se identificó como «técnico de Microsoft». Le dijeron que su ordenador estaba infectado con un virus peligroso y que necesitaban acceder remotamente para «limpiarlo». Roberto, preocupado, siguió las instrucciones e instaló AnyDesk. El estafador accedió a su ordenador, simuló un «análisis» que «detectó amenazas graves», y convenció a Roberto de que pagara 450 € por un «servicio de protección premium» con tarjeta de crédito. Además, durante la sesión remota, el estafador accedió a la banca online de Roberto y realizó una transferencia de 3.200 € a una cuenta en Lituania.

Acciones de la víctima:

• El hijo de Roberto, al enterarse al día siguiente, desconectó inmediatamente el ordenador de internet (sin apagarlo) y llamó al banco.
• El banco bloqueó la cuenta y solicitó la retrocesión de la transferencia (sin éxito, los fondos ya habían sido movidos).
• Denunciaron en comisaría con capturas de la pantalla de AnyDesk (el hijo había fotografiado la pantalla con su móvil durante parte de la sesión).
• Contrataron un perito que realizó un análisis forense del ordenador.

Resultado: El análisis forense reveló que AnyDesk había registrado el ID de sesión del atacante, la duración de la conexión y las acciones realizadas. El perito extrajo los logs que demostraban que el atacante había accedido al navegador, abierto la banca online de Roberto (que estaba con sesión iniciada y contraseñas guardadas), y realizado la transferencia. El informe pericial fue determinante para la reclamación al banco: demostró que la transferencia fue realizada por un tercero que accedió remotamente al ordenador, no por Roberto. El banco devolvió los 3.200 € al amparo de la PSD2. El cargo de 450 € en tarjeta fue revertido mediante chargeback.

Lección: Las estafas de soporte técnico falso se dirigen especialmente a personas mayores. Si un familiar te cuenta que ha recibido una llamada de «Microsoft» o de «soporte técnico», actúa inmediatamente. No apagar el ordenador es crucial: la memoria RAM y los logs de AnyDesk pueden contener la evidencia que necesitas.

Checklist final: plan de acción en 48 horas

Si acabas de descubrir que has sido víctima de una estafa online, sigue este plan de acción paso a paso durante las primeras 48 horas. Cada acción tiene un nivel de urgencia:

Primeras 2 horas (urgencia máxima)

• Contactar con el banco — Comunicar las operaciones no autorizadas, solicitar bloqueo de tarjeta/cuenta, solicitar retrocesión/chargeback. Anotar nombre del agente, referencia de incidencia, fecha y hora.

• Cambiar contraseñas críticas — Email principal, banca online. Activar 2FA con app de autenticación.

• Empezar a preservar evidencia — Capturas de pantalla del perfil del estafador, conversaciones, web fraudulenta (pueden desaparecer en cualquier momento).

• Si hubo acceso remoto a tu equipo — Desconectar de internet (NO apagar). Contactar con un perito.

Primeras 6 horas

• Completar la preservación de evidencia — Exportar conversaciones completas (WhatsApp, email con cabeceras, etc.), descargar extractos bancarios, guardar comprobantes de pago.

• Crear el documento de cronología — Relato cronológico completo de los hechos.

• Crear el archivo de datos del estafador — Todos los identificadores en un documento.

• Calcular hashes SHA-256 de todos los archivos de evidencia.

• Hacer copias de seguridad de la evidencia en USB y en la nube.

Primeras 12 horas

• Organizar la evidencia en carpetas para la denuncia (ver estructura recomendada).

• Imprimir documentos clave para llevar a la comisaría (además del USB).

• Reportar en la plataforma si la estafa ocurrió en un marketplace o red social.

Primeras 24 horas

• Denunciar ante Policía Nacional o Guardia Civil — Presencialmente si el caso es complejo, online si es sencillo.

• Presentar reclamación formal escrita al banco (modelo PSD2 incluido en esta guía).

• Contactar con INCIBE (017) para asesoramiento adicional y reportar el fraude.

• Si se comprometieron datos personales — Cambiar todas las contraseñas restantes, revocar accesos de terceros.

Primeras 48 horas

• Confirmar recepción de la denuncia — Tener copia del atestado con número de referencia.

• Entregar copia de la denuncia al banco como soporte de la reclamación.

• Si procede, reclamar ante la AEPD (si hay brecha de datos personales).

• Securizar todas las cuentas y dispositivos (ver guía de securización).

• Evaluar si necesitas perito informático — Consulta gratuita para valorar tu caso.

• Evaluar si necesitas abogado — Especialmente si el importe supera los 5.000 € o si quieres ejercer la acusación particular.

Primera semana

• Ratificar la denuncia online si no la hiciste presencialmente (plazo de 72 horas).

• Solicitar informe CIRBE al Banco de España para verificar que no haya créditos a tu nombre.

• Iniciar monitorización de identidad — Vida laboral, CIRBE, movimientos bancarios.

• Consultar con un asesor fiscal sobre la deducibilidad de la pérdida en la declaración de la renta.

• Si tienes seguro de hogar con cobertura cyber — Comunicar el siniestro a la compañía de seguros (plazo habitual de 7 días).

Primer mes

• Hacer seguimiento de la denuncia policial — Llamar a la comisaría con el número de atestado.

• Hacer seguimiento de la reclamación bancaria — El banco debe resolver en 15-35 días hábiles.

• Si el banco rechaza la reclamación — Escalar al SAC del banco, preparar escalada al Banco de España.

• Seguir monitorizando cuentas e identidad.

Glosario de términos legales y técnicos utilizados en esta guía

Para facilitar la comprensión de esta guía, incluimos un glosario breve de los términos más relevantes. Para definiciones más completas, consulta nuestro glosario forense.

Marco legal completo: artículos relevantes del Código Penal

Para quienes necesiten profundizar en el marco legal de las estafas online, estos son los artículos del Código Penal más relevantes:

Delito de estafa (arts. 248-251 bis CP)

Artículo 248: Define la estafa como obtener ánimo de lucro utilizando engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. Incluye expresamente las estafas cometidas mediante manipulación informática o artificio semejante.

Artículo 249: Establece las penas de la estafa básica:

• Prisión de 6 meses a 3 años si la cuantía de lo defraudado excede de 400 €.
• Si la cuantía no excede de 400 €, la pena es de multa de 1 a 3 meses (delito leve).

Artículo 250: Estafa agravada, con pena de prisión de 1 a 6 años y multa de 6 a 12 meses, cuando concurran circunstancias como:

• Que recaiga sobre cosas de primera necesidad, viviendas u otros bienes de reconocida utilidad social.
• Que se realice mediante cheque, pagaré, letra de cambio o negocio cambiario ficticio.
• Que la cuantía supere los 50.000 € o afecte a un elevado número de personas.
• Que se cometa con abuso de las relaciones personales o de la credibilidad empresarial o profesional.

Artículo 251: Tipos específicos de estafa (disposición de bienes de otros, otorgamiento de contrato simulado, etc.).

Otros delitos relacionados frecuentemente con estafas online

Normativa de protección del consumidor financiero

Además del Código Penal, la víctima de estafa online está protegida por:

• Real Decreto-ley 19/2018 (PSD2): Responsabilidad del banco por operaciones no autorizadas.
• Ley 7/2021 de protección al consumidor: Derechos del consumidor en contratación a distancia y comercio electrónico.
• Reglamento (UE) 2016/679 (RGPD): Protección de datos personales.
• Ley Orgánica 3/2018 (LOPDGDD): Desarrollo nacional del RGPD.
• Ley General para la Defensa de los Consumidores y Usuarios (RDL 1/2007): Derechos generales del consumidor.

Estadísticas detalladas de cibercriminalidad en España (2024-2025)

Para dimensionar el problema y entender el contexto de las estafas online en España, estas son las cifras oficiales más recientes:

Datos del Ministerio del Interior (Informe 2024)

Datos de INCIBE (Balance 2025)

Datos de la Fiscalía General del Estado

La Fiscalía alerta de tendencias preocupantes para 2025-2026:

• Mayor sofisticación de las estafas, con uso de inteligencia artificial para generar phishing más convincente, deepfakes de voz para vishing, y contenido sintético.
• Transnacionalidad creciente: las redes de estafadores operan desde múltiples países, dificultando la investigación y persecución.
• Presión sobre dispositivos móviles: el smishing y las estafas a través de apps móviles aumentan significativamente.
• Carencias estructurales: la Fiscalía denuncia falta de recursos humanos y técnicos, normativa fragmentada y dificultades de cooperación internacional.

El coste económico del cibercrimen en España

Según estimaciones del sector:

• El coste total del cibercrimen en España supera los 14.000 millones de euros anuales (incluyendo pérdidas directas, costes de recuperación, costes legales y pérdida de productividad).
• El importe medio defraudado por estafa online oscila entre 500 y 5.000 € para particulares y entre 5.000 y 100.000 € para empresas (PYMES).
• Solo el 30-40 % de las víctimas denuncia formalmente.

Errores frecuentes al denunciar: lo que he visto como perito

Después de años acompañando a víctimas de estafas online en procedimientos judiciales, he identificado una serie de errores recurrentes que debilitan los casos y que son perfectamente evitables. Compartirlos aquí puede ahorrarte muchos problemas:

Error 1: Denunciar sin evidencia organizada

El error más frecuente. La víctima acude a comisaría con una bolsa de capturas de pantalla impresas a medias, sin orden cronológico, sin identificar qué es cada documento. El agente que toma la denuncia hace lo que puede, pero el atestado queda incompleto y confuso. Cuando el caso llega al juzgado, la falta de organización dificulta la instrucción.

Solución: Dedica tiempo a organizar la evidencia antes de ir a denunciar. Usa la estructura de carpetas que recomiendo en esta guía. Prepara un índice de documentos. El esfuerzo que hagas aquí se multiplica después.

Error 2: No guardar las cabeceras de los emails

Muchas víctimas imprimen los emails o hacen capturas de pantalla del cuerpo del mensaje, pero no guardan las cabeceras técnicas. Las cabeceras son lo que permite al perito y a la policía rastrear el origen real del email (dirección IP del remitente, servidor de envío, autenticación del dominio). Sin cabeceras, un email es una captura de pantalla más — fácilmente impugnable.

Solución: Sigue las instrucciones de esta guía para exportar emails con cabeceras completas en formato .eml.

Error 3: Borrar la conversación «por vergüenza»

He visto víctimas de romance scam que borran parte de las conversaciones porque les avergüenza el contenido emocional o íntimo. Esta autocensura es comprensible, pero destruye evidencia crucial. La conversación completa muestra cómo el estafador manipuló emocionalmente a la víctima, lo que es un elemento fundamental del engaño bastante que tipifica el delito de estafa.

Solución: Guarda todo. Absolutamente todo. El perito y el abogado tratarán tu información con confidencialidad profesional. Nadie va a juzgarte por haber sido víctima de un engaño.

Error 4: Contactar al estafador después de descubrir la estafa

Es una reacción natural: quieres confrontar al estafador, exigirle que te devuelva el dinero, amenazarle con denunciar. Pero esto casi siempre es contraproducente. El estafador se alerta, destruye evidencia, bloquea tu contacto y desaparece. En algunos casos, la víctima acaba escribiendo mensajes que la otra parte usa para argumentar que hubo una «negociación fallida» y no una estafa.

Solución: No contactes al estafador. Deja que sean las autoridades las que actúen. Tu trabajo es preservar la evidencia y denunciar.

Error 5: Denunciar en comisaría y olvidarse

La denuncia es el primer paso, no el último. Muchas víctimas presentan la denuncia y esperan pasivamente a que «la policía haga algo». La realidad es que las unidades de ciberdelincuencia están saturadas y los casos se priorizan por gravedad, cuantía y posibilidades de éxito. Si no haces seguimiento, tu caso puede quedar archivado sin que nadie te avise.

Solución: Haz seguimiento activo. Llama a la comisaría cada 4-6 semanas para preguntar por el estado. Si pasados 3 meses no hay avances, valora presentar querella ante el juzgado (con abogado) o contactar con la Fiscalía de Criminalidad Informática.

Error 6: No reclamar al banco (o hacerlo fuera de plazo)

Muchas víctimas no saben que la normativa PSD2 les protege y que el banco puede estar obligado a devolver el dinero. Otras lo saben pero no reclaman en plazo (13 meses). Y otras reclaman verbalmente por teléfono pero no formalizan la reclamación por escrito, lo que dificulta la escalada posterior.

Solución: Reclama siempre al banco y hazlo por escrito (email o carta certificada). Usa el modelo de reclamación incluido en esta guía. No dejes pasar el plazo de 13 meses.

Error 7: Asumir que las capturas de pantalla son prueba suficiente

Las capturas de pantalla tienen un valor probatorio limitado en juicio. La parte contraria puede impugnarlas alegando que están manipuladas (y técnicamente, manipular una captura de pantalla es muy sencillo). Si tu caso depende exclusivamente de capturas sin certificar, asumes un riesgo.

Solución: Para casos de cierta importancia, complementa las capturas con un informe pericial que certifique la autenticidad e integridad de la evidencia. Para importes bajos, al menos calcula los hashes SHA-256 y guarda los archivos originales sin modificar.

Error 8: No cuantificar el perjuicio económico total

Muchas víctimas solo denuncian la cantidad más obvia (la transferencia principal) pero olvidan incluir otros perjuicios: gastos de anulación de tarjeta, horas de trabajo perdidas, coste del peritaje, coste del abogado, daño moral, gastos de desplazamiento, etc. Al no cuantificar el perjuicio total desde el principio, se dificulta la reclamación posterior de daños y perjuicios.

Solución: Haz una lista exhaustiva de todos los perjuicios económicos, directos e indirectos, y cuantifícalos. Inclúyelos en la denuncia y en la reclamación.

Error 9: Denunciar la estafa como «fraude» genérico

Cuando la víctima describe los hechos de forma vaga — «me estafaron por internet» — sin concretar el modus operandi, los datos del autor ni la cuantía exacta, el atestado policial resulta insuficiente para iniciar una investigación efectiva.

Solución: Sé específico en tu denuncia. Describe el tipo exacto de estafa, el canal utilizado, las fechas y horas, los datos del estafador y el importe exacto defraudado. Cuanto más concreto seas, más fácil será para la policía trabajar.

Error 10: No solicitar expresamente la investigación

La denuncia relata hechos, pero muchas víctimas olvidan pedir expresamente al final de su declaración que se investiguen los hechos y se identifique al autor. Aunque no es estrictamente necesario (la policía debería investigar de oficio), incluir una solicitud expresa refuerza tu posición.

Solución: Al final de tu denuncia, añade: «SOLICITO que se investiguen los hechos denunciados, se identifique a los responsables y se les exijan las responsabilidades penales y civiles que procedan.»

Cómo elegir un perito informático: criterios de calidad

Si decides que tu caso necesita un perito informático, es importante elegir bien. No todos los peritos ofrecen el mismo nivel de calidad y profesionalidad. Estos son los criterios que debes valorar:

Formación y cualificaciones

• Titulación universitaria en informática o ingeniería: Es requisito fundamental. Asegúrate de que el perito tiene formación técnica acreditada.
• Certificaciones profesionales: Certificaciones en seguridad informática, análisis forense o gestión de la información aportan credibilidad. Ejemplos: certificaciones AWS, ISO 27001 Lead Auditor, certificaciones en análisis forense digital.
• Formación continua: El campo de la ciberseguridad evoluciona constantemente. El perito debe demostrar formación actualizada.

Experiencia en casos similares

• Pregunta cuántos casos de estafa online ha peritado.
• Pregunta si ha ratificado informes en juicio y cuál fue el resultado.
• Un perito con experiencia procesal sabe cómo elaborar un informe que resista la contradicción en juicio y cómo explicar conceptos técnicos a un juez.

Metodología y normas

• El perito debe trabajar conforme a normas reconocidas, especialmente la ISO/IEC 27037 (directrices para la identificación, recogida, adquisición y preservación de evidencia digital).
• Debe documentar la cadena de custodia de forma rigurosa.
• El informe debe ser reproducible: otro perito, con los mismos datos y la misma metodología, debería llegar a las mismas conclusiones.

Independencia e imparcialidad

• El perito debe actuar con objetividad e independencia. Su informe debe reflejar la realidad técnica, no lo que el cliente quiere oír.
• Desconfía de peritos que te «garantizan» un resultado favorable antes de analizar la evidencia.

Transparencia en costes

• El perito debe proporcionarte un presupuesto detallado antes de empezar.
• Debe especificar qué incluye el presupuesto (análisis, informe, ratificación en juicio) y qué no.
• Los honorarios de ratificación en juicio suelen presupuestarse aparte.

Comunicación y accesibilidad

• El perito debe ser capaz de explicar conceptos técnicos de forma comprensible.
• Debe estar disponible para resolver tus dudas durante el proceso.
• Debe mantener la confidencialidad absoluta sobre tu caso.

Señales de alerta sobre peritos no profesionales

Desconfía si el perito:

• No tiene titulación universitaria en informática.
• No sigue ninguna metodología ni norma reconocida.
• Te garantiza resultados antes de analizar la evidencia.
• No documenta la cadena de custodia.
• No está dispuesto a ratificar su informe en juicio.
• Ofrece precios excesivamente bajos (un informe pericial profesional tiene un coste que refleja horas de trabajo especializado).
• No te proporciona presupuesto por escrito.

El papel del seguro en las estafas online

Muchas víctimas desconocen que pueden tener cobertura de seguro frente a estafas online. Revisa tus pólizas:

Seguro de hogar con cobertura de ciberriesgos

Muchas pólizas de seguro de hogar modernas incluyen una cobertura de «protección digital» o «ciberprotección» que puede cubrir:

• Fraude online: Pérdidas económicas por estafas en compras online, phishing, etc.
• Robo de identidad digital: Gastos derivados de la suplantación de identidad (abogados, reclamaciones, restauración de identidad).
• Daños en dispositivos por malware: Coste de reparación o sustitución de equipos dañados por virus o ransomware.
• Asistencia legal: Asesoramiento jurídico y representación en reclamaciones.
• Asistencia informática: Soporte técnico para recuperación de datos y securización.

Importes típicos de cobertura: Entre 3.000 y 10.000 € por siniestro, dependiendo de la póliza.

Plazo de comunicación: Generalmente, 7 días desde el conocimiento del siniestro. No dejes pasar este plazo.

Seguro de tarjeta de crédito

Muchas tarjetas de crédito incluyen seguros de compra que cubren:

• Compras no recibidas: Si pagaste con la tarjeta y no recibes el producto.
• Productos defectuosos: Si el producto no se corresponde con la descripción.
• Fraude con tarjeta: Uso no autorizado de los datos de tu tarjeta.

La cobertura varía enormemente según el emisor y el tipo de tarjeta. Las tarjetas premium (Visa Platinum, Mastercard World Elite, American Express Gold/Platinum) suelen tener coberturas más amplias.

Seguro cyber empresarial

Si la estafa afectó a tu empresa, el seguro cyber puede cubrir:

• Pérdidas por fraude digital: Incluido el fraude del CEO y el compromiso de email empresarial.
• Gastos de respuesta a incidentes: Perito informático, abogados, consultores de comunicación de crisis.
• Responsabilidad frente a terceros: Si la brecha afectó a datos de clientes.
• Costes de notificación de brecha: Cumplimiento del RGPD (notificación a la AEPD y a los afectados).
• Pérdida de beneficios: Si la estafa causó interrupción de la actividad.

Importes típicos: Desde 50.000 € hasta varios millones, según el tamaño de la empresa y la prima pagada.

Plazo de comunicación: Generalmente, 24-72 horas desde el conocimiento del incidente. Los seguros cyber suelen tener plazos muy cortos.

Recursos gratuitos para víctimas de estafas online

Recopilación de todos los recursos gratuitos disponibles para víctimas de estafas online en España:

Asistencia y orientación

Denuncia y reclamación

Información y verificación

Organizaciones de consumidores

Prevención: cómo protegerte de futuras estafas

Aunque el objetivo principal de esta guía es ayudarte a denunciar una estafa que ya ha ocurrido, dedicar unos minutos a la prevención puede ahorrarte mucho sufrimiento en el futuro.

Las 10 reglas de oro contra las estafas online

Señales de alerta específicas por tipo de estafa

Phishing/smishing — señales de alerta:

• El mensaje crea urgencia artificial: «Tu cuenta será bloqueada en 24 horas si no verificas tus datos».
• La dirección del remitente no coincide exactamente con la oficial (bankia-seguridad@gmail.com en lugar de @bankia.es).
• El enlace no apunta al dominio oficial del banco/empresa.
• Errores ortográficos o gramaticales (aunque cada vez menos frecuentes gracias a la IA).
• Te piden datos que tu banco nunca te pediría por email/SMS (contraseña completa, PIN, código CVV).

Marketplace — señales de alerta:

• El vendedor quiere sacar la conversación fuera de la plataforma (a WhatsApp, email).
• Precio significativamente inferior al valor de mercado.
• Vendedor con perfil reciente, sin valoraciones o con pocas transacciones.
• Insiste en pago por transferencia o Bizum (en lugar del sistema protegido de la plataforma).
• Urgencia artificial: «Tengo más compradores interesados, decide rápido».

Inversiones — señales de alerta:

• Rentabilidad garantizada o superior al 10 % anual (no existe inversión sin riesgo).
• Presión para invertir rápidamente: «Esta oportunidad acaba hoy».
• Plataforma no regulada por la CNMV.
• Dificultades para retirar el dinero: «Necesitas invertir más para poder retirar».
• Testimonios falsos con fotos de stock o perfiles de redes sociales inexistentes.

Romance scam — señales de alerta:

• La persona nunca puede hacer videollamada (excusas: cámara rota, mala conexión, zona restringida).
• Relación que avanza emocionalmente muy rápido.
• Siempre tiene alguna emergencia que requiere dinero.
• Sus fotos parecen de modelo o muy profesionales (busca en Google Images para verificar).
• Dice vivir o trabajar en el extranjero (plataforma petrolífera, misión militar, ONG en África).

Herramientas de verificación antes de comprar o invertir

Antes de realizar una compra o inversión online, puedes utilizar estas herramientas gratuitas para verificar la legitimidad del vendedor o la plataforma:

Para tiendas online:

• ScamAdviser: Analiza la reputación de una web y te da una puntuación de confianza basada en múltiples factores (antigüedad del dominio, ubicación del servidor, opiniones de usuarios, etc.).
• Trustpilot: Plataforma de reseñas verificadas donde puedes consultar la experiencia de otros compradores.
• Google Transparency Report: Comprueba si Google ha marcado una web como peligrosa.
• who.is: Consulta quién registró el dominio y cuándo. Dominios registrados hace menos de 6 meses son sospechosos para tiendas online.

Para inversiones:

• CNMV — Consulta de entidades autorizadas: Verifica si la empresa o plataforma de inversión está autorizada y supervisada.
• CNMV — Advertencias sobre entidades no autorizadas: Lista negra de chiringuitos financieros y entidades no autorizadas.
• IOSCO Investor Alerts: Alertas internacionales sobre entidades fraudulentas.
• BaFin, FCA, SEC: Reguladores de otros países donde puede estar registrada la empresa.

Para emails sospechosos:

• MxToolbox Header Analyzer: Analiza las cabeceras de un email y te muestra la ruta, la IP de origen y si pasa las verificaciones SPF/DKIM/DMARC.
• VirusTotal: Analiza URLs y archivos sospechosos contra múltiples motores antivirus.

Para números de teléfono:

• Listaspam.com: Base de datos colaborativa de números de teléfono asociados a spam y estafas.
• Quién llama: Identifica quién está detrás de un número de teléfono desconocido.

Cómo configurar las alertas de seguridad en tu banco

Configurar alertas de movimientos en la banca online o la app de tu banco es una de las medidas preventivas más efectivas. Así puedes detectar operaciones fraudulentas en tiempo real.

Cómo hacerlo en los principales bancos españoles:

• CaixaBank (imaginBank): App CaixaBankNow → Configuración → Alertas y notificaciones → Activar notificaciones de movimientos.
• BBVA: App BBVA → Seguridad → Alertas → Configurar alertas por operaciones en tarjeta y cuenta.
• Santander: App Santander → Configuración → Notificaciones → Activar alertas de cargo en tarjeta.
• Bankinter: App Bankinter → Configuración → Alertas → Operaciones con tarjeta / Movimientos en cuenta.
• ING: App ING → Perfil → Notificaciones → Activar todas las alertas de seguridad.
• Openbank: App Openbank → Ajustes → Notificaciones → Activar alertas de uso de tarjeta.
• Sabadell: App Sabadell → Mi perfil → Notificaciones → Alertas de movimientos.

Configuración recomendada:

• Activar notificación push para todo cargo en tarjeta, sin límite mínimo de importe.
• Activar notificación push para toda transferencia saliente.
• Activar notificación push para todo Bizum enviado o recibido.
• Activar alerta por acceso a banca online desde nuevo dispositivo.
• Activar alerta por cambio de contraseña o datos de contacto.

Guía de seguridad para personas mayores

Las personas mayores son un objetivo frecuente de las estafas online, especialmente mediante vishing (llamadas telefónicas), estafas de soporte técnico falso, y smishing (SMS fraudulentos). Si eres una persona mayor o tienes familiares mayores que usan internet, estas medidas específicas pueden ayudar:

Reglas básicas que deben conocer:

• Tu banco nunca te llamará para pedirte contraseñas, PINes o códigos. Si recibes una llamada así, cuelga y llama tú al número que aparece en tu tarjeta.
• Microsoft, Apple, Google y ninguna empresa tecnológica te llamará para decirte que tu ordenador tiene un virus. Estas llamadas son siempre estafas.
• No instales ningún programa que te pida un desconocido por teléfono. Si alguien te dice que instales AnyDesk, TeamViewer o cualquier programa, es una estafa.
• Antes de hacer cualquier pago a un desconocido, consulta con un familiar de confianza. No dejes que te metan prisa.
• Los premios que no has jugado no existen. Si te dicen que has ganado un premio, una herencia o un sorteo, es una estafa.

Medidas de protección que pueden configurar familiares:

• Configurar límites de transferencia diarios bajos en la banca online (por ejemplo, máximo 500 €/día).
• Activar alertas de movimientos para que tanto la persona mayor como un familiar reciban notificación de cada operación.
• Configurar la verificación en dos pasos en las cuentas más importantes.
• Instalar un bloqueador de llamadas spam en el teléfono (Truecaller, Hiya).
• Añadir los números de teléfono del banco, la policía y familiares de confianza a los contactos del teléfono.

Qué hacer si un familiar mayor ha sido estafado:

• No le culpes. Los estafadores utilizan técnicas sofisticadas de manipulación y cualquier persona puede caer.
• Acompáñale a denunciar (o presenta la denuncia por él si tiene poder de representación).
• Ayúdale a securizar sus dispositivos y cuentas.
• Contacta con INCIBE 017 para que reciba asesoramiento.
• Si el impacto emocional es significativo, considera apoyo profesional.

Cómo proteger a menores de estafas online

Los menores son cada vez más víctimas de estafas en entornos digitales que los adultos no siempre conocen:

Estafas comunes dirigidas a menores:

• Compras in-app en juegos móviles: Los niños realizan compras (a veces por cientos de euros) sin ser conscientes de que están gastando dinero real.
• Estafas en juegos online (Fortnite, Roblox, etc.): Supuestos «regalos» de skins, V-Bucks o Robux que requieren proporcionar credenciales o datos de pago.
• Falsos sorteos y regalos en redes sociales: «Desliza para ganar un iPhone» → lleva a formularios que captan datos personales.
• Estafas en Discord, Twitch y plataformas de gaming: Falsos servicios de «boosting», venta de cuentas de juegos, etc.
• Estafas de empleo para menores: «Gana dinero desde casa haciendo clics» → estafas piramidales o mulas bancarias.

Medidas preventivas:

• Configura los controles parentales del dispositivo para impedir compras in-app sin autorización.
• No vincules tarjetas de crédito a las cuentas de juegos de los menores. Usa tarjetas prepago con saldo limitado.
• Habla abiertamente con los menores sobre las estafas online. No basta con prohibir: deben entender los riesgos.
• Enséñales a no proporcionar nunca datos personales, contraseñas o datos de pago a desconocidos en internet.
• Si les ofrece un «amigo online» dinero, regalos o un trato especial, deben contárselo a un adulto de confianza.

El futuro de la protección al consumidor: PSD3 y el Reglamento PSR

La Comisión Europea está trabajando en la PSD3 (tercera Directiva de Servicios de Pago) y el Reglamento sobre Servicios de Pago (PSR), que se esperan para 2025-2026 y que reforzarán significativamente la protección frente a estafas:

Novedades esperadas:

• Verificación de nombre del beneficiario (IBAN-Name Check): Antes de ejecutar una transferencia, el banco deberá verificar que el nombre del titular de la cuenta de destino coincide con el que ha introducido el pagador. Si no coincide, se mostrará una alerta. Esto habría prevenido muchas estafas por transferencia.
• Mayor responsabilidad de los bancos receptores: Actualmente, la responsabilidad recae principalmente sobre el banco del pagador. Con la nueva normativa, el banco receptor también tendrá obligaciones de debida diligencia.
• Derecho a solicitar el reembolso en casos de ingeniería social: La nueva normativa puede establecer expresamente el derecho al reembolso en casos donde la víctima fue engañada mediante técnicas de ingeniería social sofisticadas, incluso si «autorizó» la operación.
• Plazos de actuación más estrictos para los bancos: Se reducirán los plazos de respuesta y se endurecerán las consecuencias del incumplimiento.

Mapa de decisión: ¿qué hago primero?

Si estás confundido sobre por dónde empezar, este mapa de decisión simplificado puede ayudarte:

¿Acabas de descubrir la estafa (menos de 24 horas)?

• SÍ → Prioridad 1: Llama al banco AHORA. Prioridad 2: Preserva la evidencia. Prioridad 3: Denuncia en las próximas 24 horas.
• NO (han pasado más de 24 horas pero menos de 13 meses) → Prioridad 1: Preserva la evidencia. Prioridad 2: Denuncia. Prioridad 3: Reclama al banco por escrito.
• NO (han pasado más de 13 meses) → La reclamación PSD2 al banco ya no es posible. Prioridad 1: Denuncia si no lo hiciste. Prioridad 2: Evalúa la vía civil con un abogado.

¿Pagaste con tarjeta de crédito/débito?

• SÍ → Solicita chargeback al banco. Alta probabilidad de recuperación.
• NO → La recuperación es más difícil. Sigue los pasos específicos para tu método de pago.

¿El importe supera los 3.000 €?

• SÍ → Muy recomendable contratar perito informático y considerar abogado.
• NO → Puedes gestionar la denuncia y reclamación por ti mismo en la mayoría de los casos.

¿El estafador tuvo acceso a tu dispositivo o credenciales?

• SÍ → Urgente: securizar dispositivos y cuentas (ver guía de securización post-estafa). Muy recomendable: análisis forense del dispositivo.
• NO → Céntrate en la denuncia y la reclamación al banco.

¿Hay más víctimas del mismo estafador?

• SÍ → Coordinaos para presentar denuncias conjuntas o complementarias. Un informe pericial conjunto reduce costes.
• NO o No lo sé → Busca en Google el nombre, teléfono o IBAN del estafador. Puede haber otras víctimas.

¿El estafador opera desde fuera de España?

• SÍ → Denuncia igualmente en España. La BCIT y el GDT tienen capacidad de cooperación internacional. Pero sé realista: la investigación será más lenta y la recuperación del dinero más difícil.
• NO → Mejor pronóstico para la investigación policial.

Comparativa: coste de actuar vs. coste de no actuar

Para quienes dudan sobre si vale la pena denunciar y reclamar, esta comparativa puede ayudar a tomar la decisión:

Si actúas (denuncias, reclamas al banco, contratas perito si procede)

Si NO actúas (no denuncias, no reclamas)

La conclusión es clara: siempre merece la pena actuar, incluso si la recuperación del dinero no está garantizada. Los beneficios indirectos (contribuir a la investigación, deducción fiscal, cobertura del seguro, securización, cierre emocional) son significativos.

Tendencias de estafas online en España 2025-2026: lo que viene

Estar informado sobre las tendencias emergentes en estafas online te permite estar alerta y protegerte mejor. Estas son las principales tendencias que estamos observando en 2025-2026:

Estafas potenciadas por inteligencia artificial

La inteligencia artificial generativa ha transformado radicalmente el panorama de las estafas online:

• Phishing ultrarrealista: Los estafadores utilizan modelos de lenguaje para generar emails y mensajes de phishing sin errores gramaticales ni ortográficos, perfectamente redactados y contextualizados. El phishing «de libro» con faltas de ortografía evidentes está desapareciendo.

• Clonación de voz: Con solo unos segundos de audio de una persona (disponible en redes sociales, vídeos de YouTube, notas de voz), los estafadores pueden generar una réplica convincente de su voz. Ya se han documentado casos de vishing donde la voz clonada de un familiar llama pidiendo dinero urgente (la llamada «estafa del familiar en apuros» potenciada por IA).

• Deepfakes en videollamadas: Los estafadores pueden generar vídeo en tiempo real que imita la apariencia de otra persona. Esto hace que las videollamadas ya no sean garantía de identidad. En febrero de 2024, una empresa de Hong Kong fue estafada en 25 millones de dólares mediante una videollamada donde todos los participantes eran deepfakes.

• Contenido sintético para romance scam: Los perfiles falsos en apps de citas ahora utilizan fotos generadas por IA (no robadas de personas reales), lo que dificulta la verificación por búsqueda inversa de imágenes.

• Chatbots de estafa: Los estafadores utilizan chatbots que mantienen conversaciones naturales y convincentes con múltiples víctimas simultáneamente, multiplicando su «productividad».

Estafas con códigos QR (QRishing)

El uso masivo de códigos QR tras la pandemia ha abierto un nuevo vector de ataque:

• QR fraudulentos superpuestos: Los estafadores pegan adhesivos con códigos QR falsos sobre los legítimos (en restaurantes, aparcamientos, bicicletas de alquiler). El QR redirige a una web de pago falsa que captura los datos de la tarjeta.

• QR en multas falsas: Simulan multas de estacionamiento con un QR para «pagar la multa» que redirige a una web fraudulenta.

• QR en emails y SMS: Los estafadores incluyen códigos QR en emails de phishing, evitando así que los filtros de spam detecten URLs maliciosas (el enlace está «oculto» en el QR).

Estafas en el ámbito inmobiliario online

Con la digitalización del mercado inmobiliario, están aumentando las estafas en alquiler y compraventa de viviendas:

• Pisos fantasma: Anuncios de alquiler a precios atractivos de pisos que no existen o que no son propiedad del anunciante. Piden señal o fianza por transferencia antes de ver el piso.

• Suplantación de propietarios: El estafador utiliza fotos y datos reales de un inmueble (obtenidos de portales legítimos) para crear un anuncio falso y cobrar señales a múltiples víctimas.

• Estafas de alquiler vacacional: Reservas de apartamentos que no existen o que pertenecen a otra persona. Especialmente frecuentes en temporada alta.

Estafas laborales

Las estafas de empleo están creciendo, especialmente las dirigidas a jóvenes y a personas en situación de desempleo:

• Ofertas de empleo falsas: Prometen altos ingresos por trabajo remoto fácil, pero requieren un «pago inicial» para material, formación o equipamiento.

• Reclutamiento de mulas bancarias: Ofrecen «empleo como agente financiero» o «gestor de transacciones». La víctima recibe dinero en su cuenta (procedente de otras estafas) y lo reenvía a cuentas en el extranjero, quedándose con una «comisión». Sin saberlo, está cometiendo un delito de blanqueo de capitales.

• Estafas con criptomonedas disfrazadas de empleo: «Gana dinero viendo vídeos y dando likes» → requiere invertir dinero en una plataforma de criptomonedas que resulta ser fraudulenta.

Estafas a través de marketplaces de segunda mano

Wallapop, Vinted, Milanuncios y Facebook Marketplace siguen siendo plataformas preferidas por los estafadores:

• Triángulo de estafa: El estafador actúa como intermediario entre un comprador y un vendedor legítimos. Ofrece al comprador un producto por debajo de mercado, toma el pedido del vendedor real, y le proporciona la dirección del comprador. El comprador recibe el producto y paga al estafador; el vendedor real nunca cobra.

• Falso comprador con exceso de pago: El «comprador» envía un comprobante de pago falso por un importe superior al acordado y pide que le devuelvas la diferencia.

• Envíos por empresas de transporte falsas: El estafador envía un enlace a una «empresa de transporte» que requiere un pago previo para recibir el paquete.

Nota final: por qué denunciar siempre importa

Quiero terminar esta guía con un mensaje claro: denunciar siempre importa, aunque creas que no servirá de nada.

Cada denuncia que se presenta contribuye a las estadísticas oficiales de cibercriminalidad. Esas estadísticas son las que utiliza el Ministerio del Interior para asignar recursos a las unidades de ciberdelincuencia. Son las que utiliza la Fiscalía para justificar la creación de fiscalías especializadas. Son las que utiliza el legislador para aprobar normativas de protección más estrictas.

Cuando no denuncias, el cibercrimen parece más pequeño de lo que es, y se destinan menos recursos a combatirlo. Es un círculo vicioso: menos denuncias → menos recursos → menos investigaciones → menos detenciones → más impunidad → más estafas → más víctimas que no denuncian.

Tú puedes romper ese círculo. Tu denuncia puede ser la pieza que falta para que las autoridades identifiquen un patrón. Tu evidencia puede ser la que vincule múltiples casos y permita desmantelar una red criminal. Tu reclamación al banco puede sentar un precedente que proteja a futuros clientes.

No denunciar es exactamente lo que el estafador espera que hagas. No le des esa satisfacción.

Y si necesitas ayuda en cualquier punto del camino — preservar la evidencia, certificar la prueba, elaborar un informe pericial o ratificar en juicio — estamos aquí para ayudarte.

Referencias y fuentes

1. Ministerio del Interior. «Informe sobre la Cibercriminalidad en España 2024». Secretaría de Estado de Seguridad, noviembre 2025. https://www.interior.gob.es

2. Ministerio del Interior. «Balance trimestral de criminalidad — enero a junio 2025». https://www.interior.gob.es

3. INCIBE. «Balance de Ciberseguridad 2025 — INCIBE detectó más de 122.000 incidentes de ciberseguridad en 2025». Febrero 2026. https://www.incibe.es/incibe/sala-de-prensa/incibe-detecto-mas-de-122000-incidentes-de-ciberseguridad-en-2025

4. INCIBE. «El servicio 017 Tu Ayuda en Ciberseguridad supera las 138.000 consultas en 2025». https://www.incibe.es

5. Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (transposición PSD2). BOE núm. 284, de 24/11/2018. https://www.boe.es/buscar/act.php?id=BOE-A-2018-16036

6. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Arts. 248-251 bis (delitos de estafa). BOE núm. 281, de 24/11/1995. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

7. Tribunal Supremo. Sentencia STS 571/2025, de 9 de abril de 2025. Responsabilidad bancaria en fraudes digitales por phishing. https://www.poderjudicial.es

8. Consejo General de la Abogacía Española. «Responsabilidad de los bancos ante fraudes digitales: nueva sentencia del Tribunal Supremo». 2025. https://www.abogacia.es

9. Agencia Española de Protección de Datos (AEPD). «Canal prioritario y reclamaciones telemáticas — Sede Electrónica». https://sedeaepd.gob.es

10. Policía Nacional. «Oficina Virtual de Denuncias — Dirección General de la Policía». https://denuncias.policia.es/OVD/

11. Policía Nacional. «Brigada Central de Investigación Tecnológica (BCIT)». https://www.policia.es/_es/tupolicia_conocenos_estructura_dao_cgpoliciajudicial_bcit.php

12. Guardia Civil — Grupo de Delitos Telemáticos (GDT). «Portal de denuncia electrónica y colaboración ciudadana». https://www.gdt.guardiacivil.es

13. INCIBE. «Línea de Ayuda en Ciberseguridad 017 — Registro de actividad». https://www.incibe.es/incibe/registro-actividad/linea-ayuda

14. Comisión Nacional del Mercado de Valores (CNMV). «Listado de entidades no autorizadas — Advertencias al público». https://www.cnmv.es

15. Europol. «Internet Organised Crime Threat Assessment (IOCTA) 2025». https://www.europol.europa.eu

16. Oficina de Seguridad del Internauta (OSI — INCIBE). «Guía para víctimas de fraude online». https://www.osi.es

17. ISO/IEC 27037:2012. «Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence». International Organization for Standardization.

18. Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (eIDAS). «Relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior». https://eur-lex.europa.eu

19. Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Arts. 299, 382, 384 (prueba por medios de reproducción y soportes informáticos). https://www.boe.es

20. Ley de Enjuiciamiento Criminal (LECrim). Arts. 259-269 (De las denuncias). https://www.boe.es

21. Banco de España. «Departamento de Conducta de Entidades — Reclamaciones de clientes de entidades supervisadas». https://www.bde.es

22. Fiscalía General del Estado. «Memoria Anual 2025 — Sección de Criminalidad Informática». https://www.fiscal.es

23. Centro Europeo del Consumidor (CEC España). «Compras transfronterizas y resolución de conflictos». https://cec.consumo.gob.es

24. No More Ransom Project. «Herramientas de descifrado gratuitas para víctimas de ransomware». https://www.nomoreransom.org

25. ASUFIN. «Estafas por Bizum: ¿se puede recuperar el dinero?». 2025. https://www.asufin.com/estafas-bizum-recuperar-dinero/

Resumen ejecutivo: los 10 mandamientos de la víctima de estafa online

Para cerrar esta guía, estos son los 10 principios fundamentales que debes seguir si has sido víctima de una estafa online:

1. Preserva TODA la evidencia antes de hacer cualquier otra cosa. Capturas completas, emails con cabeceras, conversaciones exportadas, comprobantes de pago.

2. Contacta con el banco en las primeras horas. Cada minuto cuenta para bloquear fondos y solicitar retrocesiones.

3. No contactes al estafador. Ni para negociar, ni para amenazar, ni para insultar. Solo conseguirás que destruya evidencia.

4. Denuncia siempre, independientemente del importe. La denuncia protege tus derechos y contribuye a la lucha colectiva contra el cibercrimen.

5. Organiza la evidencia de forma profesional. Un USB con carpetas ordenadas, un documento de cronología y un índice de archivos marcan la diferencia.

6. Reclama al banco por escrito. La PSD2 te protege. No te conformes con un «no» verbal.

7. Securiza todas tus cuentas y dispositivos. Cambia contraseñas, activa 2FA, revisa accesos.

8. Evalúa si necesitas perito y/o abogado. Para importes superiores a 3.000 € o casos complejos, la inversión suele ser rentable.

9. Haz seguimiento activo. No esperes sentado a que la justicia actúe. Haz seguimiento de la denuncia policial y de la reclamación bancaria.

10. No te culpes. Los estafadores son profesionales del engaño. Haber caído en una estafa no dice nada sobre tu inteligencia ni tu prudencia. Y recuerda: actuar rápido y con método es la mejor respuesta que puedes dar.

Si esta guía te ha resultado útil, compártela con quien pueda necesitarla. La información es la mejor arma contra el cibercrimen.

Cada denuncia cuenta. Cada acción importa. Y juntos, víctimas, autoridades y profesionales, podemos hacer que internet sea un lugar más seguro.

Última actualización: marzo 2026. Esta guía se actualiza periódicamente con cambios legislativos, jurisprudencia relevante y nuevas modalidades de estafa. Si tienes dudas sobre tu caso concreto, consulta sin compromiso.