28 mar 2026 · Jonathan Izquierdo · Noticias seguridad ·

59 min de lectura

Estafas online +125% en España: radiografía del ciberfraude

Las estafas online en España crecen un 125% en enero de 2026 según la Ertzaintza. Análisis forense de los fraudes digitales más frecuentes y cómo protegerte.

126 denuncias por estafas online solo en enero de 2026 frente a las 56 del mismo mes del año anterior. Un incremento del 125% que la Ertzaintza ha catalogado como “alarmante” y que coloca a España entre los cuatro países europeos más afectados por ciberataques financieros según los datos de Mastercard.

Los números no son una anomalía estadística: reflejan una tendencia estructural en la que las redes criminales internacionales han convertido el fraude digital en una industria escalable, automatizada y cada vez más difícil de rastrear.

En 2025, el Ministerio del Interior de España registró 489.248 ciberdelitos, un 5,3% más que en 2024. De ellos, 430.493 fueron estafas informáticas, lo que supone el 88% de toda la cibercriminalidad y el 17,4% del total de delitos cometidos en España. Uno de cada cinco delitos en nuestro país ya se comete en el entorno digital.

Como perito informático forense especializado en fraudes digitales, analizo decenas de casos cada año en los que víctimas —particulares, autónomos y empresas— pierden desde cientos hasta decenas de miles de euros en estafas que podrían haberse evitado o, al menos, perseguido con la evidencia digital adecuada.

Este artículo es la guía más completa en español sobre el ciberfraude en España en 2026. Más de 3.000 líneas con estadísticas verificadas, los 15 tipos de estafa más frecuentes, cómo operan las redes criminales, el marco legal completo, la metodología forense de investigación, casos reales de operaciones policiales, estadísticas internacionales comparadas y una guía práctica de protección.

Si has sido víctima de una estafa online o quieres entender la magnitud del problema, estás en el lugar correcto.

TL;DR: lo esencial en 60 segundos

En 60 segundos

Qué ocurre: las estafas online en España crecieron un 125% en enero de 2026 según datos oficiales de la Ertzaintza. España registró 489.248 ciberdelitos en 2025 (+5,3%). El INCIBE gestionó 122.223 incidentes de ciberseguridad en 2025, un 26% más.
Tipos dominantes: compras fraudulentas (42%), criptoestafas e inversiones falsas (34%), suplantación de identidad (33%). El vishing creció un 442% en 2025. Los deepfakes de fraude aumentaron un 484%.
Quién está detrás: redes criminales organizadas internacionales con estructuras empresariales. Grupos como Black Axe operan desde España. El fraude como servicio (PhaaS) se duplicó en 2025.
Cifras globales: el FBI registró 16.600 millones de dólares en pérdidas en 2024. Las estafas con cripto supusieron 9.300 millones. Europol identifica los datos robados como el nuevo combustible del cibercrimen.
Riesgo: pérdidas económicas directas, robo de identidad, daño reputacional. Menos del 15% de las víctimas recupera su dinero. La tasa de denuncia es inferior al 30%.
Qué hacer: preservar toda la evidencia digital, denunciar ante Policía Nacional o Guardia Civil, y contactar con un perito informático para documentar las pruebas antes de que desaparezcan. Las primeras 24-48 horas son críticas.

El dato: 125% más de estafas online en un solo mes

En enero de 2026, la Ertzaintza —Policía Autonómica del País Vasco— registró 126 denuncias por fraude digital, frente a las 56 del mismo período en 2025. Este incremento del 125% fue calificado oficialmente como “alarmante” por el Departamento de Seguridad del Gobierno Vasco [1].

La nota de prensa de la Ertzaintza, publicada el 28 de febrero de 2026, detalla que las denuncias se concentran en delitos contra el patrimonio y el orden socioeconómico. El documento subraya que este aumento no es un fenómeno puntual, sino que forma parte de una tendencia sostenida de crecimiento del ciberfraude en los últimos tres años.

Contexto del dato vasco

El País Vasco no es la comunidad autónoma con mayor volumen absoluto de ciberdelitos —ese puesto corresponde a Cataluña y Madrid—, pero los datos de la Ertzaintza son especialmente significativos por tres razones:

Transparencia estadística: la Ertzaintza publica datos mensuales desglosados por tipo de delito, algo que las Fuerzas y Cuerpos de Seguridad del Estado no hacen con la misma granularidad.
Efecto anticipador: históricamente, las tendencias detectadas en el País Vasco se replican a nivel nacional con un desfase de 2-3 meses.
Comunidad digital madura: el País Vasco tiene una de las tasas más altas de penetración digital y comercio electrónico de España, lo que lo convierte en un laboratorio natural para observar tendencias de ciberfraude.

Comparación con el dato nacional

A nivel nacional, el balance de criminalidad de 2025 publicado por el Ministerio del Interior confirma la tendencia al alza. Los datos más relevantes son:

Indicador	2024	2025	Variación
Ciberdelitos totales	464.801	489.248	+5,3%
Estafas informáticas	413.024	430.493	+4,3%
% ciberdelitos sobre total	18,1%	19,8%	+1,7 pp
Incidentes INCIBE	96.963	122.223	+26%
Consultas línea de ayuda INCIBE	98.546	142.767	+44,9%

Las 430.493 estafas informáticas registradas por las Fuerzas de Seguridad en 2025 representan el 88% de toda la cibercriminalidad [2]. Es decir, cuando hablamos de ciberdelitos en España, hablamos fundamentalmente de estafas.

Cifras del INCIBE: 122.223 incidentes

El Instituto Nacional de Ciberseguridad (INCIBE) gestionó 122.223 incidentes de ciberseguridad en 2025, un 26% más que el año anterior [3].

Los datos del balance de ciberseguridad 2025 del INCIBE revelan una radiografía detallada:

Fraude online: 45.445 casos (37% del total), un 19% más que en 2024. El phishing lidera con 25.133 casos.
Malware: 55.411 casos, de los cuales 392 fueron ataques de ransomware.
Robo de información: 3.849 casos de acceso o sustracción no autorizada de datos digitales.
Sistemas vulnerables: se detectaron 237.028 sistemas susceptibles de ser explotados por ciberdelincuentes.
Dominios fraudulentos: INCIBE colaboró con Red.es para cerrar 4.600 dominios web .es potencialmente fraudulentos.

La línea de ayuda en ciberseguridad del INCIBE atendió 142.767 consultas en 2025, un 44,9% más que en 2024. De estas, el 51% fueron reactivas —ayudando a víctimas después de sufrir un incidente— y el 49% fueron preventivas [3].

Mastercard: España en el top 4 europeo

Mastercard publicó en febrero de 2026 su estudio sobre ciberfraude en Europa, que sitúa a España entre los cuatro países europeos con mayor volumen de fraude financiero digital, junto a Reino Unido, Francia y Alemania [4].

Los datos clave del informe Mastercard:

Tipo de fraude	% en España
Fraude en compras online	42%
Inversiones y criptoestafas	34%
Robo de identidad	33%

El informe destaca que el 80% de los españoles está más preocupado por la ciberseguridad que hace dos años, una cifra superior al promedio europeo del 72%.

El estudio también revela que el 81% de los españoles ha sido víctima de al menos un intento de estafa en el último año, según datos complementarios de TransUnion [5].

Extrapolación: la cifra real del ciberfraude

Las estadísticas oficiales solo capturan una fracción del problema. Se estima que el 70% de las víctimas de estafas online en España nunca llega a presentar denuncia [6].

Las razones son múltiples: vergüenza, desconocimiento del proceso, percepción de que “no servirá de nada”, cantidades pequeñas que no justifican el esfuerzo de denunciar o miedo a la doble victimización.

Si aplicamos esta tasa de infradenuncia a los datos oficiales, la cifra real de estafas informáticas en España durante 2025 podría superar los 1.400.000 casos. Más de 3.800 estafas online al día.

Escenario	Estafas estimadas 2025	Base
Cifra oficial (denuncias)	430.493	Ministerio Interior
Estimación conservadora (×2)	860.986	50% infradenuncia
Estimación media (×3)	1.291.479	66% infradenuncia
Estimación alta (×3,5)	1.506.726	70% infradenuncia

La pérdida económica:

un agujero de miles de millones

La pérdida media por víctima de fraude online en España se sitúa en torno a los 1.010 euros según TransUnion [5], aunque esta cifra varía enormemente según el tipo de estafa:

Tipo de estafa	Pérdida media	Rango habitual
Compra online fraudulenta	350 €	50-1.500 €
Phishing bancario	1.200 €	200-5.000 €
Vishing (estafa telefónica)	2.500 €	500-15.000 €
Fraude CEO (BEC)	25.000 €	5.000-500.000 €
Criptoestafa inversión	18.000 €	1.000-200.000 €
SIM swapping	8.000 €	2.000-50.000 €
Romance scam	12.000 €	2.000-100.000 €
Estafa alquiler vacacional	600 €	300-2.000 €

Multiplicando la cifra oficial de estafas por la pérdida media, el impacto económico directo del ciberfraude en España en 2025 habría superado los 430 millones de euros en pérdidas declaradas. Con la corrección por infradenuncia, la cifra real podría superar los 1.500 millones de euros anuales.

Y la tasa de recuperación es desoladora: menos del 15% de las víctimas consiguen recuperar su dinero [7]. Esto se debe a la rapidez con la que los fondos se mueven a través de redes de mulas de dinero y criptomonedas, y a la falta de evidencia digital preservada correctamente desde el primer momento.

Radiografía del ciberfraude en España 2026

Distribución por tipo de fraude

El ciberfraude en España no es homogéneo. Existe una diversificación creciente de los vectores de ataque, aunque tres categorías concentran más del 70% de los incidentes.

Fraude en compras online: el rey del ciberfraude

El fraude en comercio electrónico representa el 42% de todos los incidentes según el informe Mastercard [4]. España es el cuarto mercado europeo de comercio electrónico, con un volumen de transacciones que superó los 77.000 millones de euros en 2025.

Las modalidades principales incluyen:

Tiendas falsas: dominios que imitan a marcas conocidas con precios irreales. Se calcula que existen más de 100.000 tiendas fraudulentas activas simultáneamente a nivel mundial en cualquier momento dado.
Vendedores fantasma en marketplaces: perfiles falsos en Wallapop, Vinted, Amazon Marketplace, Milanuncios y otras plataformas de compraventa entre particulares.
Anuncios fraudulentos en redes sociales: publicidad pagada en Instagram, Facebook, TikTok y Google Ads que redirige a páginas de phishing o a tiendas falsas.
Productos falsificados: réplicas de productos de marca vendidos como originales.
Drop shipping fraudulento: tiendas que venden productos de AliExpress con un margen del 300-500% sin informar al comprador del origen real del producto ni de los plazos reales de entrega.

Criptoestafas e inversiones falsas: el fraude de mayor impacto

Las estafas relacionadas con inversiones y criptomonedas suponen el 34% de los fraudes más comunes en España [4]. Aunque no son las más frecuentes en volumen, son con diferencia las que causan mayor daño económico por víctima.

El patrón más habitual que observo en mis peritajes sigue este esquema:

Captación: la víctima recibe una llamada de un supuesto asesor financiero (frecuentemente mediante spoofing telefónico) o ve un anuncio en redes sociales con testimonios falsos de famosos.
Confianza inicial: el “asesor” guía a la víctima para hacer una inversión inicial pequeña (250-500 €) en una plataforma que muestra rendimientos ficticios del 20-40% mensual.
Escalada: al ver que la inversión “crece”, la víctima invierte cantidades cada vez mayores. Algunos casos superan los 100.000 euros.
Bloqueo: cuando la víctima intenta retirar su dinero, la plataforma exige “tasas de desbloqueo”, “impuestos de retirada” o “verificaciones adicionales” que requieren más pagos.
Desaparición: la plataforma cierra, los teléfonos dejan de funcionar y el dinero ha sido transferido a wallets en exchanges sin regulación o pasado por mezcladores de criptomonedas.

La Policía Nacional ha detectado un incremento notable de este tipo de estafas en comunidades como Galicia, donde las pérdidas económicas han sido especialmente cuantiosas [8].

En septiembre de 2025, una operación coordinada entre España, Portugal, Bulgaria y Rumanía desarticuló una red que había estafado 102.908.705 euros mediante falsas oportunidades de inversión online, de los cuales más de 12,2 millones procedían de víctimas en España [9].

Suplantación de identidad: la puerta de entrada

Los intentos de robo de identidad representan el 33% de los fraudes más comunes en España [4]. La suplantación de identidad no es solo un fin en sí mismo, sino que frecuentemente es el primer paso de una cadena de fraude más larga.

Los vectores principales de suplantación incluyen:

Phishing por correo electrónico: 25.133 casos gestionados por INCIBE en 2025. Correos que simulan ser de bancos, empresas de paquetería, Hacienda o la Seguridad Social.
Smishing (SMS fraudulento): mensajes de texto que suplantan a entidades bancarias, la DGT, Correos o la Agencia Tributaria.
Vishing (llamada fraudulenta): la modalidad de más rápido crecimiento, con un aumento del 442% en 2025 [10]. Llamadas que se hacen pasar por el departamento de fraudes del banco, el soporte técnico de Microsoft o una compañía de seguros.
SIM swapping: duplicación de la tarjeta SIM para interceptar códigos de verificación bancarios y tomar el control de las cuentas de la víctima.
Suplantación en redes sociales: creación de perfiles falsos para obtener datos personales o para estafas románticas.

Demografía del ciberfraude:

quién es víctima y por qué

Existe un estereotipo persistente que asocia las estafas online con personas mayores poco familiarizadas con la tecnología. Los datos desmienten esta percepción.

El perfil de víctimas en España se distribuye de la siguiente manera:

Grupo de edad	% víctimas	Tipo de fraude más frecuente	Pérdida media
18-24 años	12%	Ofertas empleo falsas, criptoestafas redes sociales	400-800 €
25-34 años	16%	Criptoestafas, marketplace, SIM swapping	800-3.000 €
35-44 años	20%	Compras online, inversiones fraudulentas	1.500-5.000 €
45-54 años	18%	Fraude CEO, phishing bancario, inversiones	3.000-25.000 €
55-64 años	16%	Phishing bancario, vishing, soporte técnico	2.000-8.000 €
65-74 años	12%	Vishing, smishing, estafas románticas	3.000-15.000 €
75+ años	6%	Vishing telefónico, estafas presenciales	5.000-20.000 €

El grupo más afectado en volumen (35-54 años, que suma el 38%) coincide con el segmento de mayor actividad digital y mayor capacidad adquisitiva, lo que lo convierte en un objetivo prioritario para las redes de ciberfraude.

Los jóvenes de 18-34 años, pese a su supuesta mayor competencia digital, son especialmente vulnerables a las criptoestafas y a las ofertas de empleo falsas que encubren reclutamiento de mulas de dinero.

Las personas mayores de 65 años representan un porcentaje menor en volumen, pero sufren las pérdidas medias más altas, especialmente en estafas telefónicas y estafas románticas prolongadas.

Distribución geográfica

El ciberfraude afecta a todo el territorio nacional, pero con intensidades diferentes:

Comunidad autónoma	Tendencia 2025-2026	Tipo predominante	Factor diferencial
Cataluña	Fuerte aumento	Compras online, criptoestafas	Mayor volumen e-commerce
Madrid	Fuerte aumento	Fraude CEO, inversiones	Concentración empresarial
Andalucía	Aumento moderado	Phishing bancario, compras	Alta penetración banca online
País Vasco	+125% enero 2026	Compras, cripto, suplantación	Datos oficiales publicados
Com. Valenciana	Aumento moderado	Smishing, vishing	Turismo como vector
Galicia	Aumento notable	Criptoestafas, vishing	Población envejecida rural
Canarias	Aumento	Estafa hijo en apuros, cripto	Aislamiento geográfico
Aragón	Aumento	Mulas dinero, phishing	Menor cultura ciberseguridad rural
Baleares	Estacional	Alquiler vacacional, compras	Turismo
Murcia	Aumento	SIM swapping, mulas	Operaciones policiales recientes

Las comunidades con mayor actividad económica digital y mayor densidad de población concentran el grueso de las denuncias. Pero las zonas rurales presentan una vulnerabilidad específica: menor acceso a servicios de ciberseguridad y menor cultura digital preventiva.

Patrones estacionales

El ciberfraude sigue patrones estacionales claramente identificados:

Noviembre-enero: pico máximo vinculado al Black Friday, Navidades y rebajas de enero. Las ciberestafas se dispararon a final de 2025 por las compras online y los anuncios falsos [11].
Junio-agosto: segundo pico vinculado a estafas de alquiler vacacional, ofertas de viajes fraudulentas y estafas aprovechando la menor atención durante vacaciones.
Abril-mayo: aumento de phishing vinculado a la campaña de la Renta de la AEAT.
Septiembre: repunte de estafas de vuelta al cole y ofertas falsas de productos tecnológicos.

La doble victimización del ciberfraude

Un aspecto que no suele aparecer en las estadísticas es la doble victimización que sufren las personas estafadas.

Además de la pérdida económica directa, muchas víctimas experimentan:

Vergüenza y culpabilidad: “¿cómo pude caer en algo así?” es la frase más repetida en las consultas iniciales que recibo.
Aislamiento social: muchas víctimas no cuentan a su familia o amigos que han sido estafadas.
Ansiedad y estrés: especialmente cuando las cantidades perdidas afectan significativamente a la economía familiar.
Desconfianza digital: algunas víctimas dejan de utilizar servicios digitales legítimos por miedo a ser estafadas de nuevo.
Victimización institucional: la percepción de que “no se puede hacer nada” se refuerza cuando la denuncia no produce resultados visibles en un plazo razonable.

Esto provoca que un porcentaje significativo de estafas no se denuncie: se estima que por cada denuncia formal existen entre 3 y 5 casos no denunciados.

Los 15 tipos de estafa online más comunes en España

El catálogo de estafas online se ha diversificado enormemente en los últimos años. A continuación, analizamos los 15 tipos más frecuentes en España en 2025-2026, con su descripción, volumen estimado, pérdida media y señales de alerta.

1. Phishing (correo electrónico fraudulento)

Descripción: correos electrónicos que suplantan la identidad de entidades legítimas (bancos, empresas de paquetería, administraciones públicas) para robar credenciales de acceso o datos de pago.

Volumen: 25.133 casos gestionados por INCIBE en 2025. Es el tipo de fraude más reportado.

Pérdida media: 500-3.000 euros cuando resulta en acceso a cuentas bancarias.

Señales de alerta:

Remitente con dominio sospechoso (por ejemplo, “banco-santander.info” en lugar de “bancosantander.es”).
Urgencia artificial: “su cuenta será bloqueada en 24 horas”.
Errores ortográficos o gramaticales.
Enlace que no coincide con la URL de la entidad legítima.
Solicitud de datos que la entidad real nunca pediría por correo.

Técnica forense de investigación: análisis de cabeceras SMTP del correo, identificación de la IP de origen, rastreo del dominio del enlace malicioso mediante registros WHOIS y DNS, análisis del kit de phishing alojado en el servidor.

2. Vishing (estafa telefónica)

Descripción: llamadas telefónicas en las que el estafador se hace pasar por un empleado del banco, un técnico de soporte, un agente de policía o un representante de una empresa.

Volumen: crecimiento del 442% en 2025 [10]. Es la modalidad de más rápido crecimiento.

Pérdida media: 2.000-15.000 euros.

Modus operandi habitual: el estafador llama diciendo que ha detectado un movimiento sospechoso en la cuenta de la víctima. Le guía para “proteger” su dinero transfiriéndolo a una “cuenta segura” que en realidad pertenece al criminal. Utiliza spoofing telefónico para que en la pantalla del teléfono aparezca el número real del banco.

Señales de alerta:

Llamada no solicitada con urgencia extrema.
Te piden que realices una transferencia “para proteger tu dinero”.
El número que aparece en pantalla coincide con el del banco (esto es posible mediante spoofing).
Te piden que no comentes la situación con nadie “por seguridad”.

Técnica forense: análisis de registros de llamadas del operador, identificación del número real de origen, correlación con otros casos mediante patrones de horario y guión.

3. Smishing (SMS fraudulento)

Descripción: mensajes de texto que suplantan a bancos, la DGT, Correos, la Agencia Tributaria u otras entidades para dirigir a la víctima a una web de phishing.

Volumen: miles de campañas masivas al año. En enero de 2026, 14 personas fueron detenidas en Alicante por una red que enviaba falsos mensajes de la DGT y de entidades bancarias [12].

Pérdida media: 800-5.000 euros.

Campañas frecuentes en España:

“Tiene un paquete pendiente de entrega. Confirme sus datos: [enlace]” (suplantando a Correos).
“Su tarjeta ha sido bloqueada. Verifique su identidad: [enlace]” (suplantando a CaixaBank, BBVA, etc.).
“Tiene una multa de tráfico pendiente. Pague antes de 48h: [enlace]” (suplantando a la DGT).
“Descargue su certificado digital actualizado: [enlace]” (suplantando a la FNMT).

Técnica forense: preservación del SMS con metadatos completos (fecha, hora, número de origen, SMSC), análisis de la URL del enlace, captura forense de la página destino.

4. Estafa romántica (romance scam / pig butchering)

Descripción: el estafador crea un perfil falso en aplicaciones de citas o redes sociales, establece una relación sentimental con la víctima durante semanas o meses, y finalmente solicita dinero bajo pretextos variados (emergencia médica, billete de avión, inversión “para nuestro futuro”).

La variante “pig butchering” (literalmente, “matanza del cerdo”) es especialmente sofisticada: el estafador “engorda” emocionalmente a la víctima durante meses antes de introducir una plataforma de inversión fraudulenta en criptomonedas.

Volumen: crecimiento del 20% interanual según datos de Barclays. Las estafas en apps de citas aumentaron un 36% en el tercer trimestre de 2025 [13].

Pérdida media: 12.000-50.000 euros. Es una de las estafas con mayor daño económico y emocional.

Señales de alerta:

Perfil demasiado perfecto: fotos profesionales, profesión atractiva, historia de vida conmovedora.
Resistencia a hacer videollamada en directo.
Propuesta de inversión en criptomonedas dentro de una relación sentimental.
Petición de dinero por “emergencia”.
La relación avanza a una velocidad inusualmente rápida.

Técnica forense: análisis de perfiles en redes sociales y apps de citas (búsqueda inversa de imágenes, verificación de metadatos), rastreo de flujos financieros, análisis OSINT para identificar al estafador real.

5. Fraude en compras online (tiendas falsas)

Descripción: tiendas web fraudulentas que imitan a marcas conocidas o que ofrecen productos a precios muy por debajo del mercado. La víctima paga y nunca recibe el producto, o recibe una falsificación.

Volumen: categoría líder con el 42% del ciberfraude en España [4].

Pérdida media: 200-800 euros.

Cómo operan:

Creación de la tienda falsa: registran dominios que imitan a marcas (por ejemplo, “zaraoutlet-es.com”, “nikeoficial-spain.com”) y clonan el diseño del sitio legítimo. Utilizan certificados SSL gratuitos para que el navegador muestre el candado de seguridad.
Captación de víctimas: invierten en publicidad de pago en Instagram, Facebook, TikTok y Google Ads con precios un 60-80% por debajo del mercado. También posicionan productos en marketplaces con valoraciones falsas.
Cobro y desaparición: aceptan pagos mediante tarjeta, transferencia bancaria o Bizum. Una vez recibido el dinero, la tienda desaparece en 48-72 horas. Los fondos se mueven inmediatamente a cuentas en el extranjero.
Reciclaje: el mismo grupo criminal monta una nueva tienda con otro dominio y repite el ciclo. Algunas redes operan simultáneamente decenas de tiendas fraudulentas.

Técnica forense: análisis WHOIS del dominio, verificación de antigüedad, captura de la web con hash criptográfico, análisis de la pasarela de pago utilizada.

6. Fraude en marketplaces (compraventa entre particulares)

Descripción: estafas en plataformas como Wallapop, Vinted, Milanuncios, eBay o Amazon Marketplace. Incluye vendedores que nunca envían el producto tras recibir el pago, compradores que reclaman falsamente no haber recibido el artículo, y esquemas de pago fuera de la plataforma.

Volumen: uno de los tipos más frecuentes en número absoluto de incidentes.

Pérdida media: 100-500 euros (cantidades unitarias pequeñas pero alto volumen).

Señales de alerta:

Te piden pagar fuera de la plataforma (transferencia, Bizum, criptomonedas).
El precio es significativamente menor que el de mercado.
El vendedor tiene un perfil nuevo sin historial de ventas.
Prisas para cerrar la transacción.
Excusas para no hacer entrega en mano.

7. SIM swapping

Descripción: los criminales consiguen que el operador de telefonía emita un duplicado de la tarjeta SIM de la víctima. Con la SIM duplicada, interceptan los SMS de verificación que envían los bancos (códigos OTP) y acceden a las cuentas bancarias online.

Volumen: en diciembre de 2024, la Policía Nacional desarticuló una red de Trinitarios que había estafado 429.000 euros a más de 100 víctimas mediante SIM swapping [14]. En noviembre de 2025, otra operación en Barcelona descubrió un fraude de 46.000 euros [15].

Pérdida media: 5.000-50.000 euros.

Modus operandi:

Recopilación de datos: obtienen los datos personales de la víctima mediante phishing, ingeniería social, compra de bases de datos robadas en la dark web o incluso sobornando a empleados de tiendas de telefonía.
Solicitud del duplicado: acuden a una tienda del operador haciéndose pasar por la víctima, o realizan la solicitud telemáticamente con documentación falsificada.
Activación de la SIM duplicada: una vez activada la nueva SIM, el teléfono de la víctima pierde cobertura. Los criminales reciben todos los SMS dirigidos a la víctima.
Acceso a banca online: solicitan recuperación de contraseña en la app del banco, reciben el código de verificación en la SIM duplicada y vacían las cuentas en minutos.
Blanqueo: transfieren el dinero a cuentas de mulas o lo convierten en criptomonedas.

Técnica forense: análisis de registros del operador de telecomunicaciones, identificación del punto de venta donde se emitió el duplicado, análisis de los dispositivos utilizados para acceder a la banca online, extracción forense de los registros bancarios.

8. Business Email Compromise (BEC) / Fraude del CEO

Descripción: los criminales comprometen el correo electrónico de un directivo de la empresa —o lo suplantan con un dominio similar— y envían instrucciones a un empleado del departamento financiero para que realice una transferencia a una cuenta controlada por ellos.

La variante más avanzada combina correos electrónicos con deepfakes de voz: el empleado recibe una llamada con la voz clonada de su CEO confirmando la orden de transferencia.

Volumen: segundo tipo de fraude en pérdidas económicas a nivel mundial. El FBI registró 2.770 millones de dólares en pérdidas por BEC en 2024 [16]. INCIBE gestionó más de 21.500 incidentes de phishing por correo empresarial en 2024 en España.

Pérdida media: 25.000-500.000 euros para pymes. Las grandes empresas pueden sufrir pérdidas millonarias.

Señales de alerta:

Correo del CEO o director financiero pidiendo una transferencia urgente y confidencial.
El correo viene de un dominio ligeramente diferente (ejemplo: “empresa-corp.com” en lugar de “empresa.com”).
Se pide que no se comente con otros empleados.
Cambio de datos bancarios de un proveedor habitual comunicado exclusivamente por correo.

9. Estafa del falso soporte técnico

Descripción: el estafador se hace pasar por un técnico de Microsoft, Apple o de un proveedor de internet. Dice que ha detectado un virus o un problema de seguridad en el ordenador de la víctima y le pide que instale un software de acceso remoto (AnyDesk, TeamViewer) para “solucionar el problema”. Una vez con acceso al ordenador, roba credenciales bancarias o instala malware.

Volumen: el FBI IC3 registró 1.460 millones de dólares en pérdidas por fraude de soporte técnico en 2024, la tercera categoría más costosa [16].

Pérdida media: 1.000-10.000 euros.

Víctimas típicas: personas mayores de 55 años con menor cultura digital.

10. Ofertas de empleo falsas (captación de mulas)

Descripción: anuncios de empleo en portales como InfoJobs, LinkedIn o redes sociales que ofrecen trabajos muy bien remunerados con poco esfuerzo. La oferta real es actuar como mula de dinero: recibir transferencias en la cuenta bancaria personal y reenviarlas a otras cuentas, quedándose con una comisión.

El “empleado” se convierte, muchas veces sin saberlo, en cómplice de blanqueo de capitales, lo que conlleva responsabilidad penal (artículo 301 del Código Penal).

Volumen: en la operación EMMA-9 coordinada por Europol, en España se desarrollaron 432 investigaciones, con 1.801 personas investigadas, 558 detenidas como “e-mules” y la detección de un fraude cercano a los 4 millones de euros [17].

Pérdida media: la víctima-mula no pierde dinero directamente, pero se enfrenta a cargos penales por blanqueo de capitales (pena de prisión de 6 meses a 6 años) y puede perder todos los fondos de su cuenta bancaria al ser intervenida judicialmente.

Señales de alerta:

Trabajo remoto con salario alto sin experiencia requerida.
Te piden usar tu cuenta bancaria personal para “gestionar pagos”.
La empresa no tiene web oficial o tiene una web muy reciente.
No hay contrato formal.

11. Sextorsión

Descripción: el estafador amenaza con publicar material íntimo (real o fabricado con IA) de la víctima a menos que pague una cantidad de dinero, generalmente en criptomonedas.

Las denuncias por sextorsión en España pasaron de 1.691 en 2018 a 4.460 en 2023, un crecimiento del 163% en cinco años [18]. La tendencia se ha acelerado con el uso de inteligencia artificial para crear imágenes falsas realistas.

Volumen: los ciberdelitos de grooming y sextorsión aumentaron un 19,8% en 2025 [2].

Pérdida media: 500-5.000 euros por pago de extorsión. El daño psicológico es incalculable.

Modalidades:

Sextorsión masiva por correo: correos electrónicos genéricos que afirman haber grabado a la víctima consumiendo pornografía a través de su webcam. Son falsos en la inmensa mayoría de los casos.
Sextorsión dirigida: el estafador establece contacto con la víctima en redes sociales o apps de citas, le convence para intercambiar contenido íntimo y luego le extorsiona.
Sextorsión con deepfakes: creación de imágenes o vídeos falsos con el rostro de la víctima superpuesto en contenido sexual. La IA ha hecho esta técnica accesible y barata.

12. Estafa del hijo/familiar en apuros

Descripción: la víctima recibe un mensaje de WhatsApp desde un número desconocido diciendo: “Mamá/Papá, se me ha roto el móvil, este es mi nuevo número. Necesito que me hagas una transferencia urgente de X euros”.

Volumen: en Canarias, una sola denuncia por esta estafa desencadenó la caída de una red que blanqueaba miles de euros en criptomonedas [19].

Pérdida media: 500-3.000 euros.

Señales de alerta:

Mensaje desde un número desconocido.
Urgencia extrema.
Petición de dinero sin posibilidad de verificación por otra vía.
Si llamas al número anterior de tu hijo/familiar, sigue funcionando.

13. Estafa de alquiler vacacional / inmobiliario

Descripción: anuncios de pisos o casas de vacaciones que no existen o no pertenecen al anunciante. La víctima paga una señal o el importe total del alquiler y al llegar al destino descubre que la propiedad no existe, está ocupada o nadie sabe nada del alquiler.

En marzo de 2026, los Mossos d’Esquadra detuvieron en Barcelona a un joven de 21 años que había estafado más de 5.200 euros haciéndose pasar por agente inmobiliario [20].

Volumen: estacional, con picos en junio-agosto. Las estafas en alquileres vacacionales han superado los niveles prepandemia [21].

Pérdida media: 300-2.000 euros.

Señales de alerta:

Precio muy por debajo del mercado.
Pago exigido fuera de la plataforma.
No permiten visitar el inmueble.
Presión para pagar rápidamente “porque hay muchos interesados”.
Te contactan fuera de la plataforma (por correo directo).

14. Estafa de lotería / premios falsos

Descripción: la víctima recibe un correo, SMS o llamada informándole de que ha ganado un premio, una lotería o un sorteo al que nunca participó. Para cobrar el premio, debe pagar una “tasa administrativa”, “impuestos anticipados” o “gastos de envío”.

Volumen: aunque es una estafa clásica, sigue siendo sorprendentemente efectiva, especialmente entre personas mayores.

Pérdida media: 200-2.000 euros.

15. Advance Fee Fraud (pago por adelantado)

Descripción: variante genérica en la que se exige un pago adelantado para acceder a un beneficio prometido: un préstamo preconcedido, una herencia de un familiar lejano, una oportunidad de negocio exclusiva o un premio.

Incluye la clásica “estafa nigeriana” (cartas del príncipe nigeriano) y sus variantes modernas.

Volumen: en enero de 2026, la operación Garona desarticuló la red Black Axe en España con 34 detenidos y un fraude de 5,9 millones de euros [22].

Pérdida media: variable, desde cientos de euros hasta decenas de miles.

Tabla comparativa de los 15 tipos

Tipo	Volumen	Pérdida media	Crecimiento	Dificultad rastreo
1. Phishing	Muy alto	500-3.000 €	Estable	Media
2. Vishing	Alto	2.000-15.000 €	+442%	Media-alta
3. Smishing	Alto	800-5.000 €	Alto	Media
4. Romance scam	Medio	12.000-50.000 €	+20%	Alta
5. Tienda falsa	Muy alto	200-800 €	Alto	Media
6. Marketplace	Muy alto	100-500 €	Estable	Baja-media
7. SIM swapping	Medio	5.000-50.000 €	Alto	Media-alta
8. BEC/CEO	Bajo-medio	25.000-500.000 €	Alto	Alta
9. Soporte técnico	Medio	1.000-10.000 €	Estable	Media
10. Empleo falso	Medio	Riesgo penal	Alto	Media
11. Sextorsión	Medio	500-5.000 €	+163% (5 años)	Media-alta
12. Hijo apuros	Medio	500-3.000 €	Alto	Media
13. Alquiler falso	Estacional	300-2.000 €	Alto	Media
14. Lotería falsa	Bajo	200-2.000 €	Estable	Baja
15. Advance fee	Bajo-medio	Variable	Estable	Media-alta

Cómo operan las redes criminales

Las estafas online no son obra de delincuentes aislados operando desde sus dormitorios. Europol, en su informe IOCTA 2025 (Internet Organised Crime Threat Assessment), documenta que el ciberfraude en Europa está dominado por redes criminales organizadas con estructuras empresariales sofisticadas [23].

Estructura de una red de ciberfraude

Las organizaciones criminales dedicadas al fraude digital operan con una estructura que replica el modelo empresarial:

Nivel 1: Liderazgo y planificación

En la cúpula se encuentran los cerebros de la operación. Raramente participan en la ejecución directa del fraude. Su labor es la planificación estratégica, la inversión en infraestructura y la gestión de las finanzas de la organización.

Frecuentemente residen en países con escasa cooperación judicial (países del sudeste asiático, algunas naciones africanas, estados del Cáucaso).

Nivel 2: Desarrollo técnico

Los equipos técnicos se encargan de:

Desarrollar kits de phishing y páginas web fraudulentas.
Crear y mantener las plataformas de inversión falsas.
Programar bots para envío masivo de SMS y correos de phishing.
Gestionar servidores y la infraestructura digital.
Desarrollar malware y herramientas de acceso remoto.

Nivel 3: Operadores de call center

Los “closers” son los que establecen contacto directo con las víctimas. Operan desde call centers —legales en apariencia— ubicados frecuentemente en Europa del Este, el sudeste asiático o el norte de África.

Siguen guiones detallados (scripts) y utilizan técnicas de persuasión avanzadas. Se especializan por idioma y por mercado: hay equipos dedicados exclusivamente al mercado español.

Nivel 4: Red de mulas de dinero

Las mulas son el eslabón más visible —y más sacrificable— de la cadena. Reciben el dinero de las víctimas en sus cuentas personales y lo reenvían a otras cuentas o lo retiran en efectivo y lo entregan a un escalón superior.

En España, la captación de mulas se realiza a través de:

Ofertas de empleo falsas en portales de trabajo.
Reclutamiento en redes sociales (Instagram, TikTok, Telegram).
Grupos de chat en aplicaciones de mensajería.
En algunos casos, coacción o tráfico de personas.

Nivel 5: Blanqueo de capitales

Una vez que el dinero llega a las cuentas de las mulas, entra en juego la red de blanqueo:

Fragmentación: el dinero se divide en cantidades pequeñas y se reparte entre múltiples cuentas.
Transferencias internacionales: los fondos se mueven a cuentas en Lituania, Estonia, Hungría, Malta u otros países europeos con regulación bancaria más permisiva.
Conversión a criptomonedas: en exchanges sin KYC estricto, se convierte el dinero a Bitcoin, Ethereum o stablecoins.
Mezcladores (tumblers/mixers): servicios que fragmentan y redistribuyen las criptomonedas para dificultar la trazabilidad.
Crypto bridges y DEX: uso de puentes entre blockchains y exchanges descentralizados para añadir capas de ofuscación.
Empresas pantalla: creación de sociedades ficticias para justificar los movimientos de capital.

El modelo “fraude como servicio”

Una de las tendencias más preocupantes documentadas en el IOCTA 2025 es la industrialización del ciberfraude a través del modelo fraud-as-a-service (FaaS).

En la dark web y en canales de Telegram, es posible adquirir:

Servicio	Precio	Descripción
Kit de phishing completo	50-200 €	Plantillas, hosting, dominio
Phishing-as-a-Service (PhaaS)	200-500 €/mes	Plataforma automatizada con panel
Base datos robada (emails)	10-100 € (1M registros)	Emails + contraseñas filtradas
Base datos bancaria	500-5.000 €	Datos de tarjetas, CVV incluido
Kit de identidad falsa	200-800 €	DNI, pasaporte, selfie con documento
Servicio de mulas	15-25% comisión	Red de cuentas para blanquear
Spoofing telefónico	20-50 €/mes	Suplantación de número de origen
Ransomware-as-a-Service	30-50% del rescate	Malware listo para desplegar
Deepfake de voz	100-300 €	Clonación de voz a partir de muestras
KYC-as-a-Service	500-800 €	Verificación con mulas humanas

Según datos de Barracuda, los kits de phishing-as-a-service identificados en la dark web se duplicaron en 2025 [24]. En 2025, el 90% de las campañas de phishing de alto volumen utilizaron kits PhaaS.

Esto significa que la barrera de entrada para convertirse en ciberdelincuente es más baja que nunca. Ya no hace falta ser programador o tener conocimientos técnicos avanzados: basta con comprar un kit y seguir las instrucciones.

Canales de Telegram: el nuevo mercado negro

Telegram se ha convertido en la plataforma preferida por las redes de ciberfraude para sus operaciones. Los grupos y canales de Telegram se utilizan para:

Venta de datos robados (tarjetas de crédito, credenciales).
Reclutamiento de mulas de dinero.
Distribución de kits de phishing.
Coordinación de campañas de fraude.
Venta de servicios de blanqueo.
Compartir tutoriales de estafa.

La encriptación de Telegram, su política de no compartir datos con autoridades de muchos países y la posibilidad de crear cuentas anónimas lo convierten en un entorno ideal para la actividad criminal organizada.

Redes criminales identificadas en España

Varias organizaciones criminales internacionales operan activamente en territorio español:

Black Axe: red criminal de origen nigeriano especializada en estafas online, fraudes de romance, compromiso de correo empresarial y blanqueo de capitales. En enero de 2026, 34 miembros fueron detenidos en Sevilla, Madrid, Málaga y Barcelona, con un fraude total de 5,9 millones de euros [22].

GXC Team: red internacional desarticulada por la Guardia Civil en noviembre de 2025 que vendía ransomware, malware móvil y herramientas de IA para estafas personalizadas [25].

Redes de Europa del Este: múltiples grupos con base operativa en Ucrania, Rusia, Rumanía y Bulgaria que operan call centers especializados en inversiones fraudulentas dirigidas al mercado español.

Trinitarios: banda latina activa en Madrid y Murcia involucrada en SIM swapping con 429.000 euros estafados a más de 100 víctimas [14].

Estadísticas internacionales: España en contexto

Europol IOCTA 2025: el panorama europeo

El informe IOCTA 2025 de Europol, titulado “Steal, Deal and Repeat: How Cybercriminals Trade and Exploit Your Data”, presenta el panorama más completo del cibercrimen organizado en Europa [23].

Las conclusiones principales son:

Los datos son la nueva moneda criminal: los ciberdelincuentes roban, comercian y explotan datos personales. Todo, desde credenciales de acceso hasta números de tarjeta, historiales médicos y cuentas de redes sociales, se comercializa en la dark web.
La IA potencia la ingeniería social: el uso de IA generativa, incluidos grandes modelos de lenguaje (LLM), está potenciando los ataques de ingeniería social, haciendo que los correos de phishing, las páginas web fraudulentas y los deepfakes sean cada vez más convincentes.
El crimen organizado se digitaliza: las organizaciones criminales están trasladando sus actividades al entorno digital, donde la anonimidad y la escalabilidad multiplican sus beneficios.
La cooperación internacional es clave: operaciones coordinadas como EMMA-9 (contra mulas de dinero) y Garona (contra Black Axe) demuestran que la respuesta debe ser transnacional.

FBI IC3 2024: las cifras globales

El Centro de Quejas de Delitos en Internet (IC3) del FBI publicó su informe anual en abril de 2025 con cifras récord [16]:

Indicador	2023	2024	Variación
Denuncias recibidas	880.418	859.532	-2,4%
Pérdidas reportadas	12.500 M$	16.600 M$	+33%
Pérdida media por denuncia	14.196 $	19.372 $	+36%
Pérdidas por criptomonedas	5.600 M$	9.300 M$	+66%
Víctimas mayores 60 años	Mayor grupo en pérdidas	Mayor grupo en pérdidas	—

Los tipos de fraude con mayores pérdidas económicas a nivel global en 2024 fueron:

Fraude de inversión: 6.570 M$
Business Email Compromise: 2.770 M$
Fraude soporte técnico: 1.460 M$
Fraude sentimental: 672 M$
Estafas de lotería / extorsión: 504 M$

Comparativa España vs. Europa vs. EE.UU.

Indicador	España	Europa (estimación)	EE.UU.
Ciberdelitos anuales	489.248	~3.500.000	~860.000 (IC3)
% estafas informáticas	88%	~80%	~75%
Pérdida media/víctima	~1.010 €	~1.200 €	~19.000 $ (IC3)
Tasa recuperación	Menos del 15%	Menos del 20%	~10-15%
Posición en fraude financiero	Top 4 Europa	—	N.º 1 global
Crecimiento anual ciberdelitos	+5,3%	+8-12%	+33% (pérdidas)

La diferencia en pérdida media entre España y EE.UU. se explica por dos factores: el mayor volumen de criptoestafas de alta cuantía en EE.UU. y el hecho de que el IC3 captura un porcentaje mayor de casos de alto impacto.

La economía de la dark web

La dark web genera aproximadamente 3.200 millones de dólares en ingresos anuales a nivel global. De ellos, los servicios de fraude y estafa representan 520 millones de dólares [24].

Un kit completo de fraude para un delincuente novato puede adquirirse por 200 dólares. Esto da una idea de la democratización del cibercrimen: con una inversión mínima, cualquier persona con intención criminal puede lanzar campañas de phishing masivas o fraudes de inversión sofisticados.

Casos reales y operaciones policiales en España

Las Fuerzas y Cuerpos de Seguridad del Estado y las policías autonómicas han intensificado sus operaciones contra el ciberfraude en 2025 y 2026. A continuación, las operaciones más relevantes documentadas.

Operación 1: Red de inversiones falsas (102 millones de euros)

Fecha: septiembre 2025. Coordinación: Policía Nacional, Europol, Eurojust. Países implicados: España, Portugal, Bulgaria, Rumanía. Resultado: 6 detenidos (3 en España). Volumen defraudado: 102.908.705 euros, de los cuales 12,2 millones procedían de víctimas españolas [9].

La red operaba plataformas de inversión online fraudulentas que mostraban rendimientos ficticios. Las víctimas eran contactadas por supuestos asesores financieros a través de call centers ubicados en Europa del Este.

Operación 2: Garona — Black Axe (5,9 millones)

Fecha: enero 2026. Fuerza actuante: Policía Nacional, policía alemana de Baviera, Europol. Resultado: 34 detenidos en Sevilla (28), Madrid (3), Málaga (2) y Barcelona (1). Los líderes ingresaron en prisión [22]. Volumen defraudado: 5.937.589,70 euros.

La organización Black Axe, con más de 15 años de actividad, se dedicaba a ciberfraude, estafas románticas, compromiso de correo empresarial y blanqueo de capitales.

Operación 3: COINBLACK-WENDIMINE (19 millones)

Fecha: 2025. Fuerza actuante: Policía Nacional y Guardia Civil conjuntamente. Resultado: 6 detenidos (edades entre 34 y 57 años). Volumen defraudado: 19 millones de euros a 208 víctimas. Modalidad: falsas inversiones en criptomonedas [26].

Operación 4: Red de smishing DGT y banca (Alicante)

Fecha: noviembre 2025 - enero 2026. Fuerza actuante: Policía Nacional. Resultado: 14 detenidos (11 hombres, 3 mujeres, 22-52 años) en Alicante, Albacete e Ibiza. Delitos esclarecidos: más de 986 estafas. Volumen defraudado: más de 200.000 euros. Víctimas identificadas: cerca de 200 en todo el territorio nacional [12].

La red enviaba SMS masivos suplantando a la DGT y a entidades bancarias, dirigiendo a las víctimas a páginas de phishing donde capturaban sus credenciales.

Operación 5: EMMA-9 (mulas de dinero)

Fecha: 2025. Coordinación: Europol (operación pan-europea). Resultado en España: 432 investigaciones, 1.801 personas investigadas, 558 detenidos como “e-mules”. Volumen de fraude detectado: cerca de 4 millones de euros [17].

A nivel europeo, la operación EMMA-9 se saldó con 2.469 personas detenidas y 4.089 transacciones fraudulentas identificadas.

Operación 6: SIM swapping Trinitarios (429.000 euros)

Fecha: diciembre 2024. Fuerza actuante: Policía Nacional española y policía suiza. Resultado: 20 detenidos (16 en España, 4 en Suiza). Volumen defraudado: 429.000 euros. Víctimas: más de 100 personas [14].

Los detenidos, miembros de la banda de los Trinitarios, realizaban portabilidades fraudulentas de líneas telefónicas para obtener duplicados de SIM e interceptar los códigos de verificación bancarios.

Operación 7: Red internacional en España (50 detenidos)

Fecha: diciembre 2025. Fuerza actuante: Guardia Civil. Resultado: 50 detenidos. Víctimas: más de 400 personas. Modalidades: estafas online, usurpación de identidad, falsificación de documentos y blanqueo de capitales. La red tenía base operativa en España y 34 miembros asentados en Nigeria [27].

Operación 8: SIM swapping Barcelona (46.000 euros)

Fecha: noviembre 2025. Fuerza actuante: Policía Nacional. Resultado: 3 detenidos, 2 investigados, 6 sospechosos adicionales. Volumen defraudado: 46.000 euros a un ciudadano de Albacete [15].

Operación 9: Mulas en Huesca (17.000 euros)

Fecha: febrero-marzo 2026. Fuerza actuante: Policía Nacional. Resultado: 8 detenidos como “mulas del dinero”. Volumen defraudado: más de 17.000 euros a 7 vecinos de Huesca [28].

Operación 10: Drago — blanqueo con cripto

Fecha: marzo 2026. Fuerza actuante: Guardia Civil. Resultado: 13 detenidos e investigados de diversas nacionalidades. Delitos: pertenencia a grupo criminal, estafa bancaria y blanqueo de capitales. Utilizaban cuentas bancarias y plataformas de criptomonedas a nombre de “mulas económicas” [29].

Operación 11: GXC Team — fraude con IA

Fecha: noviembre 2025. Fuerza actuante: Guardia Civil. La Guardia Civil desarticuló al GXC Team, una red internacional que comercializaba ransomware, malware móvil y herramientas de IA para estafas altamente personalizadas [25].

Este caso es especialmente significativo porque demuestra la convergencia entre crimen organizado e inteligencia artificial.

Operación 12: Estafa “hijo en apuros” — Canarias

Fecha: marzo 2026. Fuerza actuante: Policía Nacional. Una sola denuncia en Canarias por la estafa del “hijo en apuros” desencadenó la investigación que permitió desarticular una red que blanqueaba miles de euros en criptomonedas [19].

Lecciones de las operaciones policiales

Estas operaciones revelan varios patrones:

Internacionalización: prácticamente todas las redes desarticuladas tienen ramificaciones internacionales. La cooperación con Europol y fuerzas policiales extranjeras es imprescindible.
Volúmenes crecientes: las cantidades defraudadas se miden en millones de euros. La operación de inversiones falsas superó los 100 millones.
Diversificación de métodos: las redes combinan múltiples técnicas (phishing + SIM swapping + blanqueo cripto) en cadenas de fraude integradas.
Rapidez del blanqueo: el dinero se mueve en minutos a través de cuentas de mulas y exchanges de criptomonedas.
El papel de la evidencia técnica: en todos los casos, la investigación digital y el análisis forense fueron fundamentales para identificar a los responsables y presentar pruebas ante el juez.

El perito informático forense en la investigación de fraudes

Cuando una persona o empresa es víctima de una estafa online, el tiempo es el recurso más escaso. Los criminales mueven el dinero en minutos, las páginas fraudulentas desaparecen en horas, y los registros digitales tienen fecha de caducidad.

Aquí es donde la intervención de un perito informático forense marca la diferencia.

Fase 1: Preservación inmediata de evidencia

La primera y más crítica fase es la preservación de la evidencia digital antes de que desaparezca. Esta fase debe iniciarse idealmente en las primeras 24 horas.

Actuaciones concretas:

Captura forense de correos electrónicos: no basta con hacer un pantallazo. Se exportan los correos completos con todas sus cabeceras SMTP (que contienen las direcciones IP de origen y los servidores por los que pasó el mensaje). Se calcula el hash criptográfico (SHA-256) de cada fichero para garantizar su integridad.
Preservación de páginas web: las tiendas falsas y plataformas fraudulentas pueden desaparecer en horas. Se realiza una captura completa del sitio web (WARC o PDF certificado) con marca de tiempo verificable. Se documentan los registros WHOIS, DNS y hosting del dominio.
Exportación de conversaciones: mensajes de WhatsApp, Telegram, SMS y cualquier otra plataforma de comunicación utilizada por el estafador. Se realiza una extracción forense del dispositivo móvil si es necesario.
Documentación de transacciones: captura de extractos bancarios, confirmaciones de transferencia, recibos de Bizum, comprobantes de operaciones en exchanges de criptomonedas.
Cadena de custodia: toda la evidencia se documenta con un registro detallado de quién, cuándo, cómo y dónde se recogió, almacenó y analizó. Esto es fundamental para que las pruebas tengan validez procesal en juicio.

Fase 2: Análisis de trazabilidad financiera

Una vez preservada la evidencia, el perito procede al rastreo del dinero.

En transferencias bancarias:

Identificación de las cuentas receptoras del dinero.
Solicitud de información a la entidad bancaria (a través del abogado o de la autoridad judicial).
Correlación de movimientos entre cuentas intermedias.
Identificación de patrones (horarios, cantidades, países de destino).

En criptomonedas:

Identificación de las wallets de destino.
Análisis on-chain: seguimiento del flujo de fondos a través de la blockchain utilizando herramientas como Chainalysis, Crystal Blockchain, Elliptic o TRM Labs.
Identificación de exchanges donde se convirtieron los fondos a fiat.
Detección de uso de mezcladores (mixers/tumblers) y reconstrucción de flujos post-mezcla cuando es posible.
Correlación de direcciones con bases de datos de actividad fraudulenta conocida.

El análisis blockchain ha avanzado significativamente: las herramientas modernas permiten reconstruir rutas de fondos incluso después del paso por varios mezcladores, siempre que la investigación se inicie con rapidez.

Fase 3: Análisis de la infraestructura del fraude

El perito investiga la infraestructura técnica utilizada por los estafadores:

Análisis de dominios: registros WHOIS (datos del registrante), histórico de DNS, proveedor de hosting, certificados SSL, tecnologías utilizadas.
Análisis de correos electrónicos: cabeceras SMTP completas, SPF/DKIM/DMARC del dominio remitente, direcciones IP de origen, correlación con otros correos del mismo origen.
Análisis de infraestructura: direcciones IP de servidores, proveedores de hosting, servicios CDN utilizados, registros de actividad.
Análisis OSINT: búsqueda en fuentes abiertas de información sobre los dominios, emails, números de teléfono y otros identificadores relacionados con la estafa. Incluye búsqueda en redes sociales, foros, dark web y bases de datos de amenazas.
Correlación multi-caso: vinculación de la estafa investigada con otras estafas similares operadas por la misma red criminal, identificando patrones de infraestructura, métodos de pago y operativas compartidas.

Fase 4: Análisis de dispositivos

En determinados casos, el perito realiza una extracción forense de los dispositivos implicados:

Ordenadores: imagen forense del disco duro, análisis de historial de navegación, archivos temporales, registros del sistema, software instalado.
Dispositivos móviles: extracción física o lógica del smartphone, análisis de aplicaciones, mensajes, llamadas, fotos, vídeos y geolocalización.
Dispositivos de red: análisis de routers, registros de tráfico, dispositivos IoT comprometidos.

Fase 5: Elaboración del informe pericial

El informe pericial es el documento técnico-jurídico que plasma los resultados de la investigación. Debe ser comprensible para jueces y fiscales sin formación técnica.

Estructura típica del informe:

Identificación del perito: datos profesionales, cualificaciones y experiencia.
Objeto del peritaje: descripción clara de lo que se investiga y las preguntas que se pretende responder.
Metodología utilizada: herramientas, procedimientos y estándares seguidos (ISO 27037, RFC 3227, metodología NIST).
Cadena de custodia: documentación completa del manejo de la evidencia.
Análisis y hallazgos: presentación detallada de la evidencia encontrada, con capturas de pantalla, diagramas de flujo financiero y explicaciones técnicas en lenguaje accesible.
Conclusiones: respuesta fundamentada a las preguntas planteadas en el objeto del peritaje.
Anexos: evidencia digital completa, hashes criptográficos, registros de cadena de custodia.

Este informe pericial es admisible como prueba pericial en procedimientos penales y civiles.

Fase 6: Ratificación en juicio

El perito informático puede ser llamado a declarar en sala para explicar y defender sus conclusiones ante el tribunal, sometido a las preguntas de todas las partes procesales (acusación, defensa y el propio juez).

La ratificación es una fase crítica: un informe pericial excelente puede perder efectividad si el perito no sabe comunicar sus hallazgos de forma clara y convincente ante el tribunal.

Cuándo contactar a un perito informático

Actúa en las primeras 24-48 horas

La efectividad de la investigación forense disminuye drásticamente con el tiempo:

Primeras 6 horas: máxima posibilidad de bloquear transferencias bancarias en curso.
Primeras 24 horas: máxima posibilidad de rastrear fondos y preservar evidencia digital en servidores de terceros.
Primeras 72 horas: los dominios y servidores fraudulentos aún pueden estar activos. Los registros de ISPs y operadores aún están disponibles.
Después de 7 días: muchos registros intermedios comienzan a eliminarse automáticamente. Las cuentas de mulas suelen estar ya vaciadas.
Después de 30 días: la recuperación del dinero se vuelve extremadamente improbable. Muchos registros técnicos ya no están disponibles.
Después de 12 meses: los datos de tráfico conservados por los proveedores de servicios (art. 12 LSSI) pueden empezar a eliminarse.

No esperes a que la Policía te devuelva la llamada para empezar a preservar la evidencia. Contacta con un perito informático de forma paralela a la denuncia.

Caso real: recuperación parcial de 8.400 euros

Sin revelar datos identificativos por confidencialidad profesional, puedo describir un patrón habitual en mis peritajes.

Una pyme andaluza contactó conmigo tras perder 12.000 euros en una plataforma de inversión fraudulenta en criptomonedas. El director había recibido una llamada de un supuesto bróker que le guió para invertir en una plataforma que mostraba ganancias ficticias del 40% mensual.

El análisis forense permitió:

Documentar toda la cadena de comunicaciones (llamadas, correos, capturas de la plataforma) con cadena de custodia verificable.
Rastrear las transferencias bancarias hasta una cuenta en Lituania vinculada a una red de mulas.
Identificar el dominio fraudulento y vincularlo con otras 7 plataformas falsas operadas por la misma red criminal.
Analizar las wallets de criptomonedas de destino y trazar los fondos hasta un exchange regulado donde se solicitó información a través de la vía judicial.
Elaborar un informe pericial que la Policía Nacional utilizó para ampliar su investigación.

Resultado: se consiguió la devolución parcial (8.400 euros) a través del proceso de contracargo bancario, respaldado por la documentación técnica del peritaje. Sin el informe pericial, el banco habría rechazado la reclamación.

Caso real: BEC detectado a tiempo

Una empresa tecnológica de Barcelona recibió un correo del “director financiero” de un proveedor habitual comunicando un cambio en los datos bancarios para facturas. El correo procedía de un dominio casi idéntico al real (con una letra cambiada).

El departamento de contabilidad sospechó y me consultó antes de realizar la transferencia de 47.000 euros.

El análisis forense del correo reveló que el dominio había sido registrado solo 48 horas antes, que las cabeceras SMTP apuntaban a un servidor en Europa del Este y que el mismo dominio estaba vinculado a otras 12 estafas BEC dirigidas a empresas españolas.

Resultado: se evitó la pérdida de 47.000 euros. Se denunció ante la Policía Nacional y el informe pericial se incorporó a una investigación en curso contra la red criminal.

Herramientas forenses utilizadas

Categoría	Herramientas	Uso
Adquisición forense	FTK Imager, dd, Cellebrite UFED	Imagen forense de discos y móviles
Análisis de correos	MXToolbox, Mail Header Analyzer	Cabeceras SMTP, autenticación
Análisis de dominios	WHOIS, DNSdumpster, VirusTotal	Infraestructura del fraude
Análisis blockchain	Chainalysis Reactor, Crystal, TRM	Trazabilidad de criptomonedas
OSINT	Maltego, Shodan, SpiderFoot	Investigación de fuentes abiertas
Análisis de malware	IDA Pro, Ghidra, sandbox online	Software malicioso
Certificación	eGarante, Coloriuris	Certificación de evidencia web
Hash y cadena custodia	SHA-256, herramientas propias	Integridad de evidencia

Marco legal completo

Las estafas online en España se persiguen a través de un marco legal que combina el Código Penal, normativa sobre servicios de la sociedad de la información, regulación bancaria y directivas europeas.

Código Penal: artículos 248-251 (delito de estafa)

El artículo 248 del Código Penal define la estafa como el engaño bastante para producir error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno.

Art. 248.2 CP: estafa informática

“También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero.”

Este precepto, cuya ubicación actual es obra de la reforma de 2010, amplió el concepto tradicional de estafa para abarcar específicamente las manipulaciones informáticas. La diferencia clave con la estafa clásica es que no se requiere engaño directo a una persona: la conducta se despliega sobre una máquina, respecto de la cual no puede hablarse de engaño o de padecimiento de error.

Penas del delito de estafa:

Tipo	Pena de prisión	Condiciones
Básico (art. 249)	6 meses - 3 años	Cuantía del perjuicio
Agravado (art. 250.1)	1 - 6 años + multa	Concurren agravantes
Hiperagravado (art. 250.2)	4 - 8 años + multa	Combinación de agravantes
Masa (art. 250.1.5ª)	1 - 6 años	Afecta a gran nº personas
Leve (art. 249.1)	Multa 1-3 meses	Cuantía < 400 €

Agravantes relevantes para ciberfraude (art. 250.1 CP):

250.1.1ª: recae sobre cosas de primera necesidad, viviendas u otros bienes de reconocida utilidad social.
250.1.4ª: reviste especial gravedad atendiendo al valor de la defraudación, la entidad del perjuicio y la situación económica de la víctima.
250.1.5ª: afecta a un elevado número de personas.
250.1.6ª: se comete con abuso de las relaciones personales.
250.1.7ª: se comete con abuso de la credibilidad empresarial o profesional.

La agravante del art. 250.1.7ª es especialmente relevante para el ciberfraude: se aplica cuando el estafador utiliza medios que dificultan su identificación, como dominios anónimos, VPNs, servidores en el extranjero y criptomonedas.

Jurisprudencia relevante: El Tribunal Supremo, en su STS 927/2023 de 14 de diciembre, señaló que el delito de estafa del artículo 248 CP precisa un engaño que despierte en el sujeto pasivo una convicción equivocada de la realidad existente, de modo que el destinatario del engaño, impulsado por esa incorrecta persuasión, realice voluntariamente un acto de disposición patrimonial [30].

Artículo 197 CP: descubrimiento de secretos

El artículo 197 tipifica los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio. Es aplicable en casos de:

Acceso no autorizado a cuentas de correo electrónico.
Interceptación de comunicaciones.
Robo de datos personales.
Suplantación de identidad digital.

El artículo 197 bis tipifica el acceso ilegal a sistemas informáticos.

Las penas oscilan entre 1 y 4 años de prisión, pudiendo agravarse cuando se difunden los datos obtenidos o cuando la víctima es menor de edad.

Artículo 264 CP: daños informáticos

El artículo 264 tipifica los daños a sistemas informáticos: borrado, deterioro, alteración o supresión de datos, programas o documentos electrónicos. Es aplicable cuando la estafa incluye la instalación de malware, ransomware o la destrucción de sistemas de la víctima.

Penas: 6 meses a 3 años de prisión (tipo básico), hasta 5 años con agravantes.

Artículo 301 CP: blanqueo de capitales

El artículo 301 es fundamental para perseguir a las mulas de dinero y a las redes de blanqueo asociadas al ciberfraude:

Art. 301 CP: blanqueo de capitales

Comete delito de blanqueo quien adquiera, posea, utilice, convierta o transmita bienes sabiendo que tienen su origen en una actividad delictiva, o realice cualquier otro acto con el fin de ocultar o encubrir dicho origen ilícito.

Pena: prisión de 6 meses a 6 años y multa del tanto al triplo del valor de los bienes.

Es importante: las mulas de dinero que prestan sus cuentas bancarias para recibir y reenviar fondos procedentes de estafas se enfrentan a cargos por blanqueo de capitales, incluso aunque no supieran exactamente de dónde procedía el dinero (imprudencia grave, art. 301.3 CP).

Artículo 270 CP: usurpación de identidad

Aplicable cuando el estafador crea perfiles falsos, suplanta la identidad de personas o empresas reales, o utiliza marcas registradas sin autorización.

Ley 34/2002 (LSSI):

obligaciones de plataformas

La Ley de Servicios de la Sociedad de la Información impone obligaciones relevantes:

Art. 12 LSSI: los operadores de redes y servicios de comunicaciones electrónicas deben conservar los datos de tráfico durante 12 meses. Este artículo es clave para las investigaciones: permite solicitar judicialmente los registros de conexión que vinculan una dirección IP con un usuario concreto.
Art. 11 LSSI: deber de colaboración con las autoridades judiciales para la identificación de los responsables de actividades ilícitas.

Directiva PSD2 (servicios de pago)

La Directiva europea PSD2 (Payment Services Directive 2), transpuesta al ordenamiento español, establece:

Autenticación reforzada (SCA): los pagos electrónicos requieren al menos dos factores de autenticación (algo que sabes + algo que tienes

algo que eres).

Responsabilidad limitada del usuario: en caso de operaciones de pago no autorizadas, la responsabilidad máxima del usuario se limita a 50 euros, siempre que haya actuado con la diligencia debida.
Carga de la prueba invertida: es el proveedor del servicio de pago quien debe demostrar que la operación fue autorizada y ejecutada correctamente.

Reglamento MiCA (criptoactivos)

El Reglamento europeo MiCA (Markets in Crypto-Assets), aplicable desde junio de 2023 con plena implementación en 2025, establece un marco regulatorio para los criptoactivos que incluye:

Requisitos de licencia para los exchanges y proveedores de servicios cripto.
Obligaciones de KYC (Know Your Customer) y AML (Anti-Money Laundering).
Mayor trazabilidad de las transacciones con criptoactivos.

Este reglamento está mejorando la cooperación entre exchanges regulados y autoridades judiciales, lo que facilita la investigación forense de criptoestafas.

Convenio de Budapest (cibercrimen)

El Convenio sobre la Ciberdelincuencia del Consejo de Europa (Convenio de Budapest), ratificado por España, establece el marco de cooperación internacional en materia de investigación de ciberdelitos, incluyendo procedimientos para la conservación rápida de datos almacenados y la asistencia judicial mutua.

Prescripción de los delitos de estafa

Tipo	Pena máxima	Prescripción
Estafa básica	3 años prisión	5 años
Estafa agravada	6 años prisión	10 años
Estafa hiperagravada	8 años prisión	10 años
Blanqueo capitales	6 años prisión	10 años

Que el delito prescriba a los 5 o 10 años no significa que debas esperar: cuanto más tiempo pase, más difícil será localizar evidencia digital y rastrear los fondos.

Cómo protegerte: guía práctica antifraude

La prevención sigue siendo la mejor defensa contra las estafas online. Estas son las medidas más efectivas organizadas por nivel de dificultad.

Protección básica (para todos)

N.º	Medida	Protege contra
1	Activa 2FA con app (Google Authenticator, Authy), nunca con SMS	SIM swapping, phishing
2	No hagas clic en enlaces de SMS o correos no solicitados	Phishing, smishing
3	Verifica la URL antes de introducir credenciales (busca el dominio oficial)	Phishing, tiendas falsas
4	Usa tarjeta virtual o prepago para compras online	Fraude en compras
5	Configura alertas bancarias para todas las operaciones	Todos los fraudes
6	Usa contraseñas únicas + gestor de contraseñas (Bitwarden, 1Password)	Robo de credenciales
7	Si alguien te llama diciendo que es tu banco, cuelga y llama TÚ al banco	Vishing
8	Desconfía de ofertas “demasiado buenas para ser verdad”	Compras falsas, cripto
9	Si un familiar pide dinero por WhatsApp desde un número nuevo, verifica por otra vía	Hijo en apuros
10	No compartas datos personales en redes sociales públicas	Ingeniería social

Protección intermedia (recomendada)

N.º	Medida	Protege contra
11	Verifica dominios con WHOIS antes de comprar (whois.domaintools.com)	Tiendas falsas
12	Consulta la CNMV antes de invertir (cnmv.es/advertencias)	Criptoestafas
13	Activa congelación de crédito en bureaus de solvencia	Robo de identidad
14	Revisa periódicamente tus cuentas bancarias y movimientos	Fraude bancario
15	Configura PIN de seguridad con tu operador de telefonía	SIM swapping
16	Usa correo electrónico exclusivo para servicios financieros	Compartimentación
17	Verifica facturas de proveedores por un segundo canal (teléfono) antes de pagar	BEC/CEO
18	Mantén el sistema operativo y apps actualizados	Vulnerabilidades

Protección avanzada (empresas y profesionales)

N.º	Medida	Protege contra
19	Implementa DMARC/SPF/DKIM en tu dominio de correo	BEC, suplantación
20	Establece doble autorización para transferencias superiores a X euros	BEC, fraude interno
21	Formación periódica en ciberseguridad para empleados	Ingeniería social
22	Simulacros de phishing internos	Phishing
23	Seguro ciber (póliza de ciberriesgos)	Pérdida económica
24	Plan de respuesta ante incidentes documentado	Todos
25	Auditoría de seguridad anual	Vulnerabilidades

Checklist de verificación rápida

antes de una compra o inversión online

¿El precio es realista? Si es un 60-80% más barato que en otras tiendas, probablemente sea una estafa.
¿El dominio tiene más de 6 meses? Consulta su antigüedad en WHOIS. Un dominio registrado hace días es señal de alarma.
¿Hay datos de contacto reales? Dirección fiscal, teléfono fijo, CIF/NIF verificable en la web de la Agencia Tributaria.
¿La empresa está registrada? Verifica su existencia en el Registro Mercantil o en infoempresa.com.
¿Tiene opiniones verificables? No en la propia web (pueden ser falsas), sino en Google Maps, Trustpilot u otros agregadores independientes.
¿La plataforma de inversión está autorizada por la CNMV? Consulta el registro de entidades y la lista de advertencias en cnmv.es.
¿Te presionan con urgencia? “Oferta solo hoy”, “quedan 2 unidades”, “invierte antes de las 18:00” son técnicas de presión típicas de estafadores.
¿Puedes pagar por métodos protegidos? Tarjeta de crédito con chargeback o pasarelas con protección al comprador (PayPal, plataformas con garantía). Evita transferencia bancaria directa y Bizum a desconocidos.

Qué hacer si ya has sido estafado

No borres nada: conserva todos los correos, mensajes, capturas de pantalla, comprobantes de pago, URLs y conversaciones. Haz capturas de pantalla de todo lo que puedas.
Contacta con tu banco inmediatamente: solicita el bloqueo de la tarjeta o cuenta afectada. Si pagaste con tarjeta de crédito, solicita el proceso de contracargo (chargeback). Si fue una transferencia, solicita su retrocesión antes de que el banco receptor la acepte.
Denuncia:

Policía Nacional: puedes denunciar online en policia.es o presencialmente en comisaría.
Guardia Civil: a través de su web o en el cuartel.
Juzgado de guardia: si es urgente y fuera de horario.
INCIBE: línea de ayuda en ciberseguridad (017).

Contacta con un perito informático: solicita una valoración gratuita para preservar la evidencia digital con validez procesal. Las primeras 24-48 horas son críticas.
Documenta todo lo ocurrido: escribe una cronología detallada: fechas, horas, importes, nombres usados por el estafador, medios de comunicación utilizados.
Cambia contraseñas: si compartiste credenciales o el estafador accedió a tus cuentas, cambia todas las contraseñas y activa 2FA donde sea posible.
Alerta a tu entorno: si la estafa incluye suplantación de tu identidad, avisa a tus contactos para que no caigan en estafas derivadas.

Tendencias 2026-2027:

el futuro del ciberfraude

El ciberfraude en España no muestra señales de desaceleración. Las tendencias tecnológicas y criminales para los próximos meses apuntan a una sofisticación sin precedentes.

1. Deepfakes en tiempo real

El fraude con deepfakes ha crecido un 484% en solo un año [31]. La novedad de 2026-2027 son los deepfakes en tiempo real: tecnologías que permiten modificar imagen o voz durante una videollamada.

Más del 55% de las empresas encuestadas sufrió pérdidas financieras atribuibles a deepfakes en los últimos 12 meses, con una pérdida promedio por incidente que supera los 280.000 dólares [31].

En España, el 23% de las empresas ha sufrido intentos de fraude con deepfakes [31].

Escenario real: un empleado recibe una videollamada de su “director financiero” —en realidad un deepfake en directo— que le ordena realizar una transferencia urgente. La imagen y la voz son indistinguibles del original.

2. IA generativa al servicio del fraude

Los criminales ya utilizan IA generativa (ChatGPT, modelos locales) para:

Crear correos de phishing perfectamente redactados, sin errores ortográficos, personalizados para cada víctima.
Generar páginas web fraudulentas indistinguibles de las originales.
Crear chatbots que simulan atención al cliente legítima.
Producir contenido falso para redes sociales (testimonios, reseñas).
Clonar voces para vishing a partir de muestras mínimas (3-5 segundos de audio bastan).

Kaspersky anticipa para 2026 ciberamenazas financieras impulsadas por IA y un auge de fraudes dirigidos a pagos móviles [32].

3. Phishing de nueva generación

Los kits de phishing-as-a-service de nueva generación incorporan:

Perfilado social avanzado: construyen perfiles detallados de las víctimas antes del ataque, personalizando el phishing con datos reales (nombre del jefe, última compra, banco habitual).
Bypass de MFA: técnicas para eludir la autenticación multifactor, incluyendo phishing en tiempo real que intercepta y retransmite tokens OTP al vuelo.
IA para personalización: cada correo o SMS se genera dinámicamente adaptado al perfil de la víctima [24].

4. Fraude en pagos instantáneos

Con la adopción generalizada de Bizum, transferencias SEPA instantáneas y pagos con QR, los estafadores aprovechan la velocidad de estos sistemas: una vez enviado el dinero, la reversión es prácticamente imposible.

La Comisión Europea está trabajando en regulación que obligaría a los bancos a verificar la coincidencia entre el nombre del beneficiario y el IBAN antes de ejecutar transferencias instantáneas.

5. Fraude vinculado a eventos

Grandes eventos deportivos (Eurocopa, Juegos Olímpicos, Liga de Campeones), lanzamientos de productos tecnológicos (nuevos iPhone, consolas), períodos de rebajas (Black Friday, Navidades, enero) y eventos administrativos (campaña de la Renta) se convierten en ganchos para campañas masivas de fraude.

6. Evolución del SIM swapping:

eSIM hijacking

Con la adopción de eSIMs, los criminales están desarrollando técnicas de secuestro de eSIM que no requieren visitar una tienda de telefonía. El ataque se realiza completamente de forma remota, lo que dificulta aún más la detección y la prevención.

7. Supply chain fraud

(fraude en la cadena de suministro)

Los atacantes comprometen proveedores tecnológicos (servicios cloud, SaaS, CRM) para acceder simultáneamente a miles de empresas cliente. Un solo proveedor comprometido puede generar un efecto en cascada que afecte a toda una industria.

8. Quantum computing:

amenaza a medio plazo

Aunque todavía a varios años de ser una amenaza operativa, la computación cuántica tendrá el potencial de romper los algoritmos criptográficos actuales, lo que podría comprometer la seguridad de las comunicaciones, las transacciones financieras y las criptomonedas.

Los expertos recomiendan que las empresas comiencen ya a planificar la transición hacia criptografía post-cuántica.

9. Targeting de pymes

Las pymes españolas son objetivos cada vez más frecuentes por su combinación de:

Volumen de facturación significativo.
Menor inversión en ciberseguridad.
Menor formación de empleados.
Menor capacidad de respuesta ante incidentes.

10. Regulación más estricta

La Unión Europea está endureciendo la regulación contra el ciberfraude:

Reglamento MiCA para criptoactivos.
Directiva NIS2 para ciberseguridad de infraestructuras.
Propuesta de regulación de transferencias instantáneas con verificación de beneficiario.
AI Act con requisitos para deepfakes y contenido generado por IA.

Preguntas frecuentes

¿Qué debo hacer si he sido víctima de una estafa online?

Lo primero es no borrar nada: conserva todos los correos, capturas de pantalla, comprobantes de pago, URLs y conversaciones. Denuncia ante la Policía Nacional o la Guardia Civil (puedes hacerlo online a través del portal de denuncias). Contacta con tu banco para intentar bloquear la transferencia. Y consulta con un perito informático lo antes posible para preservar la evidencia digital con validez procesal.

¿Puedo recuperar el dinero de una estafa online?

Depende de la rapidez con la que actúes y del método de pago utilizado. Si pagaste con tarjeta de crédito, el proceso de contracargo (chargeback) puede funcionar si actúas en los primeros 120 días. Si fue por transferencia bancaria, las posibilidades disminuyen drásticamente pasadas las primeras horas. En criptomonedas, la recuperación directa es prácticamente imposible, aunque el rastreo blockchain puede servir como prueba para la investigación penal. La PSD2 limita la responsabilidad del usuario a 50 euros en operaciones no autorizadas, pero esto solo aplica si no hubo negligencia grave por parte del titular.

¿La Policía investiga todas las denuncias por estafas online?

La Policía Nacional y la Guardia Civil cuentan con unidades especializadas en ciberdelincuencia: la Unidad Central de Ciberdelincuencia (Policía Nacional) y el Grupo de Delitos Telemáticos (Guardia Civil). Sin embargo, el volumen de denuncias supera con mucho la capacidad de investigación. Los casos que cuentan con un informe pericial que aporta evidencia técnica sólida tienen significativamente más posibilidades de ser priorizados y de llegar a juicio.

¿Sirve como prueba una captura de pantalla?

Una captura de pantalla básica tiene un valor probatorio limitado porque puede ser manipulada fácilmente. Para que tenga validez procesal plena, es recomendable que un perito informático certifique la captura mediante hash criptográfico y cadena de custodia digital, o que se utilice un servicio de certificación como eGarante o Coloriuris. Una captura certificada por un perito informático tiene presunción de veracidad ante los tribunales.

¿Cuánto cuesta un peritaje informático de fraude digital?

El coste depende de la complejidad: número de transacciones a rastrear, volumen de evidencia digital, necesidad de análisis blockchain y de ratificación en juicio. Un peritaje básico de fraude online suele situarse entre 400 y 1.200 euros. Puedes solicitar una valoración gratuita para obtener un presupuesto personalizado. Considera que el coste del peritaje suele ser una fracción de lo que se puede recuperar o de lo que se necesita probar en juicio.

¿La estafa online prescribe?

El delito de estafa del artículo 248 del Código Penal tiene un plazo de prescripción de 5 años para el tipo básico (pena de prisión de 6 meses a 3 años) y de 10 años cuando concurren agravantes que elevan la pena por encima de los 5 años. El blanqueo de capitales (art. 301 CP) prescribe a los 10 años. Pero no debes esperar: cuanto más tiempo pase, más difícil será localizar evidencia digital y rastrear los fondos.

¿Las criptoestafas tienen tratamiento legal diferente?

No existe un tipo penal específico para las estafas con criptomonedas en el Código Penal español. Se persiguen bajo los mismos artículos 248-251 CP que cualquier estafa. Lo que sí cambia es la complejidad técnica: el análisis blockchain requiere herramientas especializadas y conocimientos que no todos los peritos poseen. El Reglamento MiCA europeo está mejorando la trazabilidad y la cooperación de los exchanges con las autoridades.

¿Qué es una mula de dinero y qué riesgo tiene?

Una mula de dinero es una persona que presta su cuenta bancaria para recibir y reenviar fondos procedentes de actividades delictivas. Aunque muchas mulas son captadas a través de falsas ofertas de empleo y pueden no ser conscientes de la ilegalidad, se enfrentan a cargos por blanqueo de capitales (art. 301 CP, hasta 6 años de prisión) y pueden perder todos los fondos de su cuenta bancaria. En la operación EMMA-9, 558 personas fueron detenidas como mulas en España [17].

¿Puedo denunciar una estafa online de forma telemática?

Sí. La Policía Nacional permite presentar denuncias online a través de su sede electrónica (sede.policia.gob.es). La Guardia Civil acepta denuncias a través del Grupo de Delitos Telemáticos (gdt.guardiacivil.es). INCIBE ofrece asesoramiento gratuito a través de la línea 017. No obstante, para denuncias con cuantías elevadas o con evidencia técnica compleja, es recomendable acudir presencialmente con un abogado y un informe pericial.

¿Cómo sé si una plataforma de inversión es legítima?

Consulta la lista de entidades autorizadas y el registro de advertencias de la CNMV (cnmv.es). Si la plataforma no aparece registrada, o si aparece en la lista de advertencias, no inviertas. Además, desconfía de:

Rendimientos garantizados superiores al 5% mensual.
Presión para invertir rápidamente.
Dificultades para retirar fondos.
Testimonios de famosos (suelen ser deepfakes).
Contacto inicial a través de redes sociales o apps de citas.

¿Qué papel tiene la inteligencia artificial en las estafas actuales?

La IA se utiliza actualmente para: clonar voces para vishing, generar deepfakes de vídeo para suplantación de identidad, crear correos de phishing indistinguibles de los legítimos, automatizar la captación de víctimas a través de chatbots, y generar identidades falsas con documentos falsos convincentes. El fraude con deepfakes ha crecido un 484% en el último año [31].

¿Qué hago si recibo un SMS sospechoso de mi banco o de la DGT?

Nunca hagas clic en el enlace. Los bancos y la DGT nunca solicitan datos personales ni de pago por SMS. Si dudas, accede directamente a la web o app oficial de tu banco (no a través del enlace del SMS) o llama al número de atención al cliente que aparece en tu tarjeta bancaria. Puedes reportar el SMS sospechoso al 017 de INCIBE.

¿Merece la pena denunciar si he perdido poco dinero?

Sí, siempre. Aunque la cantidad sea pequeña, tu denuncia contribuye a crear un patrón que puede vincular tu caso con otros cientos de víctimas de la misma red criminal. Las operaciones policiales como la de Alicante (986 estafas esclarecidas) se construyen acumulando denuncias individuales que apuntan a los mismos responsables [12].

¿Cómo protejo a mis padres o abuelos de las estafas online?

Explícales que nunca deben dar datos bancarios por teléfono, por mucho que quien llame diga ser del banco.
Enséñales a no hacer clic en enlaces de SMS o correos.
Activa las alertas de operaciones en sus cuentas bancarias.
Configura límites de transferencia bajos en su banca online.
Si es posible, utiliza 2FA con app en lugar de SMS.
Habla con ellos regularmente sobre las estafas más comunes para que las reconozcan.

¿Puede un perito informático actuar sin orden judicial?

Sí. Un perito informático puede ser contratado por un particular o una empresa de forma privada, sin necesidad de orden judicial, para investigar un fraude y elaborar un informe pericial. Este informe se aporta después como prueba pericial de parte en el procedimiento judicial (penal o civil). La diferencia con el perito judicial designado por el juzgado es que el perito de parte es propuesto por una de las partes, pero su informe tiene el mismo valor probatorio si cumple con los requisitos de rigor técnico y cadena de custodia.

Referencias y fuentes

Ertzaintza (2026). Estadísticas de ciberfraude enero 2026. Nota de prensa, 28 febrero 2026. Departamento de Seguridad del Gobierno Vasco. https://www.ertzaintza.euskadi.eus/
Ministerio del Interior (2026). Balance de Criminalidad Cuarto Trimestre 2025. Secretaría de Estado de Seguridad. https://www.interior.gob.es/
INCIBE (2026). Balance de Ciberseguridad 2025. Instituto Nacional de Ciberseguridad de España. https://www.incibe.es/
Mastercard (2026). Las estafas más comunes en España: compras, inversiones y criptomonedas, y robo de identidad. Mastercard Newsroom, febrero 2026. https://www.mastercard.com/news/europe/es-es/
TransUnion (2025). Global Digital Fraud Trends Report 2025. Datos para España.
Newtral (2024). Más del 90% de las denuncias por cibercriminalidad en España son por fraude informático. https://www.newtral.es/
Banco de España (2025). Memoria de Reclamaciones 2024. Departamento de Conducta de Entidades. https://www.bde.es/
Galicia Press (2026). Las estafas con criptomonedas golpean Galicia con más fuerza arruinando a sus víctimas. https://www.galiciapress.es/
Ministerio del Interior (2025). Desarticulada una red criminal internacional que estafó más de 102 millones de euros con falsas oportunidades de inversión online. https://www.interior.gob.es/
Infoestafas (2025). Tipos de estafas más comunes en España: datos oficiales 2024-2025. https://infoestafas.com/
SegurosTV (2025). Las ciberestafas se dispararon a final de 2025 por las compras online y los anuncios falsos. https://blog.segurostv.es/
El Español (2026). 14 detenidos por masiva estafa desde Alicante: engañaban con falsos mensajes de DGT y banca. https://www.elespanol.com/
Barclays (2025). Romance Scam Report 2025. Estadísticas de estafas románticas.
Ministerio del Interior (2024). Desarticulada una organización criminal internacional por estafar 429.000 euros por el método SIM Swapping (Murcia). https://www.interior.gob.es/
COPE (2025). La Policía Nacional desarticula una red que robó 46.000 euros con la estafa del SIM swapping (Barcelona). https://www.cope.es/
FBI (2025). Internet Crime Report 2024. Internet Crime Complaint Center (IC3). https://www.ic3.gov/
Ministerio del Interior (2025). La operación EMMA-9 se ha saldado con 558 detenidos en España en el marco de una acción global contra mulas de dinero. https://www.interior.gob.es/
Asociación Española de Consumidores (2025). Alerta por sextorsión en España. Datos de denuncias 2018-2023.
Diario de Avisos (2026). Alerta por la estafa del hijo en apuros: una denuncia en Canarias provoca la caída de una red que blanqueaba miles de euros en criptomonedas. https://diariodeavisos.elespanol.com/
El Liberal (2026). Detenido en Barcelona por estafar con falsos alquileres. https://www.elliberal.cat/
Idealista (2024). Las estafas en alquileres vacacionales aumentan por encima de niveles prepandemia. https://www.idealista.com/
Ministerio del Interior (2026). Desarticulada en España una red criminal dedicada al ciberfraude vinculada con la organización Black Axe. https://www.interior.gob.es/
Europol (2025). Internet Organised Crime Threat Assessment (IOCTA) 2025: Steal, Deal and Repeat. https://www.europol.europa.eu/
Barracuda Networks (2026). Threat Spotlight: How phishing kits evolved in 2025. https://blog.barracuda.com/
Bit Life Media (2025). La Guardia Civil desmantela al GXC Team, la red que comercializaba ransomware y herramientas de IA para estafas personalizadas. https://bitlifemedia.com/
Policía Nacional (2025). Operación COINBLACK-WENDIMINE: 6 detenidos por estafar 19 millones con falsas inversiones en criptomonedas. https://www.policia.es/
Andalucía Información (2025). Golpe a una red de estafas digitales en España: 50 arrestos y más de 400 afectados. https://www.andaluciainformacion.es/
Aragón Digital (2026). Ocho detenidos por mulas del dinero en estafas bancarias de 17.000 euros en Huesca. https://www.aragondigital.es/
RTVC (2026). Desarticulado un grupo criminal por ciberestafas y blanqueo. https://rtvc.es/
Tribunal Supremo (2023). STS 927/2023, de 14 de diciembre. ECLI:ES:TS:2023:5572.
El Economista (2026). Deepfakes, la nueva pesadilla empresarial: la estafa que clona a tu jefe ya causa pérdidas millonarias. https://www.eleconomista.es/
Kaspersky (2026). Predicciones de ciberamenazas financieras para 2026. https://www.kaspersky.es/
Código Penal español (LO 10/1995, modificada por LO 14/2022). Artículos 197, 248-251, 264, 270, 301.
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Directiva (UE) 2015/2366 (PSD2) sobre servicios de pago en el mercado interior.
Reglamento (UE) 2023/1114 (MiCA) relativo a los mercados de criptoactivos.
Convenio sobre la Ciberdelincuencia del Consejo de Europa (Convenio de Budapest, 2001). Ratificado por España.
CNMV (2026). Advertencias sobre entidades no autorizadas. Comisión Nacional del Mercado de Valores. https://www.cnmv.es/
Chainalysis (2025). Crypto Crime Report 2025. https://www.chainalysis.com/
La Moncloa (2025). La cibercriminalidad se redujo un 1,6% en 2024, el primer descenso de la serie histórica. Ministerio del Interior, 21 noviembre 2025. https://www.lamoncloa.gob.es/

¿Has sido víctima de una estafa online? Actúa antes de que desaparezca la evidencia

Más información

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Noticias seguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí