Suplantación de identidad en redes sociales: cómo denunciar con peritaje forense

Un cliente me llamó llorando un martes a las once de la noche. Alguien había creado un perfil de Instagram idéntico al suyo —mismo nombre, misma foto de perfil, misma biografía— y estaba contactando a sus clientes ofreciendo productos falsos. En 72 horas, tres de sus clientes habían transferido dinero al estafador. La policía le dijo que denunciara y reportara el perfil a Instagram. Instagram tardó 11 días en responder. Para entonces, el perfil falso ya había contactado a más de 200 personas.

Esa historia no es excepcional. Es el caso número 47 de suplantación de identidad en redes sociales que he peritado en los últimos dos años. Y cada caso sigue un patrón similar: la víctima descubre el perfil falso cuando ya ha causado daño, reporta a la plataforma, la plataforma tarda días o semanas en actuar, y cuando finalmente elimina el perfil falso, no queda ni una sola prueba certificada para la denuncia.

La suplantación de identidad digital es el delito que más ha crecido en mi práctica como perito informático forense. Según INCIBE, en 2025 se registraron más de 2.700 incidentes relacionados con suplantación de identidad en España, un 34 % más que en 2024. Pero esta cifra es solo la punta del iceberg: la inmensa mayoría de víctimás no denuncia porque no sabe cómo hacerlo o porque piensa que reportar el perfil a la plataforma es suficiente.

No lo es.

Reportar un perfil falso a Instagram, Facebook, Twitter, TikTok o LinkedIn es necesario, pero absolutamente insuficiente si quieres:

1. Identificar quién está detrás del perfil falso (la plataforma no te dará esa información)
2. Denunciar penalmente y que la denuncia prospere (necesitas pruebas certificadas)
3. Reclamar daños y perjuicios por el daño reputacional, económico o emocional sufrido
4. Evitar que vuelva a ocurrir (sin identificar al suplantador, puede crear otro perfil mañana)

He escrito esta guía porque estoy cansado de ver a víctimás de suplantación que llegan a mi despacho demasiado tarde, cuando el perfil falso ya ha sido eliminado por la plataforma y no queda evidencia digital que certificar. Quiero que tengas toda la información antes de que te pase, y que sepas exactamente qué hacer cuando te pase.

Porque en 2026, la pregunta no es si alguien va a intentar suplantar tu identidad en redes sociales. La pregunta es cuándo.

Datos que deberían preocuparte

Antes de entrar en materia, quiero que entiendas la magnitud del problema con datos verificables:

Estos números cuentan una historia clara: la suplantación de identidad en redes sociales es un problema masivo, creciente, y que el sistema actual de reportes a plataformás no resuelve. La diferencia entre una víctima que recupera su identidad digital y obtiene justicia, y una víctima que simplemente “pasa página”, es casí siempre la misma: un peritaje forense a tiempo.

Tabla de contenidos

1. Tipos de suplantación en redes sociales
2. Plataforma por plataforma: reportar y preservar evidencia
3. Por qué reportar a la plataforma NO es suficiente
4. Proceso forense completo: 15 pasos
5. Marco legal en España
6. Técnicas de identificación del suplantador
7. El informe pericial para denuncia
8. 8 casos prácticos detallados
9. Suplantación y deepfakes: la nueva frontera
10. Qué hacer si te suplantan: guía paso a paso
11. Precios del peritaje de suplantación de identidad
12. Cómo proteger tu identidad en redes sociales
13. Preguntas frecuentes
14. Referencias y fuentes

Tipos de suplantación en redes sociales

No todas las suplantaciones son iguales. En mi experiencia peritando estos casos, he identificado ocho tipos distintos, cada uno con mecanismos diferentes, daños diferentes y —lo que más importa para la denuncia— pruebas diferentes que hay que recopilar.

1. Perfil falso completo (clonación de identidad)

Este es el tipo más común y el que más daño causa. El suplantador crea un perfil nuevo en una red social copiando nombre, foto de perfil, biografía, y a veces incluso publicaciones de la víctima. El objetivo es hacerse pasar por la víctima ante terceros.

Cómo se crea:

• El suplantador descarga fotos públicas de la víctima (perfil, publicaciones, stories destacadas)
• Crea una cuenta nueva con nombre igual o similar (añadiendo un punto, guión bajo, o número)
• Copia la biografía textualmente o con mínimás modificaciones
• Envía solicitudes de amistad/seguimiento a los contactos de la víctima
• Comienza a interactuar como si fuera la víctima

Cómo se detecta:

• Contactos de la víctima reciben solicitudes de una cuenta “nueva” que parece ser la misma persona
• La víctima recibe avisos de que “ya la siguen” personas que creían estar conectadas
• Clientes o proveedores reciben mensajes sospechosos “desde” la cuenta de la víctima
• Diferencias sutiles en el nombre de usuario (@ con guión bajo extra, punto, o número)

Daño que causa:

• Reputacional: el suplantador puede publicar contenido inapropiado o hacer declaraciones falsas
• Económico: puede contactar a clientes para desviar pagos o realizar estafas
• Relacional: puede enviar mensajes ofensivos a contactos de la víctima
• Emocional: sensación de vulnerabilidad, pérdida de control sobre la propia imagen

Pruebas necesarias para denuncia:

2. Hackeo y robo de cuenta (account takeover)

Este no es técnicamente una “suplantación” en el sentido tradicional, sino un robo de identidad digital: el atacante obtiene acceso a la cuenta real de la víctima y la usa como si fuera suya. Es más peligroso que un perfil falso porque la cuenta tiene la legitimidad real, los seguidores reales y el historial real.

Cómo se realiza:

• Phishing: email o mensaje que simula ser de la plataforma pidiendo credenciales
• Credential stuffing: reutilización de contraseñas filtradas en brechas de datos (combos disponibles en foros de la dark web por menos de 5 €)
• SIM swapping: el atacante porta tu número de teléfono a otra SIM para interceptar códigos 2FA por SMS
• Malware: troyanos que capturan credenciales (infostealers como Redline o Raccoon)
• Sesiones robadas: cookies de sesión activas vendidas en mercados como Genesis Market
• Ingeniería social al soporte: el atacante contacta al soporte de la plataforma haciéndose pasar por la víctima para recuperar la cuenta

Cómo se detecta:

• La víctima pierde acceso a su cuenta de repente
• Los contactos reciben mensajes que la víctima no envió
• Cambios en foto de perfil, biografía o nombre de usuario
• Publicaciones nuevas que la víctima no hizo
• Email de la plataforma notificando cambio de contraseña o email asociado
• Sesiones activas en dispositivos desconocidos

Daño que causa:

• Todo el daño del perfil falso, pero con la credibilidad total de la cuenta real
• Acceso a mensajes privados de la víctima (información sensible, fotos, conversaciones)
• Posibilidad de extorsión (“paga o público tus mensajes privados”)
• Pérdida permanente de la cuenta si el atacante cambia email y teléfono asociados
• Si es cuenta de empresa: pérdida de acceso a la comunidad, campañas publicitarias, datos de clientes

Pruebas necesarias para denuncia:

3. Phishing desde cuenta robada

Es la evolución natural del robo de cuenta. Una vez que el atacante controla la cuenta real de la víctima, la usa para enviar mensajes de phishing a todos los contactos. La confianza que los contactos tienen en la víctima es la herramienta del estafador.

Cómo funciona:

• El atacante roba la cuenta (métodos del punto anterior)
• Envía mensajes a todos los contactos: “Necesito que votes por mí en este concurso” (enlace de phishing), “Mira lo que encontré de ti” (enlace malicioso), o “Invierte en esto, me ha ido genial” (estafa de inversión)
• Los contactos hacen clic porque confían en que el mensaje viene de alguien conocido
• Se crea una cadena de cuentas robadas: cada cuenta comprometida se usa para atacar a sus contactos

El caso más frecuente en España en 2025-2026: el mensaje de Instagram “Vota por mí en este concurso”. El enlace lleva a una página falsa de login de Instagram. La víctima introduce sus credenciales, que son capturadas por el atacante. Ahora el atacante tiene dos cuentas y repite el proceso. He peritado 12 variantes de este esquema solo en los últimos 6 meses.

Pruebas necesarias para denuncia:

4. Deepfake de perfil (foto generada por IA)

Este tipo de suplantación es relativamente nuevo y está creciendo exponencialmente. El suplantador no usa fotos reales de la víctima, sino que genera una foto de perfil con inteligencia artificial que se parece a la víctima pero técnicamente no es la misma imagen. Esto complica la detección y la denuncia.

Cómo se crea:

• El suplantador usa herramientas como Midjourney, Stable Diffusion o servicios especializados de face swap
• Parte de fotos públicas de la víctima para generar imágenes similares pero no idénticas
• La foto generada mantiene rasgos reconocibles pero es técnicamente una imagen “nueva”
• Complementa con datos biográficos reales de la víctima

Cómo se detecta:

• La foto de perfil parece la víctima pero “algo no cuadra” (uncanny valley)
• Inconsistencias en iluminación, fondo, accesorios
• Artefactos típicos de IA: asimetrías en pendientes, dedos irregulares, fondos con distorsiones
• Análisis forense con herramientas de detección de IA (FotoForensics, Hive Moderation, Sensity)
• Búsqueda inversa de imagen que NO encuentra la original (porque no existe)

Por qué es especialmente peligroso:

• La víctima no puede argumentar “esa es MI foto” porque técnicamente no lo es
• Las plataformás tienen más dificultad para identificar la suplantación
• El suplantador puede argumentar que la similitud es “coincidencia”
• Requiere análisis forense especializado para demostrar la relación con las fotos originales

Pruebas necesarias para denuncia:

5. Catfishing (identidad inventada con fotos ajenas)

El catfishing es la creación de una identidad completamente ficticia utilizando fotos de una persona real. A diferencia de la clonación de perfil, el suplantador no pretende hacerse pasar por la víctima ante sus conocidos, sino que usa las fotos de la víctima para crear un personaje nuevo que engañe a desconocidos.

Cómo funciona:

• El suplantador elige fotos atractivas de personas reales (normalmente de perfiles públicos de Instagram)
• Crea un perfil con un nombre inventado y una biografía ficticia
• Usa este perfil para entablar relaciones sentimentales online (romance scam)
• Avanza hacia peticiones de dinero, chantaje emocional o extorsión sexual
• La víctima (la persona cuyas fotos se usan) puede no enterarse nunca

El daño doble del catfishing:

1. Víctima primaria (la persona engañada): pérdida económica, daño emocional
2. Víctima secundaria (la persona cuyas fotos se usan): asociación con estafas, daño reputacional si se descubre

Casos frecuentes en España:

• Perfiles de mujeres atractivas en apps de citas que resultan ser estafadores de romance
• Perfiles de hombres con aspecto de militares o ejecutivos para estafas sentimentales
• Perfiles con fotos de personas reales españolas usados desde otros países (Nigeria, Turquía, Filipinas)

Pruebas necesarias: búsqueda inversa de imagen, comparación con perfiles legítimos, análisis de geolocalización de la actividad del perfil falso.

6. Redes de bots con fotos de personas reales

Las redes de bots no suelen dirigirse contra una persona específica, pero usan fotos robadas de personas reales como avatares para dar apariencia de legitimidad a cuentas automatizadas.

Cómo funciona:

• Se crean cientos o miles de cuentas automatizadas en una plataforma
• Cada cuenta usa como foto de perfil la imagen de una persona real descargada de redes sociales
• Estas redes de bots se usan para: inflar seguidores de pago, manipulación de opinión pública, difusión de desinformación, estafas de inversión en criptomonedas, ataques coordinados de acoso
• La persona cuya foto se usa puede descubrir que “su cara” aparece en decenas de cuentas falsas

Escala del problema: Meta eliminó 691 millones de cuentas falsas solo en el último trimestre de 2025. Twitter/X reconoce que entre el 5 % y el 15 % de sus cuentas son bots. Un estudio de la Universidad de Indiana estimó que el 9-15 % de las cuentas de Twitter son automatizadas.

Pruebas necesarias: análisis de red (network analysis) para mapear la red de bots, identificación de todas las cuentas que usan la misma foto, patrones de actividad coordinada.

7. Suplantación de empresa o marca

Este tipo de suplantación no afecta a una persona sino a una organización. El suplantador crea perfiles falsos de empresas para estafar a clientes, robar credenciales o dañar la reputación de la marca.

Cómo se crea:

• Perfil con el logo, nombre y descripción de la empresa
• A veces incluso con una web falsa que replica la original (typosquatting de dominio)
• Publicaciones que imitan el estilo de comunicación de la marca
• Ofertas falsas, sorteos inexistentes o soporte técnico fraudulento

Casos frecuentes en España:

• Perfiles falsos de bancos (Santander, BBVA, CaixaBank) en Instagram pidiendo datos bancarios
• Cuentas falsas de empresas de paquetería (Correos, SEUR, MRW) con enlaces de phishing
• Perfiles de soporte técnico falso de Apple, Microsoft o Google en Twitter
• Sorteos falsos de marcas conocidas (Zara, Mercadona, El Corte Inglés) para capturar datos

Impacto económico: según el Anti-Phishing Working Group (APWG), las estafas de suplantación de marca costaron globalmente 4.200 millones de dólares en 2025. En España, la Policía Nacional identificó más de 3.400 dominios web falsos vinculados a suplantación de marca en el mismo período.

Pruebas necesarias: comparación exhaustiva entre el perfil oficial y el falso, análisis de dominios asociados, rastreo de pagos realizados a las cuentas del suplantador.

8. Suplantación en LinkedIn (fraude profesional)

LinkedIn merece una categoría propia porque la suplantación en esta plataforma tiene implicaciones profesionales y laborales que no existen en otras redes sociales.

Cómo funciona:

• El suplantador crea un perfil con el nombre, foto y currículum de la víctima
• Contacta a empresas ofreciendo servicios profesionales falsos
• Contacta a candidatos ofreciendo empleos falsos (para obtener datos personales o cobrar “tasas de selección”)
• Contacta a empresas del sector de la víctima para obtener información confidencial
• Usa la credibilidad profesional de la víctima para estafas BEC (Business Email Compromise)

Por qué LinkedIn es especialmente vulnerable:

• Los datos profesionales son públicos por diseño (nombre, empresa, cargo, historial laboral)
• La cultura de LinkedIn incentiva aceptar conexiones de desconocidos (networking)
• Los perfiles con muchas conexiones y recomendaciones generan confianza automática
• LinkedIn ofrece verificación de identidad, pero solo el 12 % de los usuarios la tiene (LinkedIn Safety Report 2025)

Daño específico:

• Ofertas de trabajo falsas que piden dinero a candidatos
• Solicitudes de información confidencial a empresas
• Uso del perfil suplantado para estafas de tipo BEC (el suplantador contacta a la empresa de la víctima haciéndose pasar por ella desde LinkedIn)
• Daño a la reputación profesional de la víctima

Pruebas necesarias para denuncia:

Tabla comparativa: tipos de suplantación

Plataforma por plataforma: reportar y preservar evidencia

Cada red social tiene sus propios mecanismos de reporte, sus propios tiempos de respuesta, y —lo que es fundamental para un perito forense— sus propios datos disponibles para la investigación. No es lo mismo certificar una suplantación en Instagram que en LinkedIn. Aquí detallo la experiencia práctica con cada una.

Instagram (Meta)

Instagram es, con diferencia, la plataforma donde más casos de suplantación periato. La combinación de perfiles visuales, stories efímeras y mensajes directos hace que sea el terreno perfecto para los suplantadores.

Mecanismo de reporte interno:

1. Ir al perfil falso → tres puntos → “Reportar” → “Finge ser otra persona” → “Yo”
2. Formulario web específico para suplantación: help.instagram.com/contact/636276399721841
3. Si eres una figura pública o marca verificada: formulario prioritario en help.instagram.com/contact/636276399721841
4. Si el perfil falso usa tu nombre Y tu foto, la combinación acelera el proceso

Datos que debes preservar ANTES de reportar:

• URL completa del perfil falso (instagram.com/nombre_usuario_falso)
• Foto de perfil en máxima resolución (clic derecho → abrir imagen en pestaña nueva → guardar)
• Biografía completa (texto + enlaces)
• Número de publicaciones, seguidores y seguidos
• Lista de publicaciones visibles (todas)
• Stories destacadas (si las tiene)
• Mensajes directos enviados por el perfil falso (certificar desde el dispositivo del receptor)
• Comentarios en publicaciones de terceros
• Reels publicados

Tiempos de respuesta de Meta (datos reales 2025-2026):

Portal para fuerzas de seguridad y peritos: Meta tiene un portal específico para solicitudes de datos por parte de fuerzas de seguridad: facebook.com/records. Este portal acepta requerimientos judiciales españoles, pero la respuesta viene de la oficina de Meta en Irlanda (donde tiene su sede europea). En mi experiencia, el tiempo medio de respuesta a un requerimiento judicial español es de 45-60 días.

API y acceso a datos: desde los cambios de API de 2023, Instagram no permite a terceros acceder a datos de cuentas que no controlan. Esto significa que como perito no puedo acceder a metadatos internos del perfil falso sin requerimiento judicial. Lo que sí puedo hacer es capturar forense todo lo que sea públicamente visible antes de que desaparezca.

Facebook (Meta)

Facebook sigue siendo la red social más usada en España por personas mayores de 35 años, y es donde se concentran los casos de suplantación de identidad dirigidos a personas no nativas digitales.

Mecanismo de reporte interno:

1. Perfil falso → tres puntos → “Buscar ayuda o reportar perfil” → “Fingir ser otra persona”
2. Formulario web: facebook.com/help/contact/169486816475808
3. Para páginas de empresa suplantadas: facebook.com/help/contact/1758255661104383

Datos que debes preservar ANTES de reportar:

• URL del perfil (facebook.com/nombre.falso)
• ID numérico del perfil (visible en el código fuente de la página o vía graph.facebook.com)
• Foto de perfil y foto de portada
• Información del perfil (trabajo, estudios, ciudad, etc.)
• Amigos en común con la víctima
• Publicaciones visibles con fecha y hora
• Páginas creadas por el perfil falso
• Grupos donde participa
• Eventos creados o a los que asiste
• Check-ins y ubicaciones

Particularidades de Facebook:

• Facebook tiene un sistema de detección proactiva de perfiles falsos más agresivo que Instagram (elimina millones de cuentas antes de que sean reportadas)
• Los perfiles falsos en Facebook suelen ser más persistentes que en Instagram (tardan más en ser reportados porque la red se usa menos activamente)
• Facebook Business Suite permite a las empresas reportar suplantación de marca de forma prioritaria
• Messenger tiene cifrado end-to-end opcional, lo que complica la obtención de mensajes por requerimiento judicial

Tiempos de respuesta:

Twitter/X

Twitter ha cambiado significativamente desde la adquisición por Elon Musk. Los cambios afectan directamente a la capacidad de respuesta ante suplantación y a los datos disponibles para investigación forense.

Mecanismo de reporte interno:

1. Perfil falso → tres puntos → “Reportar” → “Finge ser otra persona” → completar formulario
2. Formulario web: help.twitter.com/forms/impersonation
3. Para cuentas verificadas (X Premium): proceso prioritario

Cambios relevantes bajo la gestión de Musk:

• Reducción drástica del equipo de Trust & Safety: de más de 3.000 empleados a menos de 500 (The Verge, 2024)
• Tiempos de respuesta más largos: los reportes de suplantación que antes se resolvían en 24-48 horas ahora pueden tardar 7-14 días
• API de pago: el acceso a la API de Twitter ahora cuesta entre 100 $ y 42.000 $/mes, lo que dificulta la investigación OSINT
• Verificación de pago: cualquiera puede pagar 8 $/mes por el check azul, lo que ya no distingue cuentas legítimás de falsas
• Eliminación de etiquetas de contexto: se ha reducido la moderación proactiva de contenido

Datos preservables para el perito:

• Handle completo (@nombre_falso)
• ID numérico del usuario
• Tweets y respuestas
• Followers y following (si el perfil es público)
• Listas donde participa
• Spaces (audios) en los que ha participado
• Tweets citados y retweets

Tiempos de respuesta:

TikTok (ByteDance)

TikTok presenta desafíos únicos para la suplantación de identidad por su formato de vídeo corto y su audiencia predominantemente joven.

Mecanismo de reporte interno:

1. Perfil falso → tres puntos → “Reportar” → “Finge ser otra persona”
2. Formulario web de propiedad intelectual: tiktok.com/legal/report/ip
3. Formulario de Law Enforcement: tiktok.com/legal/report/le

Particularidades de TikTok:

• Los vídeos de TikTok se difunden por el algoritmo “For You” a usuarios que NO siguen al perfil falso, lo que amplifica el daño exponencialmente
• TikTok tiene un sistema de duetos y “stitch” que permite crear contenido usando fragmentos de vídeos de otros usuarios sin su consentimiento
• ByteDance (empresa matriz) tiene su sede en Singapur y sus servidores repartidos globalmente, lo que complica los requerimientos judiciales
• TikTok cumple con la legislación del DSA europeo desde 2024, pero la cooperación con tribunales españoles es más lenta que con Meta

Desafíos específicos para el perito:

• Los vídeos de TikTok incluyen marca de agua, pero se pueden descargar sin ella con herramientas de terceros
• Las stories de TikTok desaparecen en 24 horas
• Los vídeos en directo no se archivan automáticamente
• El algoritmo de TikTok puede hacer viral un vídeo de suplantación en horas, causando daño masivo antes de que se pueda actuar

Tiempos de respuesta:

LinkedIn (Microsoft)

LinkedIn es la plataforma donde la suplantación tiene consecuencias profesionales más directas y cuantificables.

Mecanismo de reporte interno:

1. Perfil falso → tres puntos → “Denunciar/Bloquear” → “Suplantación de identidad”
2. Formulario web: linkedin.com/help/linkedin/ask/TS-RFA
3. LinkedIn Safety Center: safety.linkedin.com
4. Para perfiles verificados con badge: proceso prioritario

Particularidades de LinkedIn:

• LinkedIn ofrece verificación de identidad (badge) desde 2023, vinculado a documento de identidad
• Los perfiles falsos en LinkedIn suelen tener menos tiempo de vida porque la comunidad profesional detecta inconsistencias más rápido
• Microsoft (propietaria de LinkedIn) tiene oficina europea en Irlanda y responde a requerimientos judiciales europeos
• LinkedIn Premium tiene acceso a más datos de perfil, lo que facilita la creación de perfiles falsos convincentes

Verificación de identidad como defensa: LinkedIn permite verificar tu identidad vinculándola a un documento de identidad gubernamental (DNI, pasaporte). Los perfiles verificados tienen un badge que dificulta la suplantación. Solo el 12 % de los usuarios de LinkedIn en España lo tienen activado (mi recomendación: actívalo ya).

Tiempos de respuesta:

YouTube (Google)

YouTube no es una red social tradicional para suplantación de identidad personal, pero es cada vez más usada para suplantación de canales de empresa y para difundir deepfakes.

Mecanismo de reporte interno:

1. Canal falso → bandera → “Reportar usuario” → “Suplantación de identidad”
2. Formulario web: support.google.com/youtube/answer/2801947
3. Para propietarios de canales verificados: YouTube Partner Program con soporte prioritario

Particularidades de YouTube:

• Google tiene la infraestructura de cooperación judicial más madura de todas las plataformas
• Los requerimientos judiciales se canalizan a través de Google Ireland Limited
• YouTube Content ID puede ayudar a identificar contenido robado, pero no detecta suplantación de identidad per se
• Los vídeos en directo falsos de YouTube (ej. “Elon Musk crypto giveaway”) son una forma de suplantación de marca que causa millones en pérdidas

Tiempos de respuesta:

Tabla comparativa global: plataformas

Por qué reportar a la plataforma NO es suficiente

Este es el punto donde la mayoría de víctimás cometen el error que les cuesta la posibilidad de obtener justicia. Y lo entiendo perfectamente: cuando descubres que alguien te ha suplantado, tu primer instinto es reportar el perfil falso a la plataforma para que lo eliminen lo antes posible. Es una reacción natural, comprensible y totalmente equivocada desde el punto de vista legal.

Voy a ser directo: si reportas el perfil falso a la plataforma ANTES de certificar la evidencia, estás destruyendo tu propia prueba.

Lo que la plataforma hace cuando reportas

1. Revisa el reporte (en días o semanas, según la plataforma)
2. Decide si el perfil viola sus normas (según sus propios criterios, no los del Código Penal español)
3. Si decide que sí viola las normas, elimina el perfil
4. No te notifica quién estaba detrás del perfil
5. No te proporciona los datos del creador (IP, email, dispositivo)
6. No conserva las pruebas para ti
7. No comunica nada a las fuerzas de seguridad españolas

Lo que la plataforma NO hace (y que tú necesitas)

El problema del “perfil ya eliminado”

He tenido clientes que llegan a mi despacho diciendo: “El perfil ya ha sido eliminado por Instagram, pero quiero denunciar”. Mi respuesta es siempre la misma: sin evidencia certificada del perfil falso, la denuncia tiene un recorrido muy limitado.

¿Por qué? Porque ante un juez necesitas demostrar:

1. Que el perfil existió — sin una captura forense, es tu palabra contra nada
2. Que el perfil usaba tu identidad — necesitas comparación documentada entre el perfil real y el falso
3. Que el perfil causó daño — necesitas evidencia de mensajes enviados, estafas realizadas, daño reputacional
4. Que alguien lo creó intencionalmente — no puedes denunciar a “persona desconocida” sin ningún dato técnico que ayude a identificarla

Sin peritaje forense previo, el juez no tiene material probatorio con el que trabajar. La denuncia puede archivarse por falta de pruebas.

El caso real que me convenció de escribir esta sección

Una empresaria de Málaga me contactó tras descubrir que alguien había creado un perfil de Instagram idéntico al de su tienda online. El perfil falso contactó a sus clientas ofreciendo “descuentos exclusivos” y redirigía los pagos a una cuenta bancaria diferente. Tres clientas pagaron un total de 4.700 € al estafador.

La empresaria, comprensiblemente enfadada, reportó el perfil a Instagram inmediatamente. Instagram eliminó el perfil en 48 horas. Después, la empresaria fue a la Policía Nacional a denunciar.

El agente de la BITAR le preguntó: “¿Tiene capturas del perfil falso?” Ella tenía capturas de pantalla hechas con su móvil. El agente le explicó que esas capturas, sin certificar, podrían ser impugnadas en juicio. Le preguntó: “¿Tiene los mensajes que el perfil falso envió a sus clientas?” Ella no los había guardado; las clientas habían borrado la conversación con el perfil falso porque pensaban que era la tienda real. Le preguntó: “¿Tiene algún dato técnico del perfil falso?” No. Instagram ya lo había eliminado.

La denuncia se archivó por insuficiencia de pruebas. El estafador nunca fue identificado. Las clientas nunca recuperaron su dinero. Y la empresaria tuvo que reconstruir la confianza con su base de clientes durante meses.

Todo esto se habría evitado si, antes de reportar a Instagram, hubiera contactado con un perito informático forense para certificar la evidencia.

Mi regla de oro

¿Y si ya reporté y eliminaron el perfil?

No todo está perdido, pero tu caso es significativamente más difícil:

1. Recopila todas las capturas de pantalla que tengas (aunque no estén certificadas, son mejor que nada)
2. Contacta a personas que interactuaron con el perfil falso y pide que conserven los mensajes
3. Revisa tu correo en busca de notificaciones de la plataforma sobre el reporte (esas notificaciones son evidencia de que el perfil existió)
4. Busca el perfil en servicios de archivo web como Wayback Machine (web.archive.org) o Google Cache
5. Contacta a un perito forense para evaluar qué evidencia residual se puede recuperar
6. Denuncia igualmente, aportando todo lo que tengas: es mejor una denuncia con evidencia imperfecta que no denunciar

Proceso forense completo: 15 pasos

Este es el proceso exacto que sigo como perito informático forense cuando me llega un caso de suplantación de identidad en redes sociales. Cada paso está diseñado para maximizar la evidencia recopilada, garantizar la cadena de custodía y producir un informe pericial que resista cualquier impugnación en sede judicial.

Diagrama temporal del proceso completo

Tiempo total estimado del proceso forense: 20-40 horas de trabajo técnico, distribuidas en 1-2 semanas.

Marco legal en España

La suplantación de identidad en redes sociales no es un único delito, sino que puede encajar en múltiples tipos penales dependiendo de cómo se ejecute y qué daño cause. Como perito, necesito conocer este marco legal para orientar la adquisición de evidencia hacia los elementos que cada tipo penal requiere probar.

Art. 401 del Código Penal: usurpación de estado civil

Este es el artículo de referencia para la suplantación de identidad. Tipifica el delito de usurpación de estado civil, que consiste en hacerse pasar por otra persona asumiendo su identidad.

Texto del artículo: “El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años.”

Requisitos para que aplique:

• Asumir la identidad de una persona real (no basta con crear un personaje ficticio)
• Actuar como si se fuera esa persona ante terceros
• Intención de engañar (no es necesario que se consiga el engaño)
• No es necesario que haya perjuicio económico (el mero acto de suplantar ya es delito)

Aplicación a redes sociales: los tribunales españoles han confirmado que crear un perfil falso en una red social con el nombre y fotos de otra persona constituye usurpación de estado civil según el art. 401 CP. La jurisprudencia es clara en este punto:

• SAP Barcelona 145/2019: condenó a un acusado que creó un perfil falso de Instagram con fotos de su ex-pareja y lo usó para contactar a hombres ofreciendo servicios sexuales. Pena: 1 año de prisión.
• SAP Madrid 267/2020: condenó la creación de un perfil falso de Facebook que usaba nombre y fotos de la víctima para difamar. Pena: 8 meses de prisión.
• SAP Valencia 89/2022: condenó la creación de un perfil falso de LinkedIn para enviar emails fraudulentos haciéndose pasar por un directivo. Pena: 1 año y 6 meses.

Pena: 6 meses a 3 años de prisión. Sin posibilidad de suspensión si la pena es superior a 2 años.

Art. 197 del Código Penal: descubrimiento y revelación de secretos

Cuando la suplantación implica acceso no autorizado a una cuenta (hackeo), se aplica el artículo 197, que protege la intimidad personal y familiar.

Apartados relevantes:

Aplicación a suplantación: cuando el suplantador accede a la cuenta real de la víctima (robo de cuenta) y accede a mensajes privados, fotos personales o datos reservados, comete simultáneamente el delito del art. 197 (descubrimiento de secretos) además del art. 401 (usurpación). Si además difunde esos datos, la pena se agrava.

Art. 18 de la Constitución Española: derechos fundamentales

La suplantación de identidad vulnera derechos fundamentales protegidos por la Constitución:

• Art. 18.1 CE: derecho al honor, a la intimidad personal y familiar y a la propia imagen
• Art. 18.4 CE: la ley limitará el uso de la informática para garantizar el honor y la intimidad

Estos derechos fundamentales sirven como base para la vía civil (reclamación de daños y perjuicios) además de la vía penal.

Ley Orgánica 1/1982 de protección civil del derecho al honor

Esta ley permite a la víctima reclamar indemnización por daños y perjuicios en la vía civil, independientemente de que haya condena penal.

Intromisiones ilegítimás relevantes para suplantación:

• Uso del nombre, voz o imagen de una persona para fines publicitarios, comerciales o de naturaleza análoga (art. 7.6)
• Imputación de hechos o manifestación de juicios de valor que lesionen la dignidad (art. 7.7)

Indemnización: la cuantía depende del daño moral y material acreditado. En casos de suplantación en redes sociales, los tribunales han concedido indemnizaciones de entre 3.000 y 30.000 euros, dependiendo de la duración de la suplantación, el número de personas afectadas y el daño reputacional causado.

RGPD (Reglamento General de Protección de Datos)

La suplantación de identidad en redes sociales implica un uso ilícito de datos personales de la víctima (nombre, foto, información personal) que vulnera el RGPD.

Artículos relevantes:

Reclamación ante la AEPD: la víctima puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) solicitando que la plataforma elimine el perfil falso y los datos personales utilizados ilícitamente. Esta vía es complementaria a la penal y la civil, y la AEPD tiene capacidad sancionadora sobre las plataformás (Meta, Twitter, ByteDance) por permitir el uso ilícito de datos personales.

LSSI-CE art. 12: conservación de datos por plataformas

La Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico obliga a los prestadores de servicios (incluidas las redes sociales) a conservar ciertos datos durante un período determinado.

Datos que deben conservar: datos de conexión (IP, fecha y hora de acceso) de los usuarios durante un período de 12 meses.

Importancia para el perito: esto significa que, incluso después de que el perfil falso sea eliminado, la plataforma está obligada a conservar los datos de conexión del creador del perfil durante 12 meses. Un requerimiento judicial dentro de ese plazo puede obtener la IP de acceso del suplantador, lo que permite su identificación a través del proveedor de internet (ISP).

Otros artículos del Código Penal aplicables

Tabla resumen: delito según tipo de suplantación

Vía penal vs. vía civil

La víctima puede (y en muchos casos debería) ejercer ambas vías simultáneamente:

Vía penal (denuncia ante policía/juzgado):

• Objetivo: castigo al suplantador (prisión, multa, antecedentes penales)
• Requisito: identificar al suplantador (aquí es donde el peritaje forense es fundamental)
• Ventaja: la policía puede solicitar requerimientos judiciales a las plataformás para obtener datos del suplantador
• Desventaja: proceso lento (8-14 meses de media), y si no se identifica al suplantador, se archiva

Vía civil (demanda ante juzgado civil):

• Objetivo: indemnización económica por daños y perjuicios
• Requisito: demostrar el daño sufrido (reputacional, económico, moral)
• Ventaja: no es necesario identificar al suplantador para demandar a la plataforma (si la plataforma no actuó con diligencia)
• Desventaja: los costes judiciales pueden ser elevados (abogado + procurador + perito)

Vía administrativa (reclamación ante la AEPD):

• Objetivo: que la plataforma elimine el perfil falso y los datos personales usados ilícitamente
• Requisito: acreditar que se están usando tus datos personales sin consentimiento
• Ventaja: gratuita, relativamente rápida (3-6 meses), la AEPD puede sancionar a la plataforma
• Desventaja: no identifica al suplantador ni indemniza a la víctima

Mi recomendación: en la mayoría de casos de suplantación grave, recomiendo la triple vía (penal + civil + administrativa). El peritaje forense sirve para las tres.

DSA (Digital Services Act) y la responsabilidad de las plataformas

Desde febrero de 2024, el Reglamento de Servicios Digitales (DSA) de la Unión Europea es plenamente aplicable en España. El DSA establece obligaciones para las plataformás que son directamente relevantes para los casos de suplantación:

Art. 16 DSA: las plataformás deben ofrecer mecanismos de denuncia accesibles y eficaces para que los usuarios reporten contenido ilícito (incluida la suplantación de identidad).

Art. 17 DSA: las plataformás deben proporcionar una justificación clara cuando restringen el acceso a contenido o cuentas.

Art. 22 DSA: las plataformás deben facilitar información a las autoridades judiciales de los Estados miembros cuando se les requiera.

Art. 51 DSA: las plataformás de gran tamaño (Meta, Twitter, TikTok, LinkedIn, YouTube) tienen obligaciones reforzadas de gestión de riesgos sistémicos, incluida la suplantación de identidad a escala.

Implicación práctica: si una plataforma no actúa con diligencia ante un reporte de suplantación (tarda excesivamente, no elimina el perfil, no conserva datos para las autoridades), puede ser sancionada conforme al DSA. Esto abre la puerta a reclamaciones de responsabilidad contra la propia plataforma.

Técnicas de identificación del suplantador

Identificar a la persona que se esconde detrás de un perfil falso es, en muchos casos, la parte más difícil del peritaje. Las plataformás de redes sociales permiten crear cuentas con datos falsos, usar VPN para ocultar la IP real, y operar desde cualquier lugar del mundo. Sin embargo, en mi experiencia, el suplantador casí siempre deja rastros. La clave es saber dónde buscarlos.

1. Requerimiento judicial de IPs a la plataforma

Esta es la vía más directa y la que mejor resultado da, pero requiere una denuncia penal y un juez que autorice el requerimiento.

Cómo funciona:

• La víctima presenta denuncia penal con el informe pericial
• El juez instructor abre diligencias de investigación
• El juez emite un requerimiento judicial (u orden europea de investigación si la plataforma tiene sede en otro país UE) dirigido a la plataforma
• La plataforma facilita los datos del creador del perfil falso: IP de registro, IP de último acceso, email de registro, número de teléfono asociado, datos de la app (dispositivo, versión)
• Con la IP, se requiere al ISP (proveedor de internet) que identifique al titular de esa conexión
• El ISP facilita nombre y dirección del titular de la línea de internet

Limitaciones:

• Si el suplantador usó una VPN, la IP corresponde al servidor VPN (normalmente en otro país)
• Si el suplantador usó una red wifi pública, la IP corresponde al establecimiento (bar, hotel, biblioteca)
• Si el suplantador está fuera de España, se necesita cooperación judicial internacional (comisión rogatoria o MLAT)
• El proceso puede tardar 3-6 meses (requerimiento nacional) o 6-18 meses (requerimiento internacional)

Tasa de éxito: en mi experiencia, el requerimiento judicial identifica al suplantador en aproximadamente el 60 % de los casos nacionales (el suplantador está en España y no usó VPN). En casos internacionales o con uso de VPN, la tasa baja al 15-25 %.

2. OSINT: análisis del perfil falso

OSINT (Open Source Intelligence) es la recopilación y análisis de información disponible en fuentes abiertas. No requiere requerimiento judicial y puede realizarse de forma inmediata.

Qué busco en el perfil falso:

• Seguidores y seguidos: ¿hay patrones? ¿Sigue a cuentas de una zona geográfica específica? ¿Los primeros seguidores pueden ser conocidos del suplantador?
• Interacciones: ¿quién comenta en las publicaciones del perfil falso? ¿Hay alguien que interactúe consistentemente?
• Foto de perfil: si no es una foto de la víctima, ¿de dónde viene? Búsqueda inversa de imagen
• Email o teléfono asociado: a veces visible en la información de contacto del perfil
• Enlaces externos: Linktree, web personal, otros perfiles → pueden tener datos identificativos
• Errores del suplantador: a veces publican sin querer desde su cuenta real, o dejan datos personales en una publicación que luego borran

Herramientas OSINT específicas:

3. Análisis lingüístico forense (estilometría)

Ya lo mencioné en el proceso forense, pero merece una explicación más detallada porque es una de las técnicas más poderosas cuando hay un sospechoso.

Qué es la estilometría: es la ciencia de identificar la autoría de un texto analizando patrones de escritura inconscientes. Cada persona tiene un “fingerprint” lingüístico único: vocabulario preferido, estructuras sintácticas, longitud de frases, uso de puntuación, errores recurrentes.

Cómo se aplica a suplantación:

1. Se recopilan textos del perfil falso (publicaciones, comentarios, mensajes)
2. Se recopilan textos del sospechoso (sus redes sociales reales, emails, documentos)
3. Se comparan estadísticamente los patrones lingüísticos
4. Se genera una probabilidad de que ambos conjuntos de textos sean del mismo autor

Precisión: los estudios académicos muestran que la estilometría computacional puede identificar correctamente al autor de un texto con una precisión del 85-95 % cuando se dispone de suficientes muestras de comparación (mínimo 2.000-5.000 palabras de cada fuente).

Ejemplo real: en un caso de suplantación de identidad en Twitter, el perfil falso publicaba tweets con errores ortográficos muy específicos (escribía “atravez” en lugar de “a través”, y “aver” en lugar de “a ver”). Al analizar los perfiles de redes sociales de las personas del entorno de la víctima, encontramos que el ex-novio de la víctima cometía exactamente los mismos errores en sus publicaciones de Facebook. Combinado con la correlación de horarios de actividad, fue suficiente para obtener una orden judicial de requerimiento de IP, que confirmó la identificación.

4. Correlación de horarios de actividad con zona horaria

Los horarios de publicación en el perfil falso pueden revelar la zona horaria del suplantador.

Método:

• Recopilo la fecha y hora de cada publicación, comentario y actividad del perfil falso
• Creo un mapa de calor de actividad por hora del día
• Identifico los picos de actividad y los periodos de inactividad
• Los periodos de inactividad corresponden a las horas de sueño del suplantador
• Las horas de sueño revelan la zona horaria probable

Ejemplo: si el perfil falso está inactivo entre las 1:00 y las 8:00 hora española, el suplantador probablemente está en zona horaria CET (Europa Central). Si está inactivo entre las 8:00 y las 15:00 hora española, podría estar en la costa oeste de EE. UU. (UTC-8). Si está activo las 24 horas, es probablemente un bot o un equipo de varias personas.

5. Análisis de metadatos EXIF de fotos

Cuando el suplantador sube fotos propias (no robadas de la víctima), los metadatos EXIF pueden contener información identificativa.

Datos EXIF potencialmente disponibles:

• Modelo de cámara o teléfono
• Fecha y hora de la foto (con la zona horaria del dispositivo)
• Coordenadas GPS (si el dispositivo tenía la geolocalización activa)
• Software de edición utilizado
• ID único del dispositivo (en algunos fabricantes)

Limitación importante: la mayoría de plataformás de redes sociales (Instagram, Facebook, Twitter, TikTok) eliminan los metadatos EXIF cuando se sube una foto. Sin embargo, hay excepciones:

• Fotos compartidas por mensajes directos a veces conservan los metadatos
• Fotos en enlaces externos (Linktree, webs propias) pueden conservar metadatos
• Fotos descargadas con herramientas de terceros pueden tener metadatos parciales

6. Cross-platform correlation (correlación entre plataformas)

Si el suplantador opera en varias plataformás (lo que es frecuente), la correlación entre plataformás puede identificar patrones consistentes.

Qué correlaciono:

• Nombres de usuario similares: el suplantador puede usar variaciones del mismo nombre en diferentes plataformas
• Misma foto de perfil o variaciones: búsqueda inversa de imagen cruzada
• Mismos horarios de actividad: si el perfil falso en Instagram y el de Twitter tienen los mismos picos de actividad
• Mismos errores: errores ortográficos, gramaticales o factuales que se repiten en ambas plataformas
• Mismos contactos: si el perfil falso en ambas plataformás sigue o interactúa con las mismás personas

7. Análisis de la red de contactos del perfil falso

Los primeros seguidores y seguidos de un perfil falso a menudo revelan la identidad del suplantador.

Lógica: cuando alguien crea un perfil falso, los primeros seguidores suelen ser:

1. Cuentas propias del suplantador (para dar apariencia de legitimidad)
2. Cuentas de bots (comprados para inflar seguidores)
3. Personas del entorno del suplantador que han aceptado la solicitud sin sospechar

Qué busco:

• Los 20-30 primeros seguidores del perfil falso (los más antiguos)
• Si alguno de esos seguidores es una cuenta real de una persona cercana a la víctima
• Si hay patrones geográficos en los seguidores (todos de la misma ciudad, mismo colegio, misma empresa)
• Si alguno de los seguidores iniciales tiene conexiones directas con la víctima

Tabla resumen: técnicas de identificación

El informe pericial para denuncia

El informe pericial es el documento que convierte horas de investigación forense en una prueba admisible ante un tribunal. No es un documento técnico dirigido a otros peritos: es un documento que debe ser comprensible para jueces, fiscales, abogados y agentes de policía que no son expertos en tecnología.

Estructura del informe pericial para suplantación de identidad

Mi informe pericial para casos de suplantación de identidad sigue esta estructura de 15 secciones:

1. Datos del perito

• Nombre completo, DNI, titulación académica
• Número de colegiado (si aplica) o referencia profesional
• Experiencia relevante en peritaje de redes sociales
• Declaración de independencia e imparcialidad

2. Objeto del dictamen

• Descripción precisa de lo que se investiga: “Determinar la existencia de un perfil falso en la plataforma Instagram que suplanta la identidad de [nombre de la víctima], certificar su contenido y analizar los datos técnicos disponibles para la identificación de su creador.”

3. Documentación de partida

• Datos proporcionados por la víctima (URLs, capturas previas, denuncias anteriores)
• Datos proporcionados por terceros afectados
• Documentación de identidad de la víctima

4. Metodología empleada

• Estándares seguidos (ISO 27037 para adquisición de evidencia digital, RFC 3227 para recopilación de evidencias)
• Herramientas utilizadas (con versión de software)
• Procedimiento paso a paso de la adquisición

5. Entorno de trabajo

• Equipo forense utilizado (especificaciones del hardware y software)
• Conexión a internet utilizada (IP del perito, ISP, fecha y hora)
• Configuración del navegador y extensiones

6. Adquisición de evidencia del perfil falso

• Descripción detallada de cada pieza de evidencia adquirida
• Capturas de pantalla certificadas con marca de tiempo
• Hash SHA-256 de cada archivo
• Sello de tiempo RFC 3161

7. Adquisición de evidencia del perfil real

• Misma estructura que el punto anterior, para el perfil legítimo de la víctima

8. Análisis comparativo

• Comparación punto a punto entre el perfil falso y el real
• Elementos coincidentes (nombre, fotos, biografía, contenido)
• Elementos divergentes (nombre de usuario, fecha de creación, seguidores)
• Tabla de similitudes con porcentaje de coincidencia

9. Análisis de interacciones

• Mensajes enviados por el perfil falso a terceros
• Publicaciones y comentarios del perfil falso
• Impacto documentado (estafas, daño reputacional, acoso)

10. Análisis técnico

• Metadatos del perfil falso
• Patrones de actividad
• Análisis OSINT (si se realizó)
• Análisis lingüístico (si se realizó)
• Análisis de imágenes (búsqueda inversa, detección de IA)

11. Identificación del suplantador

• Resultados de las técnicas de identificación aplicadas
• Datos obtenidos (IP, email, dispositivo) si se obtuvieron vía requerimiento judicial
• Correlaciones encontradas
• Nivel de certeza de la identificación

12. Cadena de custodia

• Registro completo de quién ha tenido acceso a la evidencia
• Fechas y horas de cada transferencia
• Hashes de verificación de integridad

13. Conclusiones

• Resumen claro de los hallazgos
• Afirmación de que el perfil falso suplanta la identidad de la víctima
• Nivel de certeza técnica
• Recomendaciones para la investigación (si se necesitan más datos, como un requerimiento judicial)

14. Fecha, firma y juramento

• Fecha de emisión del informe
• Firma digital del perito
• Declaración jurada de veracidad
• Compromiso de ratificación judicial si fuera necesario

15. Anexos

• Todas las capturas de pantalla en alta resolución
• Archivos de hash (lista completa con SHA-256)
• Certificados de sello de tiempo
• Registros de cadena de custodia
• Soportes digitales con la evidencia original

Diferencia entre informe para denuncia y para juicio

Qué incluir específicamente para BITAR (Policía Nacional)

La Brigada de Investigación Tecnológica (BITAR) de la Policía Nacional agradece informes que incluyan:

• URL exacta del perfil falso (aunque ya esté eliminado)
• ID numérico del perfil (si se obtuvo antes de la eliminación)
• Evidencia de que el perfil es falso (comparación con el real)
• Lista de personas afectadas con sus datos de contacto
• Estimación del daño económico si lo hubo
• Datos técnicos que faciliten la identificación del suplantador
• Recomendación de requerimiento judicial específico (qué pedir a qué plataforma)

Qué incluir específicamente para GDT (Guardía Civil)

El Grupo de Delitos Telemáticos (GDT) de la Guardía Civil tiene un formulario online para denuncias de ciberdelitos (gdt.guardiacivil.es). Además del informe pericial, recomiendo incluir:

• Formulario de denuncia del GDT completado
• Resumen ejecutivo de 1 página (no técnico)
• Línea temporal de los hechos
• Evidencia visual clara (capturas lado a lado del perfil falso y el real)

8 casos prácticos detallados

Estos son casos reales que he peritado (con datos anonimizados para proteger la identidad de los clientes). Cada caso ilustra un tipo diferente de suplantación, un enfoque forense diferente y un resultado diferente.

Caso 1: Empresa suplantada en Instagram — 15.000 € en pedidos falsos

Contexto: una tienda online de moda con 12.000 seguidores en Instagram descubrió que alguien había creado un perfil casí idéntico (tienda_oficial vs tienda__oficial — un solo guión bajo de diferencia). El perfil falso publicaba las mismás fotos de productos y contactaba a seguidores de la tienda real ofreciendo “descuentos exclusivos del 70 %”.

Daño causado: en 10 días, el perfil falso contactó a más de 300 seguidores de la tienda real. 23 personas realizaron pedidos (con pago vía Bizum al estafador). Total defraudado: 15.340 €.

Mi intervención:

• Certificación forense del perfil falso (87 publicaciones, 2.100 seguidores falsos comprados, 340 mensajes directos enviados)
• Certificación de 23 conversaciones con víctimás de la estafa
• Análisis del número de Bizum (registrado a nombre de un titular en Cádiz)
• Análisis de patrones de actividad (el perfil publicaba entre las 10:00 y las 23:00 CET, horario compatible con España)
• Informe pericial de 45 páginas con 230 capturas certificadas

Resultado: denuncia ante la BITAR → requerimiento judicial a Meta → IP de Madrid → identificación del suplantador (un exempleado de la tienda). Condena: 2 años de prisión (art. 401 + art. 248 CP) + indemnización de 15.340 € + costas.

Lección: el exempleado conocía los productos, los precios y los seguidores de la tienda porque había gestionado la cuenta de Instagram durante su contrato. La empresa no cambió las contraseñas cuando lo despidió.

Caso 2: Político suplantado en Twitter — declaraciones falsas virales

Contexto: un concejal de un municipio de Andalucía descubrió que alguien había creado un perfil de Twitter con su nombre y foto oficial, publicando declaraciones provocativas sobre inmigración. Los tweets se hicieron virales con más de 50.000 visualizaciones antes de que el concejal se enterara.

Daño causado: artículos de prensa citando las declaraciones falsas, amenazas de muerte al concejal, crisis política en el ayuntamiento.

Mi intervención:

• Certificación urgente del perfil falso y de los 34 tweets publicados (antes de que Twitter lo suspendiera)
• Captura de los artículos de prensa que citaron las declaraciones falsas
• Análisis de los patrones de difusión de los tweets (network analysis para identificar si hubo coordinación)
• Análisis lingüístico comparativo entre los tweets falsos y publicaciones de concejales de la oposición

Resultado: denuncia ante GDT → requerimiento judicial a X Corp → la IP correspondía a un servidor VPN en Países Bajos → segundo requerimiento al proveedor VPN → negativa del proveedor a colaborar (jurisdicción no UE). El suplantador no fue identificado. Sin embargo, el informe pericial sirvió para que el concejal publicara un comunicado oficial demostrando la suplantación, y los medios retiraron los artículos.

Lección: Twitter/X bajo la gestión de Musk ha reducido significativamente la cooperación con autoridades judiciales no estadounidenses. Los requerimientos judiciales españoles a X Corp pueden no dar resultado si el suplantador usa VPN.

Caso 3: Menor suplantado en TikTok — ciberacoso con perfil falso

Contexto: los padres de un menor de 14 años me contactaron porque alguien había creado un perfil de TikTok con el nombre y fotos de su hijo, publicando vídeos humillantes montados con IA (fotos del menor con textos denigrantes superpuestos).

Daño causado: el menor sufrió bullying en el instituto, dejó de asistir a clase durante 2 semanas, y requirió atención psicológica.

Mi intervención:

• Certificación urgente del perfil falso y los 7 vídeos publicados
• Captura de los comentarios en los vídeos (algunos de compañeros de clase del menor)
• Análisis de los vídeos: las fotos del menor se habían tomado de su perfil de Instagram (público)
• Análisis de los comentarios para identificar al grupo de acosadores
• Informe pericial adaptado al contexto de menores (con especial cuidado en la protección de datos)

Resultado: denuncia ante la Fiscalía de Menores → investigación policial → identificación de 3 compañeros de clase del menor (también menores) como creadores del perfil falso. Al ser menores, no hubo condena penal, pero sí medidas socioeducativas y un expediente disciplinario en el centro educativo. Los padres de los acosadores fueron condenados civilmente a indemnizar con 8.000 €.

Lección: el perfil de Instagram del menor era público. Una configuración de privacidad adecuada habría dificultado enormemente el acceso a sus fotos.

Caso 4: Profesional suplantado en LinkedIn — ofertas de empleo falsas

Contexto: un directivo de recursos humanos de una empresa tecnológica de Barcelona descubrió que alguien había creado un perfil de LinkedIn con su nombre, foto y currículum, publicando ofertas de empleo falsas.

Daño causado: 47 candidatos enviaron sus CVs (con datos personales completos: DNI, dirección, teléfono) al perfil falso. 12 candidatos pagaron una “tasa de selección” de 200 € (total: 2.400 €). La empresa real recibió quejas y su reputación como empleador se vio afectada.

Mi intervención:

• Certificación del perfil falso de LinkedIn (conexiones, publicaciones, mensajes)
• Entrevistas certificadas con 12 candidatos estafados
• Análisis de la cuenta bancaria receptora de los pagos (datos proporcionados por los candidatos)
• Análisis del email desde el que el suplantador contactaba a candidatos fuera de LinkedIn
• Rastreo del dominio web falso que simulaba ser la empresa (typosquatting)

Resultado: denuncia ante BITAR → requerimiento judicial a Microsoft (LinkedIn) + al registrador del dominio falso → IP de Rumanía → comisión rogatoria → identificación de un grupo criminal especializado en fraude de empleo. 3 detenidos en Bucarest en cooperación con Europol. Los candidatos recuperaron parcialmente el dinero (1.600 € de 2.400 €).

Lección: LinkedIn es una plataforma de alto valor para los estafadores porque la información profesional pública permite crear perfiles falsos muy convincentes. La verificación de identidad de LinkedIn (badge) habría dificultado la suplantación.

Caso 5: Ex-pareja crea perfil falso de Instagram — revenge + suplantación

Contexto: una mujer de 32 años descubrió que su exnovio había creado un perfil de Instagram con un nombre diferente pero usando fotos suyas en ropa interior (fotos que ella le había enviado durante la relación). El perfil ofrecía “servicios de compañía” con su número de teléfono real.

Daño causado: la víctima recibió más de 100 llamadas y mensajes de desconocidos en 48 horas. Tuvo que cambiar de número de teléfono. Sufrió un episodio de ansiedad severa que requirió baja laboral.

Mi intervención:

• Certificación urgente del perfil falso (antes de que Instagram lo eliminara tras el reporte)
• Certificación de los mensajes y llamadas recibidas por la víctima
• Análisis de las fotos publicadas (metadatos y comparación con fotos del ex para demostrar que tuvo acceso)
• Análisis del perfil falso: creado desde una IP de la misma ciudad donde vivía el exnovio
• Informe pericial con calificación del delito: art. 197.7 CP (difusión de imágenes íntimás sin consentimiento) + art. 401 CP (usurpación) + art. 172 ter CP (acoso)

Resultado: denuncia penal → orden de alejamiento inmediata → requerimiento judicial a Meta → IP coincidente con la del exnovio → confesión del acusado. Condena: 1 año y 8 meses de prisión (con suspensión condicional) + orden de alejamiento de 3 años + indemnización de 12.000 € por daño moral.

Lección: las fotos íntimás compartidas en una relación de confianza pueden convertirse en arma si la relación termina. Nunca compartas fotos que puedan identificarte si caen en manos equivocadas.

Caso 6: Influencer suplantada — estafas a seguidores

Contexto: una influencer de moda con 85.000 seguidores en Instagram descubrió que existían 5 perfiles falsos simultáneos con variaciones de su nombre de usuario, todos usando sus fotos y ofreciendo “colaboraciones pagadas” y “sorteos exclusivos” a sus seguidores.

Daño causado: los perfiles falsos contactaron a más de 500 seguidores. Al menos 30 personas enviaron datos bancarios “para recibir el premio del sorteo”. Pérdida estimada: 9.200 € en cargos no autorizados.

Mi intervención:

• Certificación de los 5 perfiles falsos simultáneamente (operación logística compleja)
• Análisis de correlación entre los 5 perfiles (mismo patrón de publicación, mismos horarios → operados por la misma persona o grupo)
• Rastreo de los enlaces de pago (llevaban a formularios de phishing en dominios recién registrados)
• Análisis WHOIS de los 5 dominios de phishing (registrados desde la misma cuenta de GoDaddy)
• Certificación de las denuncias de 30 seguidores afectados

Resultado: denuncia ante BITAR + informe a la unidad de fraude bancario → identificación del grupo (3 personas en Málaga) a través de la cuenta de GoDaddy y las cuentas bancarias receptoras. Condena: 2 años y 6 meses cada uno (art. 248 + art. 401 CP). Indemnización total: 9.200 €.

Lección: los influencers son objetivos de alto valor porque tienen seguidores que confían en ellos. Cuanto mayor es la audiencia, mayor es el incentivo para suplantar.

Caso 7: Médico suplantado en Facebook — consultas médicas falsas

Contexto: un médico especialista en dermatología descubrió que alguien había creado una página de Facebook con su nombre y foto, ofreciendo “consultas online gratuitas”. La página redirigía a un formulario que recogía datos de salud de los pacientes (nombre, DNI, historial médico, fotos de afecciones cutáneas).

Daño causado: más de 200 personas completaron el formulario con datos médicos sensibles (categoría especial de datos según RGPD). El destino de esos datos es desconocido (posible venta en la dark web, posible uso para extorsión). El médico real recibió quejas de pacientes que creían haber sido atendidos por él.

Mi intervención:

• Certificación de la página falsa de Facebook y del formulario de recogida de datos
• Análisis del formulario (alojado en un servidor de Hetzner, Alemania)
• Análisis del tráfico web del formulario (integración con Google Analytics del estafador → otro dominio suyo)
• Informe especial para la AEPD (por tratamiento ilícito de datos de salud)
• Informe pericial para denuncia penal

Resultado: denuncia ante BITAR + reclamación ante AEPD → AEPD requirió a Hetzner el cierre del servidor → datos del creador obtenidos por Hetzner → persona en Alemania con antecedentes por phishing médico → procedimiento penal en Alemania (art. 401 CP español no aplica fuera de España, pero sí la legislación alemana equivalente). La AEPD multó a Facebook con 25.000 € por no eliminar la página falsa a tiempo (tardaron 22 días tras el primer reporte del médico).

Lección: la suplantación de profesionales sanitarios es especialmente grave porque implica datos de salud (categoría especial RGPD). La AEPD es un aliado poderoso en estos casos.

Caso 8: Suplantación con deepfake — foto generada por IA

Contexto: un abogado de Madrid descubrió un perfil de Instagram que usaba su nombre y una foto de perfil que se parecía a él pero que no era ninguna de sus fotos conocidas. La foto había sido generada por IA a partir de sus fotos públicas de LinkedIn.

Daño causado: el perfil falso contactó a clientes del abogado ofreciendo “servicios jurídicos con descuento”. 2 clientes pagaron anticipos (total: 3.800 €). Otros clientes contactaron al abogado real preguntando por los descuentos, causando confusión y desconfianza.

Mi intervención:

• Certificación del perfil falso con la foto generada por IA
• Análisis forense de la foto: detección de artefactos de IA (inconsistencias en el fondo, textura artificial del cabello, ligera asimetría en las orejas)
• Uso de herramientas de detección de IA: Hive Moderation (confianza 94 % de que es generada por IA), Sensity (confianza 91 %)
• Comparación biométrica entre la foto de IA y las fotos reales del abogado (similitud facial del 87 % — suficiente para confundir a terceros)
• Análisis de la cuenta de Bizum receptora de los pagos

Resultado: denuncia ante BITAR → identificación del suplantador a través de la cuenta de Bizum → un exempleado del despacho del abogado. Condena: 1 año y 6 meses de prisión + indemnización de 3.800 € + costas.

Lección: la IA permite crear fotos que se parecen a una persona sin ser copias exactas de ninguna foto suya. Esto es una nueva frontera en la suplantación que requiere herramientas forenses específicas de detección de imágenes generadas por IA. La herramienta más útil para identificar al suplantador en este caso no fue la tecnología, sino el rastreo del dinero (follow the money).

Suplantación de identidad en el contexto laboral y empresarial

La suplantación de identidad en redes sociales no solo afecta a particulares. En mi práctica profesional, cada vez periato más casos donde la suplantación tiene un contexto laboral o empresarial que añade capas de complejidad legal y forense.

Suplantación entre empleados y exempleados

El patrón más frecuente en el ámbito laboral es el exempleado que crea un perfil falso para dañar a su antigua empresa o a un compañero de trabajo. He peritado variantes de este escenario que incluyen:

Perfil falso del jefe para ridiculizarle: Un empleado descontento crea un perfil de Instagram imitando a su superior directo, publicando contenido que lo ridiculiza o le atribuye declaraciones falsas. El daño va más allá de lo personal: puede afectar a la reputación de la empresa si los clientes confunden el perfil falso con el real.

Perfil falso de la empresa para captar clientes: Un exempleado que ha montado un negocio competidor crea un perfil que imita la marca de su antigua empresa, redirigiendo a los clientes hacia su nueva empresa. Esto combina suplantación de identidad (art. 401 CP) con competencia desleal (Ley 3/1991).

Suplantación para sabotaje reputacional: Un empleado despedido crea un perfil falso de la empresa y pública contenido negativo (malas prácticas, quejas de clientes inventadas, denuncias falsas) para dañar la reputación corporativa.

Pruebas específicas en el contexto laboral:

Suplantación como herramienta de competencia desleal

En el mundo empresarial, la suplantación en redes sociales se utiliza cada vez más como arma de competencia desleal. Los casos más frecuentes que periato:

1. Perfiles falsos de la competencia para captar sus clientes: El competidor crea un perfil que imita a otra empresa y contacta a sus seguidores ofreciendo precios más bajos o redirigiendo a su propia web. Esto combina suplantación de marca (art. 274 CP si la marca está registrada) con prácticas comerciales desleales (arts. 5, 6 y 12 de la Ley 3/1991 de Competencia Desleal).

2. Reviews falsas desde perfiles suplantados: El competidor crea múltiples perfiles falsos en Google Business, Trustpilot o redes sociales para publicar reseñas negativas de su competidor. Cuando estas reseñas se publican desde perfiles que simulan ser clientes reales, constituyen tanto suplantación de identidad como publicidad engañosa.

3. Impersonación en licitaciones públicas: En un caso que me llamó especialmente la atención, una empresa creó un perfil falso de LinkedIn de un directivo de su competidor para enviar mensajes a funcionarios públicos desacreditando a la empresa competidora antes de una licitación. El peritaje reveló que los mensajes se enviaron desde una IP asociada a la empresa impostora.

Marco legal adicional para el contexto empresarial:

Impacto económico de la suplantación empresarial

El daño económico de la suplantación en el contexto empresarial es significativamente mayor que en el contexto personal:

En el caso 1 que describí anteriormente (empresa suplantada en Instagram), el daño directo fue de 15.340 € en pedidos falsos, pero el daño reputacional total (pérdida de clientes en los 6 meses siguientes, coste de la campaña de comunicación para reconstruir la confianza, y tiempo del equipo dedicado a la crisis) superó los 40.000 €.

Protocolo de respuesta para empresas

Como perito que ha visto muchas empresas responder tarde y mal a incidentes de suplantación, he desarrollado un protocolo de respuesta que recomiendo a todas las empresas que me consultan:

Hora 0-1: Detección y contención

1. Confirmar que el perfil es falso (verificar con el equipo de marketing/comunicación)
2. NO reportar a la plataforma todavía
3. Alertar al equipo de dirección
4. Contactar con un perito informático forense para certificación urgente

Hora 1-4: Certificación 5. El perito certifica el perfil falso con toda la evidencia disponible 6. Capturar mensajes enviados por el perfil falso a clientes o proveedores 7. Documentar cualquier impacto económico (pagos desviados, datos robados)

Hora 4-8: Comunicación y reporte 8. Publicar un aviso en los canales oficiales de la empresa alertando de la suplantación 9. Notificar directamente a clientes y proveedores que puedan haber sido contactados 10. Reportar el perfil falso a la plataforma (con la evidencia ya certificada) 11. Si hay daño económico a terceros: avisar a los afectados para que contacten con su banco

Día 1-3: Acción legal 12. Presentar denuncia con el informe pericial ante BITAR o GDT 13. Si hay datos personales de clientes comprometidos: notificar a la AEPD en 72 horas (obligatorio por RGPD) 14. Valorar demanda civil por daños + reclamación administrativa ante AEPD

Semana 1-4: Seguimiento y prevención 15. Monitorizar la aparición de nuevos perfiles falsos 16. Implementar medidas preventivas (verificación de marca, monitorización continua) 17. Revisar políticas de seguridad de cuentas corporativas de redes sociales

El coste de no actuar

He visto empresas que deciden “no hacer nada” ante una suplantación, esperando que la plataforma lo resuelva. Es un error grave.

Un caso ilustrativo: una clínica dental de Valencia descubrió un perfil falso de Instagram que ofrecía “tratamientos a mitad de precio” usando su nombre y fotos de sus instalaciones. La clínica reportó el perfil a Instagram y esperó. Instagram tardó 14 días en eliminar el perfil. Durante esos 14 días, el perfil falso contactó a más de 100 personas y 7 pagaron por “tratamientos” inexistentes (total: 4.900 €).

Lo peor: cuando los estafados descubrieron la estafa, no la asociaron al suplantador sino a la clínica real. Las reseñas negativas en Google (“me estafaron”, “son unos ladrones”) tardaron meses en ser retiradas. La clínica estimó una pérdida de negocio de más de 25.000 € en el semestre siguiente.

Si la clínica hubiera contactado a un perito el primer día, la certificación forense habría costado 800 €. El contraste entre 800 € de prevención y 30.000 € de daño no resuelto habla por sí solo.

Suplantación de identidad y menores: una preocupación creciente

Los menores son especialmente vulnerables a la suplantación de identidad en redes sociales, tanto como víctimás (alguien les suplanta) como en el papel de suplantadores (menores que suplantan a compañeros como forma de ciberacoso).

Estadísticas preocupantes

Según los datos del Ministerio del Interior (2025), el 42 % de los incidentes de ciberacoso escolar en España incluyen algún componente de suplantación de identidad (creación de perfiles falsos, hackeo de cuentas, uso de fotos sin consentimiento). La edad medía de la primera suplantación sufrida ha bajado a los 12,8 años.

Tipos de suplantación que afectan a menores

1. Perfil falso para ciberacoso (bullying digital): Compañeros de clase crean un perfil falso del menor con contenido humillante, fotos editadas o información falsa. Es la forma más común de suplantación en el contexto escolar.

2. Catfishing dirigido a menores: Adultos que crean perfiles falsos (de otros menores o de jóvenes atractivos) para contactar a menores con fines de grooming, obtención de imágenes íntimás o explotación sexual. Este es el tipo más peligroso y el que tiene las penas más graves.

3. Hackeo de cuentas entre compañeros: Un compañero de clase obtiene la contraseña del menor (por observación directa, shoulder surfing, o porque el menor la compartió en un momento de confianza) y pública contenido humillante desde la cuenta real.

4. Uso de fotos de menores por adultos: Adultos que descargan fotos de menores de redes sociales y las usan en perfiles falsos para otros fines (catfishing, pornografía generada por IA, etc.).

Marco legal específico para menores

Recomendaciones específicas para padres

1. Configura el perfil de tu hijo como privado en todas las plataformas
2. Activa las restricciones parentales que ofrecen las plataformás (Instagram tiene “Supervisión” para menores)
3. Enseña a tu hijo a no compartir contraseñas con amigos ni compañeros de clase
4. Revisa periódicamente la actividad en redes sociales (sin invadir la privacidad del menor — es un equilibrio delicado)
5. Habla con tu hijo sobre la suplantación: que sepa qué es, cómo detectarla y que puede contarte si le pasa sin miedo a que le quites el teléfono
6. Si descubres una suplantación: no actúes impulsivamente. Contacta primero con un profesional (perito, abogado, o al menos con el INCIBE — teléfono 017, gratuito y confidencial)

Herramientas forenses especializadas para peritaje de redes sociales

En esta sección detallo las herramientas que uso como perito para la adquisición, análisis y certificación de evidencia en casos de suplantación de identidad. No es una lista exhaustiva, sino las herramientas que me han demostrado ser fiables y que han pasado el escrutinio de tribunales españoles.

Herramientas de adquisición forense

Herramientas de análisis OSINT

Herramientas de análisis de imágenes

Herramientas de sellado de tiempo y certificación

Mi kit básico para un caso de suplantación

Para un caso estándar de suplantación de identidad en una sola plataforma, mi kit mínimo es:

1. Navegador forense (Chrome con extensión Hunchly activada) para la captura web
2. SHA-256 (sha256sum en Linux/macOS) para el hashing de cada archivo
3. FNMT Timestamp para el sellado de tiempo RFC 3161
4. Sherlock + Holehe para búsqueda de usernames y emails asociados
5. Google Images + TinEye + Yandex para búsqueda inversa de fotos
6. ExifTool para análisis de metadatos
7. LibreOffice Writer para la redacción del informe pericial
8. GPG para firma digital del informe

Este kit me permite completar un peritaje básico de suplantación en 24-48 horas. Para casos más complejos (múltiples plataformas, deepfakes, investigación de identificación del suplantador), añado herramientas adicionales según el caso.

Jurisprudencia relevante en España

Los tribunales españoles han ido construyendo una doctrina clara sobre la suplantación de identidad en redes sociales. Estas son las sentencias más relevantes que utilizo como referencia en mis informes periciales:

Sentencias del Tribunal Supremo

STS 300/2015, de 19 de mayo (Sala de lo Penal): Establece que las capturas de pantalla de comunicaciones electrónicas tienen valor probatorio limitado si no se acompañan de un informe pericial que certifique su autenticidad. Esta sentencia es la piedra angular de toda la doctrina sobre prueba digital en España.

STS 754/2015, de 27 de noviembre (Sala de lo Penal): Confirma y amplía la doctrina de la STS 300/2015. Establece que la prueba de comunicaciones electrónicas (incluyendo redes sociales) debe ir acompañada de dictamen pericial informático para garantizar la autenticidad e integridad del contenido.

Sentencias de Audiencias Provinciales

SAP Barcelona 145/2019 (Sección 6): Condenó por usurpación de estado civil (art. 401 CP) a un acusado que creó un perfil falso de Instagram con fotos de su expareja ofreciendo servicios sexuales. El tribunal aceptó el informe pericial del perito como prueba principal. Pena: 1 año de prisión.

SAP Madrid 267/2020 (Sección 23): Condenó la creación de un perfil falso de Facebook con nombre y fotos de la víctima para publicar contenido difamatorio. El peritaje forense fue determinante para vincular la IP de creación del perfil con el acusado. Pena: 8 meses de prisión.

SAP Valencia 89/2022 (Sección 2): Condenó la creación de un perfil falso de LinkedIn para enviar emails fraudulentos haciéndose pasar por un directivo de empresa. El tribunal valoró especialmente el análisis lingüístico forense del perito. Pena: 1 año y 6 meses de prisión.

SAP Sevilla 312/2023 (Sección 4): Absolvió al acusado de suplantación de identidad porque el perfil se identificaba como “parodia” en la biografía. El tribunal estableció que la parodía identificada como tal no constituye usurpación de estado civil.

SAP Málaga 156/2024 (Sección 9): Condenó a un exempleado que creó múltiples perfiles falsos de Instagram suplantando a su antigua empresa. El peritaje forense demostró la correlación entre las IPs de los perfiles falsos y la IP doméstica del acusado. Pena: 2 años de prisión + 15.000 € de indemnización.

Tendencias jurisprudenciales

1. Los tribunales cada vez aceptan más el peritaje informático como prueba determinante en casos de suplantación digital
2. Las capturas de pantalla sin certificar tienen cada vez menos peso probatorio (tendencia a rechazarlas como prueba única)
3. La identificación del suplantador a través de IP es aceptada pero puede ser cuestionada si se demuestra uso de VPN o acceso compartido a la conexión
4. El análisis lingüístico forense empieza a ser valorado como prueba complementaria en tribunales españoles
5. Las indemnizaciones por suplantación están aumentando: los tribunales reconocen cada vez más el daño moral y reputacional de la suplantación digital

Suplantación y deepfakes: la nueva frontera

La inteligencia artificial ha transformado la suplantación de identidad de un delito artesanal a un delito industrializable. Lo que antes requería habilidad técnica (Photoshop, edición de vídeo) ahora está al alcance de cualquier persona con acceso a internet y 10 minutos de tiempo.

Herramientas de IA que facilitan la suplantación

Cómo detectar fotos de perfil generadas por IA

En mi trabajo como perito, he desarrollado un protocolo de detección de imágenes generadas por IA que aplico en todos los casos de suplantación donde sospecho uso de IA:

Indicadores visuales (detección manual):

1. Asimetrías faciales inusuales: los generadores de IA a veces crean pendientes diferentes, ojos ligeramente desalineados o formás de orejas inconsistentes
2. Fondos con distorsiones: el fondo puede tener elementos que se funden o distorsionan (especialmente cerca del contorno del cabello)
3. Textura del cabello: el cabello generado por IA suele tener una textura demasiado uniforme o mechones que se funden entre sí
4. Dientes: los dientes generados por IA a veces tienen número incorrecto o formás irregulares
5. Accesorios: gafas con distorsión, pendientes asimétricos o diferentes, collares que no siguen la perspectiva correcta
6. Manos y dedos: si la imagen incluye manos, los dedos pueden tener número incorrecto, longitud anormal o articulaciones imposibles
7. Iluminación inconsistente: sombras que no corresponden a una fuente de luz coherente

Herramientas de detección automática:

Mi protocolo de detección:

1. Análisis visual manual (5 minutos)
2. Búsqueda inversa de imagen en Google, TinEye y Yandex (si no encuentra resultados, es más probable que sea generada por IA)
3. Análisis con al menos 2 herramientas automáticas (Hive + otra)
4. Si hay discrepancia entre herramientas, análisis ELA con FotoForensics
5. Documentación de todos los indicadores encontrados en el informe pericial

Impacto del AI Act en la suplantación con IA

El Reglamento europeo de Inteligencia Artificial (AI Act), en vigor desde agosto de 2024 con aplicación progresiva, tiene implicaciones directas para la suplantación con deepfakes:

• Art. 50 AI Act: las personas que generen deepfakes deben etiquetar de forma clara que el contenido ha sido generado o manipulado con IA
• Categoría de riesgo: los sistemás de identificación biométrica y reconocimiento facial se clasifican como “alto riesgo”
• Sanciones: hasta el 3 % de la facturación anual global para quienes incumplan las obligaciones de transparencia

Implicación práctica: un suplantador que use IA para generar una foto de perfil falsa sin etiquetarla como generada por IA está infringiendo el AI Act además de cometer el delito de usurpación del art. 401 CP. Esto abre una vía administrativa adicional para la víctima.

Deepfake de voz y suplantación telefónica desde redes sociales

Más allá de las fotos, la clonación de voz con IA es una amenaza emergente que he empezado a ver en casos de suplantación vinculados a redes sociales.

El escenario: un suplantador descarga vídeos o audios públicos de la víctima en redes sociales (entrevistas en LinkedIn, reels en Instagram, vídeos de TikTok). Con solo 3-10 segundos de audio, herramientas como ElevenLabs o PlayHT pueden clonar la voz con un realismo alarmante. El suplantador usa esa voz clonada para:

• Enviar notas de voz falsas por WhatsApp o Instagram Direct haciéndose pasar por la víctima
• Realizar llamadas telefónicas haciéndose pasar por la víctima (especialmente para estafas de tipo “CEO fraud” o “estafa del hijo en apuros”)
• Crear vídeos falsos combinando face swap con voz clonada

Caso real: un ejecutivo español recibió una nota de voz por WhatsApp de su “socio de negocios” (voz clonada) pidiéndole que transfiriera 18.000 € urgentemente a una cuenta nueva. La nota de voz era indistinguible de la voz real del socio. El ejecutivo transfirió el dinero. Cuando llamó a su socio real para confirmar, descubrió que el socio no había enviado ningún mensaje. El suplantador había obtenido muestras de la voz del socio de los reels de Instagram de la empresa.

Detección forense de voz clonada:

Mi recomendación: si recibes una nota de voz o llamada sospechosa de alguien que te pide dinero o datos sensibles, confirma por otro canal (llama tú directamente al número que ya tenías guardado, envía un email, o verifica en persona). Nunca actúes solo basándote en una nota de voz, por más real que suene.

La cadena de suplantación: de las redes sociales al mundo real

Uno de los patrones más peligrosos que he observado en los últimos dos años es lo que llamo la “cadena de suplantación”: el suplantador comienza en redes sociales pero extiende la suplantación al mundo offline.

Fases de la cadena:

1. Fase digital: creación del perfil falso en redes sociales, contacto con víctimás potenciales
2. Fase de credibilidad: el suplantador usa el perfil falso para construir una reputación online (publicaciones, interacciones, comentarios)
3. Fase de transición: el suplantador empieza a operar fuera de la red social — envía emails con dominio propio que imita a la víctima, crea una web que parece legítima, se registra en directorios profesionales
4. Fase offline: el suplantador realiza gestiones presenciales haciéndose pasar por la víctima (reuniones de negocios por videoconferencia con deepfake, contratos firmados con identidad falsa, apertura de cuentas bancarias con documentación falsificada)

Ejemplo de cadena completa: un caso que perité en 2025 involucró a un suplantador que:

1. Creó un perfil de LinkedIn falso de un arquitecto de Madrid
2. Usó el perfil para contactar a promotoras inmobiliarias ofreciendo servicios
3. Creó un dominio web (apellido-arquitectos.com) con un portfolio copiado
4. Envió presupuestos con IVA ficticio y cuenta bancaria propia
5. Cobró anticipos por 3 proyectos (total: 27.000 €) antes de ser descubierto
6. Cuando las promotoras intentaron contactar al “arquitecto” por teléfono, usó un servicio de clonación de voz para las primeras llamadas

La cadena se rompió cuando una de las promotoras buscó al arquitecto real en Google, encontró su web legítima (diferente a la falsa) y le llamó directamente. El arquitecto real no sabía que le estaban suplantando en LinkedIn.

Implicación forense: cuando la suplantación cruza del mundo digital al offline, el peritaje necesita cubrir múltiples vectores (redes sociales, web, email, documentos, cuentas bancarias). Esto aumenta la complejidad pero también las oportunidades de identificar al suplantador, porque cada paso fuera del mundo digital deja más rastros.

Suplantación y criptomonedas: el nexo creciente

Un patrón emergente que merece atención específica es el uso de perfiles falsos en redes sociales para estafas de criptomonedas.

Modalidades frecuentes:

1. Perfil falso de “influencer cripto”: El suplantador crea un perfil imitando a un trader o influencer conocido del mundo cripto, prometiendo rendimientos garantizados. Los seguidores envían criptomonedas a wallets del estafador. Al ser transacciones en blockchain, son prácticamente irreversibles.

2. Perfil falso de soporte técnico de exchanges: Perfiles de Twitter o Telegram que imitan a Binance, Coinbase o Kraken, contactando a usuarios que publican problemás técnicos y pidiéndoles sus credenciales o seed phrases.

3. Fake giveaways: Perfiles de YouTube o Twitter que imitan a figuras como Vitalik Buterin, CZ o Elon Musk prometiendo “si envías 1 ETH, te devuelvo 2 ETH”. Sorprendentemente, estas estafas siguen funcionando en 2026.

Desafío forense específico: las criptomonedas añaden una capa de dificultad a la identificación del suplantador porque las wallets receptoras pueden ser anónimas. Sin embargo, el análisis de blockchain (chain analysis) puede rastrear el flujo de fondos hasta un exchange centralizado donde el suplantador necesita verificar su identidad (KYC) para convertir las criptomonedas en euros.

He colaborado con especialistas en análisis forense de blockchain para seguir el rastro del dinero en estos casos. La combinación de peritaje de redes sociales (para la suplantación) y análisis de blockchain (para el flujo de fondos) es cada vez más frecuente.

Estadísticas de suplantación por plataforma en España (2025)

Basándome en los datos disponibles de INCIBE, Europol, y los informes de transparencia de las propias plataformas, esta es la distribución aproximada de los casos de suplantación en España:

Observaciones clave:

• Instagram sigue siendo la plataforma dominante para suplantación de identidad personal
• TikTok es la plataforma con mayor crecimiento de casos de suplantación, especialmente entre menores
• LinkedIn experimenta un aumento significativo de suplantación profesional vinculada a estafas BEC
• WhatsApp no es técnicamente una “red social”, pero los casos de suplantación a través de cuentas robadas de WhatsApp siguen creciendo

Cooperación judicial internacional en casos de suplantación

Cuando el suplantador opera desde otro país —o la plataforma tiene sede fuera de España—, el proceso judicial se complica significativamente. Esta sección explica los mecanismos de cooperación judicial que se utilizan y sus limitaciones prácticas.

Dentro de la Unión Europea: Orden Europea de Investigación (OEI)

La OEI (regulada por la Directiva 2014/41/UE, transpuesta en España por la Ley 23/2014) es el mecanismo más eficiente para solicitar la cooperación de autoridades de otros países UE.

Cómo funciona:

1. El juez español emite una OEI dirigida a la autoridad competente del país donde la plataforma tiene sede europea (Irlanda para Meta, Google y Microsoft/LinkedIn; Francia para TikTok Europe)
2. La autoridad del país receptor ejecuta la diligencia solicitada (obtención de datos del creador del perfil falso)
3. Los datos se transmiten al juez español

Tiempos: 30-90 días para la ejecución de la OEI (el plazo legal es 90 días, pero en la práctica puede ser más rápido si hay urgencia acreditada).

Ventaja: es obligatoria para todos los países UE. Irlanda no puede negarse a ejecutar una OEI española salvo por motivos tasados.

Fuera de la UE: Comisión Rogatoria y MLAT

Para plataformás con sede fuera de la UE (como X Corp en Estados Unidos, o ByteDance en Singapur), se necesitan mecanismos más lentos:

Comisión Rogatoria:

• Solicitud de cooperación judicial a través de canales diplomáticos
• Tiempo: 6-18 meses
• Tasa de éxito: variable según el país y la relación bilateral

MLAT (Mutual Legal Assistance Treaty):

• Tratado bilateral de asistencia judicial entre España y el país receptor
• España tiene MLATs con la mayoría de países occidentales, incluido EE. UU.
• Tiempo: 6-12 meses para EE. UU. (vía DOJ)
• Tasa de éxito: razonablemente alta para EE. UU. y países del Consejo de Europa

El problema de las VPN y la anonimización

Incluso con la cooperación judicial más eficiente, el suplantador puede haber usado herramientas de anonimización:

Mi experiencia: en el 60 % de los casos nacionales que periato, el suplantador NO usa VPN ni Tor. Simplemente opera desde su conexión doméstica porque no es consciente de que la plataforma conserva su IP, o porque cree que nadie va a denunciar. Ese 60 % se identifica con un simple requerimiento judicial al ISP.

En el 40 % restante, la identificación es más compleja pero no imposible: los errores OPSEC del suplantador (olvidar activar la VPN una vez, usar la misma cuenta de email para registrar el perfil falso y para otros servicios, dejar metadatos en fotos) a menudo proporcionan el punto de entrada para la investigación.

Qué hacer si te suplantan: guía paso a paso

Si has descubierto que alguien ha suplantado tu identidad en una red social, sigue estos pasos en este orden exacto. El orden importa.

El papel del abogado en los casos de suplantación de identidad

Como perito, trabajo codo con codo con abogados en los casos de suplantación. La relación perito-abogado es fundamental para que el caso prospere.

Cuándo necesitas abogado (y cuándo puedes ir solo)

Qué buscar en un abogado para estos casos

No todos los abogados están preparados para casos de delincuencia digital. Busca un abogado que tenga:

1. Experiencia en derecho tecnológico o ciberdelincuencia: no basta con un penalista generalista. Necesitas alguien que entienda cómo funciona la evidencia digital.
2. Experiencia con requerimientos judiciales a plataformás tecnológicas: saber redactar un requerimiento judicial a Meta o X Corp es una habilidad específica.
3. Relación de trabajo con peritos informáticos: un abogado que ya ha trabajado con peritos forenses sabe qué evidencia pedir y cómo presentarla.
4. Conocimiento del DSA y del RGPD: para la vía administrativa ante la AEPD y para reclamaciones contra la plataforma.
5. Experiencia en cooperación judicial internacional: si el suplantador puede estar fuera de España, necesitas un abogado que sepa manejar OEIs y comisiones rogatorias.

El flujo de trabajo perito-abogado

Fase 1: Certificación urgente (horas 0-48)

• El perito certifica la evidencia
• El abogado valora la calificación jurídica de los hechos

Fase 2: Denuncia/querella (días 1-7)

• El abogado redacta la denuncia o querella con el informe pericial como base
• El perito acompaña a comisaría si es necesario para explicar aspectos técnicos

Fase 3: Instrucción (meses 1-6)

• El juez solicita requerimientos judiciales a las plataformas
• El perito analiza los datos obtenidos y actualiza el informe
• El abogado gestiona las diligencias procesales

Fase 4: Juicio (meses 6-14)

• El abogado presenta el caso
• El perito ratifica su informe y responde a preguntas
• El abogado de la defensa puede presentar un contra-perito

Costes totales estimados: perito + abogado

Para dar una visión realista del coste total de un procedimiento por suplantación de identidad:

Nota importante: si el caso se gana, las costas procesales (incluidos los honorarios del perito y del abogado) se imponen al condenado. Esto significa que, en los casos que prosperan, la víctima puede recuperar la mayor parte de la inversión en peritaje y abogado.

Errores que convierten un caso ganador en un caso perdido

Después de haber peritado decenas de casos de suplantación, he identificado los errores más frecuentes que cometen las víctimás y que complican o incluso impiden la obtención de justicia. Si solo te llevas una cosa de esta guía, que sea esta lista:

Error 1: Reportar a la plataforma ANTES de certificar

Ya lo he dicho, pero no puedo repetirlo suficiente. Es, con diferencia, el error más frecuente y el más devastador. PRIMERO certifica, DESPUÉS reporta.

Error 2: Esperar a que “pase algo más grave”

Muchas víctimás descubren el perfil falso cuando aún no ha causado daño económico, y deciden esperar. Error. Cada día que el perfil falso está activo:

• Puede contactar a más personas
• El suplantador puede borrar rastros
• La evidencia puede desaparecer (stories, publicaciones temporales)
• El daño acumulado aumenta

Actúa en las primeras 24 horas. La certificación urgente cuesta entre 500 y 800 €. El daño de no actuar puede costar decenas de miles.

Error 3: Capturar evidencia sin metodología forense

Las capturas de pantalla hechas con el móvil son mejor que nada, pero son fácilmente impugnables en juicio. Un abogado hábil de la defensa puede argumentar:

• Que la captura fue editada (Photoshop, inspector de elementos del navegador)
• Que la fecha de la captura no es verificable
• Que no hay garantía de que el contenido capturado era el que estaba en la plataforma

Una certificación forense con hash SHA-256, sello de tiempo RFC 3161 y cadena de custodía es legalmente robusta y técnicamente inimpugnable.

Error 4: Borrar el perfil falso sin certificar (mediante hackeo)

Algunos víctimas, frustradas por la lentitud de las plataformas, intentan “hackear” el perfil falso para eliminarlo o cambiarlo. Esto es un error por dos razones:

1. Estás cometiendo un delito (art. 197.2 CP — acceso no autorizado a sistema informático)
2. Estás destruyendo evidencia que podrías necesitar para tu denuncia

Nunca intentes acceder al perfil falso. Solo el perito puede acceder a información pública del perfil como parte de la adquisición forense.

Error 5: No denunciar porque “no va a servir de nada”

Entiendo el escepticismo. El sistema judicial es lento, las plataformás no siempre cooperan, y muchos casos se archivan. Pero no denunciar tiene consecuencias:

• El suplantador no recibe ninguna consecuencia y puede repetir
• Si hay más víctimás en el futuro, no hay antecedentes del suplantador
• No puedes reclamar indemnización sin procedimiento judicial
• La policía no puede investigar sin denuncia

Incluso si el caso se archiva, la denuncia queda registrada. Si el suplantador reincide, la segunda denuncia tendrá más peso.

Error 6: No conservar las notificaciones de la plataforma

Cuando reportas un perfil falso, la plataforma te envía notificaciones por email: “Hemos recibido tu reporte”, “Hemos revisado tu reporte”, “Hemos eliminado el perfil”. Conserva todos estos emails. Son evidencia de que el perfil existió, de que fue eliminado por violar las normás de la plataforma, y del tiempo que tardó la plataforma en actuar (relevante para reclamaciones por DSA).

Error 7: No informar a los afectados

Si el perfil falso contactó a clientes, amigos o familiares, necesitas informarles de dos cosas:

1. Que el perfil era falso (para que no actúen según los mensajes recibidos)
2. Que conserven los mensajes (son evidencia)

Muchos afectados borran los mensajes del perfil falso cuando descubren que era falso. Esa es evidencia que se pierde.

Error 8: Intentar identificar al suplantador por tu cuenta

La tentación de jugar al detective es comprensible. Pero la investigación amateur puede:

• Alertar al suplantador de que le estás buscando (borrará sus rastros)
• Producir “evidencia” sin valor judicial (no tiene cadena de custodia)
• Incluso meterte en problemás legales (si accedes a datos privados del sospechoso)

Deja la investigación al perito y a la policía. Tu trabajo es certificar la evidencia y denunciar. No más.

Error 9: No documentar el daño sufrido

Para obtener una indemnización (vía civil), necesitas documentar el daño. Esto incluye:

• Daño económico: facturas, transferencias desviadas, pérdida de clientes, coste de reconstrucción de marca
• Daño moral: informe psicológico si has sufrido ansiedad, depresión u otros efectos (guarda tickets de consultas médicas o psicológicas)
• Daño reputacional: capturas de mensajes de clientes confundidos, reseñas negativas derivadas de la suplantación, artículos de prensa
• Tiempo invertido: horas dedicadas a gestionar el incidente (un abogado puede cuantificarlo como lucro cesante)

Guarda todos los recibos, facturas y documentos relacionados con el incidente. La indemnización depende directamente de lo que puedas documentar.

Error 10: Creer que es un problema puntual

Muchas víctimás tratan la suplantación como un incidente aislado: reportan el perfil, esperan a que desaparezca, y siguen con su vida. Error. En mi experiencia, el 35 % de los suplantadores reinciden si no se les identifica y denuncia. Si el perfil falso se elimina pero el suplantador no sufre consecuencias, puede crear otro perfil idéntico al día siguiente.

La única forma de cerrar el ciclo es: certificar → denunciar → identificar → conseguir que haya consecuencias legales. El peritaje forense es el primer paso de esa cadena.

Recursos y líneas de ayuda en España

Si estás siendo víctima de suplantación de identidad o cualquier otro ciberdelito, estos son los recursos disponibles:

Organizaciones de apoyo a víctimás de ciberdelincuencia

Herramientas gratuitas de INCIBE para víctimas

INCIBE ofrece varias herramientas y servicios gratuitos relevantes para víctimás de suplantación:

1. Servicio AntiBotnet: comprueba si tu dispositivo forma parte de una red de bots (relevante si tu cuenta fue hackeada)
2. Comprobador de brechas: verifica si tu email ha sido expuesto en alguna brecha de datos (relevante para credential stuffing)
3. Guías de configuración de privacidad: instrucciones paso a paso para configurar la privacidad en cada red social
4. Plantilla de denuncia: modelo para presentar denuncia por ciberdelito ante las fuerzas de seguridad

Todos estos recursos están disponibles en osi.es y incibe.es.

Precios del peritaje de suplantación de identidad

La inversión en un peritaje forense para suplantación de identidad varía según la complejidad del caso. Estos son mis tarifas orientativas para 2026:

Notas sobre precios:

• IVA (21 %) no incluido
• La primera consulta por videollamada es gratuita y sin compromiso (30 minutos)
• Si el caso involucra múltiples plataformas, el precio se incrementa proporcionalmente
• Si se requiere análisis de deepfake con herramientas especializadas, se añade un suplemento de 200-400 €
• Disponibilidad de servicio urgente (menos de 24 horas) con suplemento del 50 %
• Los gastos de desplazamiento para ratificación fuera de Jaén se facturan aparte

Cómo proteger tu identidad en redes sociales

La mejor defensa contra la suplantación es la prevención. Estas son mis recomendaciones profesionales basadas en los patrones que observo en los casos que periato:

Configuración de privacidad

1. Configura tu perfil como privado si no necesitas visibilidad pública por razones profesionales
2. Limita quién puede ver tu lista de amigos/seguidores: los suplantadores la usan para contactar a tus conocidos
3. Restringe quién puede etiquetarte en fotos: las fotos donde apareces son material para el suplantador
4. Desactiva la visibilidad de tu perfil en buscadores: Google indexa perfiles públicos de redes sociales
5. Revisa los permisos de aplicaciones de terceros: apps que tienen acceso a tu perfil pueden filtrar datos

Verificación de identidad

6. Activa la verificación de identidad en todas las plataformás que lo ofrezcan (LinkedIn, Instagram, Facebook, Twitter)
7. Activa la autenticación de dos factores (2FA) con app de autenticación (no SMS, que es vulnerable a SIM swapping)
8. Usa contraseñas únicas para cada red social (usa un gestor de contraseñas como Bitwarden o 1Password)
9. Revisa periódicamente las sesiones activas de tus cuentas y cierra las que no reconozcas
10. No vincules todas tus redes sociales entre sí: si un atacante compromete una, no debería poder acceder a las demás

Monitorización

11. Configura alertas de Google con tu nombre completo ("Tu Nombre Apellido" entre comillas)
12. Búscate a ti mismo regularmente en Google, Instagram, Facebook, Twitter y TikTok
13. Pide a tus contactos que te avisen si reciben solicitudes sospechosas
14. Usa herramientas de monitorización como Mention, Social Mention o BrandYourself
15. Registra tu nombre de usuario en las principales plataformás aunque no las uses (para evitar que alguien lo registre por ti)

Precauciones con fotos

16. No publiques fotos de alta resolución de tu cara que puedan ser usadas para face swap o deepfake
17. Marca con agua tus fotos profesionales si las públicas en alta resolución
18. Usa Google Images y TinEye periódicamente para verificar si tus fotos aparecen en contextos no autorizados
19. No compartas fotos íntimás digitalmente — si ya lo hiciste, sé consciente del riesgo
20. Desactiva la geolocalización en las fotos que públicas (Instagram la elimina automáticamente, pero otras plataformás no)

Para empresas y profesionales

21. Verifica tu marca en todas las plataformás (badge de verificación de empresa)
22. Registra tu marca en la oficina de propiedad intelectual (OEPM): facilita las reclamaciones por suplantación de marca
23. Monitoriza menciones de tu marca con herramientas como Hootsuite, Sprout Social o Brand24
24. Ten un protocolo de respuesta para suplantación de marca (quién actúa, cómo comunica, cuándo denuncia)
25. Cambia las contraseñas de redes sociales cuando un empleado deja la empresa — especialmente si gestionaba las cuentas corporativas

Checklist de seguridad por plataforma

Instagram:

Facebook:

Twitter/X:

LinkedIn:

TikTok:

Herramientas de monitorización de suplantación

Para detectar suplantación antes de que cause daño, recomiendo estas herramientas:

Plan de monitorización recomendado

Comparativa: suplantación de identidad vs. otros ciberdelitos relacionados

Para víctimás y abogados que necesitan encuadrar correctamente el caso, es útil entender las diferencias entre la suplantación de identidad y otros ciberdelitos con los que frecuentemente se confunde:

Concurso de delitos: en la mayoría de casos de suplantación graves, se aplican varios delitos simultáneamente (concurso ideal o medial). Por ejemplo, si alguien hackea tu cuenta de Instagram (art. 197.2), pública tus fotos íntimás (art. 197.7) y contacta a tus seguidores para estafarles (art. 248), se pueden acumular las penas de los tres delitos.

La suplantación de identidad como forma de violencia de género digital

En mi práctica profesional, un porcentaje significativo de los casos de suplantación de identidad que periato tienen un componente de violencia de género. El patrón más frecuente: una expareja masculina que crea perfiles falsos de su expareja femenina como forma de control, venganza o acoso postruptura.

Patrones específicos de suplantación en contexto de violencia de género

1. Perfil falso con fotos íntimas: el agresor crea un perfil usando fotos íntimás que la víctima le envió durante la relación, ofreciendo “servicios sexuales” con el número de teléfono real de la víctima
2. Perfil falso en apps de citas: el agresor crea un perfil en Tinder, Bumble o similares usando las fotos de la víctima, para que hombres desconocidos la contacten
3. Cuenta hackeada para control: el agresor mantiene acceso a las cuentas de la víctima después de la ruptura para monitorizar sus interacciones y contactar a nuevas parejas
4. Campañas de difamación: múltiples perfiles falsos publicando contenido difamatorio sobre la víctima en diferentes plataformas
5. Suplantación ante instituciones: el agresor usa la identidad de la víctima para hacer gestiones online (compras, solicitudes, denuncias falsas) en su nombre

Protección legal reforzada

Los casos de suplantación en contexto de violencia de género tienen una protección legal reforzada en España:

Mi experiencia en estos casos

Los casos de suplantación vinculados a violencia de género son, sin duda, los más duros emocionalmente de todos los que periato. La víctima no solo sufre la suplantación sino que revive el trauma de la relación con el agresor.

En estos casos, mi protocolo incluye:

• Certificación urgente (la evidencia es especialmente volátil porque el agresor puede borrarla si sabe que la víctima está actuando)
• Coordinación directa con el Juzgado de Violencia sobre la Mujer (para que la orden de protección incluya expresamente la prohibición de crear perfiles falsos)
• Informe pericial con perspectiva de género (documentando el patrón de acoso digital como parte del ciclo de violencia)
• Colaboración con organizaciones de apoyo (el 016 atiende consultas sobre ciberviolencia de género, incluyendo suplantación)

Si estás en esta situación, por favor llama al 016 (teléfono de atención a víctimás de violencia de género, gratuito, confidencial, no deja rastro en la factura del teléfono).

Para más información sobre el peritaje forense en casos de ciberviolencia de género, he escrito una guía específica: Ciberviolencia de género: peritaje forense.

Preguntas frecuentes

1. ¿Es delito crear un perfil falso con mi nombre y foto en una red social?

Sí. En España, crear un perfil falso usando el nombre y la foto de otra persona constituye un delito de usurpación de estado civil (art. 401 del Código Penal), castigado con pena de prisión de 6 meses a 3 años. No es necesario que el suplantador haya causado daño económico: el mero acto de asumir la identidad de otra persona ya es delito.

2. ¿Puedo denunciar si no sé quién ha creado el perfil falso?

Sí, puedes presentar una denuncia contra “persona desconocida”. La policía y el juez pueden solicitar a la plataforma (Instagram, Facebook, Twitter, etc.) los datos del creador del perfil falso (IP de creación, email de registro, datos del dispositivo). Con esa información, se puede identificar al suplantador. Sin embargo, para que este proceso funcione, es fundamental que la denuncia se acompañe de un informe pericial que documente la suplantación y facilite la investigación.

3. ¿Cuánto tarda el proceso de denuncia y juicio?

El proceso tiene varias fases con tiempos diferentes:

• Denuncia y requerimiento judicial: 1-3 meses
• Identificación del suplantador (si la plataforma coopera): 2-6 meses
• Instrucción judicial: 3-8 meses
• Juicio: 6-14 meses desde la denuncia
• Total estimado: 8-14 meses para un caso nacional, 18-24 meses si el suplantador está en el extranjero

4. ¿Qué pasa si el perfil falso ya fue eliminado por la plataforma?

La denuncia es más difícil pero no imposible. Si tienes capturas de pantalla (aunque no sean forenses), mensajes de personas que interactuaron con el perfil falso, o notificaciones de la plataforma confirmando la eliminación, se puede construir un caso. Además, la plataforma está obligada a conservar los datos de conexión del creador del perfil durante 12 meses (LSSI art. 12), así que un requerimiento judicial dentro de ese plazo puede obtener la IP del suplantador aunque el perfil ya no exista.

5. ¿Puedo reclamar una indemnización económica por la suplantación?

Sí, por dos vías:

• Vía penal: la sentencia condenatoria puede incluir una indemnización por daños y perjuicios (daño moral + daño material)
• Vía civil: demanda independiente al amparo de la LO 1/1982 (protección del honor, intimidad y propia imagen). Las indemnizaciones en casos de suplantación en redes sociales oscilan entre 3.000 y 30.000 €, dependiendo de la gravedad del caso.

6. ¿Las capturas de pantalla valen como prueba en un juicio?

Las capturas de pantalla tienen un valor probatorio limitado. Los tribunales españoles (STS 300/2015, STS 754/2015) han establecido que las capturas de pantalla por sí solas son insuficientes como prueba porque pueden ser fácilmente manipuladas. Para que tengan pleno valor probatorio, deben ir acompañadas de un informe pericial informático que certifique su autenticidad mediante hash criptográfico, sello de tiempo y cadena de custodia.

7. ¿Qué diferencia hay entre suplantación de identidad y robo de cuenta?

• Suplantación de identidad: crear un perfil NUEVO usando los datos de otra persona. El suplantador no tiene acceso a la cuenta real de la víctima.
• Robo de cuenta (account takeover): acceder y tomar control de la cuenta REAL de la víctima. El atacante tiene acceso total a la cuenta, mensajes privados y seguidores.

Ambos son delitos, pero se encuadran en artículos diferentes del Código Penal: la suplantación en el art. 401 (usurpación de estado civil) y el robo de cuenta en el art. 197 (descubrimiento y revelación de secretos). El robo de cuenta suele tener penas más graves porque implica acceso a información privada.

8. ¿Puedo denunciar ante la AEPD además de ante la policía?

Sí, y lo recomiendo. La reclamación ante la AEPD (Agencia Española de Protección de Datos) es complementaria a la denuncia penal y tiene ventajas propias: es gratuita, la AEPD puede ordenar a la plataforma que elimine el perfil falso y los datos personales usados ilícitamente, y puede sancionar a la plataforma si no actuó con diligencia. Además, la AEPD tiene mecanismos de cooperación con autoridades de protección de datos de otros países UE.

9. ¿Las plataformás son responsables si no eliminan un perfil falso a tiempo?

Sí, según el DSA (Digital Services Act). Las plataformás tienen la obligación de actuar con diligencia ante reportes de contenido ilícito (incluida la suplantación). Si la plataforma recibe un reporte legítimo y no actúa en un plazo razonable, puede ser considerada responsable del daño causado por el perfil falso durante el tiempo de inacción. Esto abre la puerta a demandas de responsabilidad contra la propia plataforma.

10. ¿Cuánto cuesta el peritaje para denunciar suplantación de identidad?

Depende de la complejidad del caso. Una certificación urgente de un perfil falso cuesta entre 500 y 800 €. Un informe pericial completo para denuncia, entre 1.200 y 1.800 €. Una investigación completa con identificación del suplantador, entre 1.800 y 2.500 €. La primera consulta por videollamada es gratuita y sin compromiso.

Ver tabla detallada de precios →

11. ¿Qué hago si me suplantan desde otro país?

La denuncia se presenta igualmente en España (donde tú, la víctima, resides). Si el suplantador está en otro país de la UE, el juez puede emitir una Orden Europea de Investigación (OEI) para que las autoridades del otro país cooperen. Si el suplantador está fuera de la UE, se necesita una comisión rogatoria o un tratado MLAT. El proceso es más lento (12-24 meses) pero no imposible. En mi experiencia, los casos internacionales dentro de la UE tienen una tasa de éxito razonable; fuera de la UE, la tasa baja significativamente.

12. ¿Qué pasa si el suplantador es un menor de edad?

Si el suplantador es menor de 14 años, no tiene responsabilidad penal en España. Si tiene entre 14 y 17 años, le es aplicable la Ley Orgánica 5/2000 (responsabilidad penal del menor), con medidas socioeducativas en lugar de prisión. En ambos casos, los padres o tutores pueden ser responsables civilmente de los daños causados por el menor. El peritaje forense es igualmente necesario para documentar los hechos.

13. ¿Es delito hacer una cuenta de parodía o fan page con mi nombre?

Depende del contexto. Las cuentas de parodía están protegidas por la libertad de expresión si se identifican claramente como parodias (la mayoría de plataformás exigen que la bio indique “parodia” o “fan account”). Sin embargo, si la cuenta no se identifica como parodía y puede confundirse con la persona real, puede constituir suplantación. La línea entre parodía protegida y suplantación punible es a veces difusa y depende de las circunstancias de cada caso.

14. ¿Puedo usar la denuncia de suplantación para obtener una orden de alejamiento?

Sí, si la suplantación forma parte de un patrón de acoso (art. 172 ter CP). El juez puede imponer una orden de alejamiento y de no comunicación que incluya tanto el contacto físico como el digital. En casos de violencia de género, la orden de alejamiento se concede con mayor facilidad. El informe pericial es fundamental para documentar el patrón de acoso digital.

15. ¿Qué pasa si alguien usa mi nombre pero no mi foto?

Si alguien crea un perfil con tu nombre exacto pero con una foto diferente (suya, inventada o de otra persona), sigue pudiendo constituir usurpación de estado civil (art. 401 CP) si la intención es hacerse pasar por ti. El nombre, por sí solo, puede ser suficiente para la suplantación si se combina con otros datos identificativos (ciudad, profesión, empresa). Sin embargo, la prueba es más difícil si no hay foto, y el juez puede considerar que se trata de una homonimia casual.

16. ¿Puedo denunciar si el perfil falso está en una plataforma extranjera?

Sí. Puedes denunciar en España independientemente de dónde esté alojada la plataforma. Los delitos cometidos contra ciudadanos españoles están sujetos a la jurisdicción española (art. 23 LOPJ). El juez español puede emitir requerimientos judiciales a plataformás con sede fuera de España a través de la cooperación judicial internacional (OEI dentro de la UE, comisión rogatoria fuera de la UE). Las plataformás con operaciones en la UE (Meta, Google, Microsoft, ByteDance/TikTok) están sujetas al DSA y deben cooperar con las autoridades judiciales de los Estados miembros.

17. ¿Cuánto tiempo conservan las plataformás los datos del creador de un perfil falso?

Varía según la plataforma y la legislación aplicable. En España, la LSSI art. 12 obliga a los prestadores de servicios a conservar datos de conexión durante 12 meses. En la práctica:

• Meta (Instagram/Facebook): conserva datos de creación de cuenta, logs de acceso e IPs durante al menos 12 meses (puede ser más en casos de cuentas activas)
• Google (YouTube): política similar a Meta, conservación de al menos 12-18 meses
• Twitter/X: política de retención menos clara desde los cambios de Musk; se recomienda actuar rápido
• TikTok: cumple con DSA y RGPD, conservación mínima de 12 meses
• LinkedIn: Microsoft conserva datos durante al menos 12 meses

Conclusión: tienes una ventana de 12 meses desde la creación (o último acceso) del perfil falso para que un requerimiento judicial pueda obtener datos útiles. No pierdas tiempo.

18. ¿Puede un perito acceder directamente a los datos del perfil falso sin requerimiento judicial?

No. Un perito solo puede acceder a información públicamente disponible del perfil falso (lo que cualquier usuario puede ver sin ser amigo/seguidor). Para acceder a datos internos (IP de creación, email de registro, logs de acceso, mensajes privados), se necesita un requerimiento judicial emitido por un juez instructor. Lo que el perito hace es capturar y certificar toda la información pública disponible, y recomendar al juez qué datos específicos solicitar a la plataforma.

19. ¿Es posible recuperar un perfil falso que ya fue eliminado para obtener evidencia?

No directamente. Una vez que la plataforma elimina un perfil, el contenido público desaparece. Sin embargo:

1. La plataforma conserva los datos internos (IP, email, logs) durante al menos 12 meses
2. Google Cache puede tener una copia cacheada del perfil si era público
3. Wayback Machine (archive.org) puede haber archivado el perfil
4. Servicios de monitorización como Social Blade pueden tener estadísticas históricas del perfil
5. Los contactos que interactuaron con el perfil falso pueden tener mensajes conservados en sus dispositivos
6. Las notificaciones por email de la plataforma sobre el reporte y eliminación son evidencia

20. ¿Qué diferencia hay entre certificación forense y fe pública notarial para capturar un perfil falso?

Ambas son válidas, pero tienen diferencias importantes:

Mi recomendación: si solo necesitas certificar que el perfil existe (caso simple), un acta notarial puede ser suficiente y más económica. Si necesitas análisis técnico, identificación del suplantador, o preparar un informe para juicio, necesitas un perito forense. En casos complejos, la combinación de ambos (acta notarial + informe pericial) es la más robusta.

21. ¿Puedo exigir a Instagram/Facebook/Twitter que me digan quién creó el perfil falso?

No directamente. Las plataformás no proporcionan datos de sus usuarios a particulares, solo a autoridades judiciales mediante requerimiento judicial. Lo que sí puedes hacer es:

1. Reportar el perfil para que sea eliminado (esto sí puedes hacerlo directamente)
2. Solicitar tus propios datos si la plataforma tiene datos tuyos que se usan ilícitamente (derecho de acceso RGPD art. 15)
3. Reclamar ante la AEPD para que la plataforma elimine tus datos del perfil falso (derecho de supresión RGPD art. 17)

Para obtener los datos del creador del perfil (IP, email), necesitas una denuncia penal y que el juez emita un requerimiento judicial a la plataforma. Este es el único mecanismo legal para obtener esa información.

22. ¿Cuál es la probabilidad real de que identifiquen al suplantador?

Basándome en mi experiencia con 47 casos peritados:

• Con peritaje forense + requerimiento judicial, suplantador en España sin VPN: 60-70 % de identificación
• Con peritaje forense + requerimiento judicial, suplantador en España con VPN: 15-25 %
• Sin peritaje forense: 10-15 % (la policía tiene recursos limitados para investigar sin evidencia técnica)
• Suplantador fuera de la UE: 5-15 % (cooperación judicial internacional es lenta y no siempre fructífera)
• Suplantador dentro de la UE: 30-50 % (OEI funciona razonablemente bien)

El peritaje forense multiplica por 4-5 la probabilidad de identificar al suplantador en comparación con denunciar sin evidencia técnica.

23. ¿Qué pasa con las cuentas de empresa o marca? ¿Es diferente la denuncia?

Sí, hay diferencias:

• La suplantación de marca puede encuadrarse en el art. 274 CP (delitos contra la propiedad industrial) si la marca está registrada en la OEPM
• La Ley 3/1991 de Competencia Desleal permite acciones civiles contra el competidor que suplanta tu marca
• Las plataformás tienen procesos de reporte específicos para marcas (Meta Brand Rights Protection, Twitter Brand Violations)
• Si la marca está registrada como marca comunitaria (EUIPO), la protección se extiende a toda la UE

24. ¿Los seguros de ciberriesgo cubren los gastos de peritaje por suplantación?

Cada vez más pólizas de ciberriesgo incluyen cobertura para gastos de respuesta a incidentes de suplantación de identidad. Algunas pólizas cubren:

• Gastos de peritaje informático forense
• Gastos de abogado especializado
• Gastos de comunicación de crisis (para empresas)
• Indemnización por pérdida de beneficios derivada de la suplantación
• Gastos de monitorización post-incidente

Revisa tu póliza o consulta con tu corredor de seguros. Si eres una empresa, la inversión en un seguro de ciberriesgo con cobertura de suplantación (desde 500 €/año para PYMEs) es muy inferior al coste potencial de un incidente no cubierto.

25. ¿Cuánto tarda un perito en certificar un perfil falso?

Para una certificación urgente de un único perfil falso en una plataforma:

• Evaluación inicial: 30-60 minutos
• Adquisición forense del perfil: 1-3 horas (dependiendo del volumen de contenido)
• Generación de hashes y sellos de tiempo: 30 minutos
• Documentación y acta de adquisición: 1-2 horas
• Total: 3-6 horas de trabajo técnico, entregable en 24-48 horas

Para un informe pericial completo con análisis e investigación, el tiempo sube a 20-40 horas distribuidas en 1-2 semanas.

Tendencias 2026-2027: hacia dónde va la suplantación de identidad

Basándome en los patrones que observo en mi práctica forense y en los informes de Europol, ENISA e INCIBE, estas son las tendencias que anticipo para los próximos 12-18 meses en materia de suplantación de identidad en redes sociales.

1. Suplantación con IA generativa se convertirá en la norma

En 2025, la mayoría de suplantaciones que perité usaban fotos robadas de la víctima. En 2026, estoy viendo un aumento significativo del uso de IA para generar fotos de perfil que se parecen a la víctima pero no son copias exactas de ninguna foto suya. Para 2027, preveo que la mayoría de suplantaciones sofisticadas usarán fotos generadas por IA, lo que complicará significativamente la detección y la prueba.

Implicación forense: necesitamos herramientas de detección de IA cada vez más avanzadas, y los tribunales necesitarán formación para entender qué es una imagen generada por IA y por qué su uso en un perfil falso constituye suplantación.

2. Clonación de voz en tiempo real

La tecnología de clonación de voz ya permite generar voz sintética en tiempo real con solo 10 segundos de muestra. Para 2027, preveo que los suplantadores usarán voz clonada no solo en notas de voz sino en llamadas telefónicas en tiempo real y videollamadas con deepfake + voz clonada simultáneos.

Implicación forense: el análisis de espectrograma y las herramientas de detección de voz sintética se convertirán en parte estándar del kit del perito forense.

3. Suplantación multimodal y multiplataforma

Los suplantadores operarán cada vez más en múltiples plataformás simultáneamente con perfiles coordinados (Instagram + LinkedIn + web propia + dominio de email personalizado). Esta suplantación “360 grados” es mucho más convincente y mucho más difícil de desmontar.

Implicación forense: los peritajes multicanal serán más frecuentes y más complejos, requiriendo correlación cruzada entre 3-5 plataformás y análisis de dominios web.

4. Automatización de la suplantación

Las herramientas de IA permiten automatizar la creación de perfiles falsos a escala. Un suplantador puede generar cientos de perfiles falsos de una misma persona en diferentes plataformás en minutos, usando scripts automatizados con proxies rotatorios para evitar la detección.

Implicación forense: necesitaremos herramientas de detección a escala (network analysis, análisis de patrones de creación de cuentas) y cooperación más estrecha con las plataformás para detectar patrones de creación masiva.

5. El DSA empieza a tener efecto real

El Digital Services Act obligará a las plataformás a responder más rápido a reportes de suplantación y a proporcionar más datos a las autoridades judiciales. Las primeras multas significativas bajo el DSA (esperadas para 2026-2027) establecerán precedentes importantes.

Implicación para víctimas: los tiempos de respuesta de las plataformás deberían mejorar, y las reclamaciones contra plataformás que no actúen con diligencia serán más viables.

6. Verificación de identidad como estándar

Preveo que la verificación de identidad (badge verificado vinculado a documento de identidad) se convertirá en el estándar en todas las plataformás principales. Instagram, Facebook, LinkedIn y TikTok ya la ofrecen en diferentes grados. Para 2027, los perfiles no verificados serán tratados con más sospecha tanto por los usuarios como por las plataformas.

Implicación práctica: verifica tu identidad en TODAS las plataformás que lo ofrezcan. Es tu mejor defensa preventiva contra la suplantación.

7. Inteligencia artificial contra inteligencia artificial

Las mismás herramientas de IA que facilitan la suplantación también se usarán para detectarla. Meta ya utiliza algoritmos de IA para detectar perfiles falsos (691 millones eliminados en Q4 2025). Estos algoritmos se volverán más sofisticados, detectando no solo fotos generadas por IA sino también patrones de comportamiento de cuentas suplantadoras.

Implicación para peritos: las herramientas de detección de IA forense evolucionarán rápidamente. Mantenerse actualizado será imprescindible.

8. Suplantación de identidad digital descentralizada

Con el auge de las plataformás descentralizadas (Mastodon, Bluesky, Nostr), la suplantación se expandirá a ecosistemás donde no hay una autoridad central que pueda eliminar perfiles falsos. La moderación descentralizada presenta desafíos nuevos tanto para las víctimás como para los peritos.

Implicación forense: la certificación de evidencia en plataformás descentralizadas requerirá nuevas metodologías, ya que no hay un “Meta” al que solicitar datos del creador del perfil. En plataformás como Mastodon, los datos del usuario están en la instancia específica (servidor) donde se registró, y cada instancia tiene su propia política de conservación de datos y cooperación con autoridades. Para Nostr (protocolo criptográfico), la identificación del usuario depende de las claves públicas y de los relays que use, añadiendo otra capa de complejidad técnica.

9. Aumento de la suplantación profesional con fines de espionaje corporativo

LinkedIn, GitHub, ResearchGate y plataformás profesionales se están convirtiendo en vectores de suplantación para espionaje industrial. Atacantes patrocinados por estados (APT) crean perfiles falsos de investigadores o directivos para contactar a empleados de empresas objetivo y obtener información confidencial, instalar malware o establecer relaciones de confianza para futuros ataques.

Ejemplo documentado: en 2025, el grupo APT vinculado a Corea del Norte conocido como Lazarus creó más de 200 perfiles falsos de reclutadores de empresas tecnológicas en LinkedIn para distribuir malware a candidatos que descargaban “pruebas técnicas” infectadas.

Implicación forense: la suplantación profesional con fines de espionaje requiere un análisis más profundo que la suplantación personal. El perito necesita investigar no solo quién está detrás del perfil sino qué información buscaba obtener y si logró acceder a datos confidenciales de la empresa.

Mi predicción personal

La suplantación de identidad en redes sociales se va a multiplicar por 3-5 en los próximos 3 años. La IA reduce drásticamente la barrera de entrada para los suplantadores, y las plataformás no están avanzando lo suficientemente rápido en protección.

La buena noticia es que el marco legal (art. 401 CP + DSA + AI Act + RGPD) es cada vez más robusto, y las herramientas forenses de detección evolucionan en paralelo. La mala noticia es que la mayoría de víctimás siguen sin saber cómo actuar correctamente.

Por eso he escrito esta guía: para que cuando te toque (y estadísticamente, a alguno de los lectores le tocará), sepas exactamente qué hacer.

Glosario de términos técnicos

Para facilitar la comprensión de esta guía, aquí explico los términos técnicos más utilizados:

Para definiciones más detalladas de estos y otros términos, visita nuestro glosario de ciberseguridad y peritaje forense.

Preguntas relacionadas

Si te interesa este tema, estas guías relacionadas pueden ayudarte:

• Cómo certificar amenazas en redes sociales para un juicio en España — proceso forense para certificar insultos, amenazas y acoso online con validez judicial
• Peritaje WhatsApp para despido laboral: guía completa — cómo certificar conversaciones de WhatsApp como prueba en procedimientos laborales
• Deepfakes IA y fraude empresarial: detección forense — detección forense de vídeos y audios falsos generados con inteligencia artificial
• Cómo presentar WhatsApp como prueba judicial — guía completa para validar conversaciones de WhatsApp en juicio
• Guía para abogados: WhatsApp como prueba judicial — cómo un abogado puede usar WhatsApp como prueba en procedimientos judiciales
• Ciberviolencia de género: peritaje forense — peritaje forense especializado en casos de ciberviolencia y acoso digital

Referencias y fuentes

1. INCIBE. (2026). Balance de Ciberseguridad 2025. Instituto Nacional de Ciberseguridad de España. https://www.incibe.es/incibe/sala-de-prensa/incibe-gestiono-mas-83000-incidentes-ciberseguridad-2024

2. Meta Platforms. (2026). Community Standards Enforcement Report Q4 2025. Meta Transparency Center. https://transparency.meta.com

3. Europol. (2025). Internet Organised Crime Threat Assessment (IOCTA) 2025. European Union Agency for Law Enforcement Cooperation. https://www.europol.europa.eu/iocta

4. Fiscalía General del Estado. (2026). Memoria Anual 2025 — Sección de Criminalidad Informática. Ministerio de Justicia de España. https://www.fiscal.es

5. Consejo General del Poder Judicial. (2026). Estadística Judicial — Datos de Justicia 2025. https://www.poderjudicial.es/cgpj/es/Temas/Estadistica-Judicial/

6. Agencia Española de Protección de Datos (AEPD). (2026). Memoria Anual 2025. https://www.aepd.es

7. Parlamento Europeo y Consejo. (2022). Reglamento (UE) 2022/2065 (Digital Services Act). Diario Oficial de la Unión Europea. https://eur-lex.europa.eu

8. Parlamento Europeo y Consejo. (2024). Reglamento (UE) 2024/1689 (AI Act). Diario Oficial de la Unión Europea. https://eur-lex.europa.eu

9. Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Art. 197, 248, 401. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444

10. Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. https://www.boe.es/buscar/act.php?id=BOE-A-1982-11196

11. Reglamento (UE) 2016/679 (RGPD). Reglamento General de Protección de Datos. https://eur-lex.europa.eu

12. Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE). Art. 12. https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758

13. Tribunal Supremo. STS 300/2015, de 19 de mayo. Sala de lo Penal. Doctrina sobre prueba digital y capturas de pantalla. https://www.poderjudicial.es

14. Tribunal Supremo. STS 754/2015, de 27 de noviembre. Sala de lo Penal. Requisitos para la admisibilidad de comunicaciones electrónicas como prueba. https://www.poderjudicial.es

15. Anti-Phishing Working Group (APWG). (2026). Phishing Activity Trends Report Q4 2025. https://apwg.org

16. LinkedIn. (2025). LinkedIn Safety Report 2025. https://safety.linkedin.com

17. Twitter/X. (2025). Transparency Report 2025. https://transparency.twitter.com

18. TikTok. (2025). Community Guidelines Enforcement Report Q4 2025. https://www.tiktok.com/transparency

19. Eurobarómetro. (2025). Eurobarómetro Especial: Ciberdelincuencia 2025. Comisión Europea. https://europa.eu/eurobarometer

20. ISO/IEC 27037:2012. Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence. International Organization for Standardization.

21. RFC 3161. Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). Internet Engineering Task Force (IETF). https://tools.ietf.org/html/rfc3161

22. Policía Nacional. (2026). BITAR — Brigada de Investigación Tecnológica. https://www.policia.es

23. Guardía Civil. (2026). GDT — Grupo de Delitos Telemáticos. https://www.guardiacivil.es/es/servicios/delitostecnologicos/

24. ENISA. (2025). ENISA Threat Landscape 2025 — Identity Theft and Social Engineering. European Union Agency for Cybersecurity. https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends

25. Ministerio del Interior. (2026). Estudio sobre la cibercriminalidad en España 2025. Secretaría de Estado de Seguridad. https://www.interior.gob.es

26. Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. https://www.boe.es/buscar/act.php?id=BOE-A-2000-641

27. Ley 3/1991, de 10 de enero, de Competencia Desleal. https://www.boe.es/buscar/act.php?id=BOE-A-1991-628

28. Ley Orgánica 1/2004, de 28 de diciembre, de Medidas de Protección Integral contra la Violencia de Género. https://www.boe.es/buscar/act.php?id=BOE-A-2004-21760

29. Directiva 2014/41/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal. https://eur-lex.europa.eu

30. Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea. https://www.boe.es

31. Sentencia de la Audiencia Provincial de Barcelona 145/2019 (Sección 6), sobre usurpación de estado civil mediante perfil falso de Instagram.

32. Sentencia de la Audiencia Provincial de Madrid 267/2020 (Sección 23), sobre suplantación de identidad en Facebook con fines difamatorios.

33. Sentencia de la Audiencia Provincial de Valencia 89/2022 (Sección 2), sobre suplantación profesional en LinkedIn.

34. Sentencia de la Audiencia Provincial de Málaga 156/2024 (Sección 9), sobre suplantación de empresa en Instagram por exempleado.

35. Stanford Internet Observatory. (2025). Deepfake Detection: Current State and Future Challenges. Stanford University. https://cyber.fsi.stanford.edu

Metodología de este artículo

Para garantizar la precisión y utilidad de esta guía, he seguido este proceso:

1. Experiencia directa: los datos sobre tiempos de respuesta de plataformas, tasas de éxito de identificación y patrones de suplantación provienen de mi experiencia peritando más de 47 casos de suplantación de identidad entre 2023 y 2026.

2. Fuentes oficiales verificadas: todas las estadísticas están referenciadas a fuentes oficiales (INCIBE, Europol, CGPJ, Fiscalía General del Estado, informes de transparencia de las plataformas). Los números de casos y las cifras de cuentas eliminadas provienen de informes públicos.

3. Marco legal actualizado: los artículos del Código Penal, RGPD, LSSI, DSA y AI Act están verificados con la legislación vigente a marzo de 2026. La jurisprudencia citada incluye sentencias publicadas en bases de datos jurídicas oficiales.

4. Casos anonimizados: los 8 casos prácticos están basados en casos reales peritados por mí, con datos anonimizados para proteger la confidencialidad. Las cifras económicas y los resultados judiciales son reales.

5. Revisión periódica: esta guía se actualiza periódicamente para reflejar cambios en la legislación, en las políticas de las plataformás y en las técnicas forenses. La fecha de última actualización aparece al final del artículo.

Resumen final: lo que debes recordar

Si solo te llevas 5 puntos de esta guía de más de 3.000 líneas, que sean estos:

1. PRIMERO certifica, DESPUÉS reporta. Nunca reportes un perfil falso a la plataforma antes de certificar la evidencia forense. Es el error más frecuente y más devastador.

2. La suplantación de identidad es delito en España. El art. 401 del Código Penal castiga la usurpación de estado civil con pena de prisión de 6 meses a 3 años. Tienes derecho a denunciar y a obtener justicia.

3. Las capturas de pantalla NO son prueba suficiente. Los tribunales españoles exigen informe pericial informático para que la evidencia digital tenga pleno valor probatorio (STS 300/2015, STS 754/2015).

4. Actúa en las primeras 24 horas. La evidencia digital es volátil: puede desaparecer en cualquier momento si el suplantador borra el perfil, la plataforma lo elimina, o el contenido caduca. Cada hora cuenta.

5. Un peritaje forense multiplica por 5 la probabilidad de identificar al suplantador. Sin evidencia técnica, la policía tiene muy poco con lo que trabajar. Con un informe pericial, el caso tiene un recorrido judicial real.

Si estás sufriendo una suplantación de identidad en redes sociales ahora mismo, deja de leer esta guía y contacta conmigo. El tiempo es tu recurso más valioso.

Servicios relacionados

Si has llegado hasta aquí, estos servicios y guías pueden ayudarte directamente:

Servicios de peritaje:

• Peritaje de redes sociales — certificación forense de contenido en Instagram, Facebook, Twitter, TikTok y LinkedIn
• Peritaje de ciberbullying — peritaje especializado en casos de acoso digital y ciberacoso escolar
• Peritaje de WhatsApp — certificación forense de conversaciones de WhatsApp para juicio
• Informes periciales — informes periciales informáticos para procedimientos judiciales
• Análisis forense digital — análisis forense completo de dispositivos y evidencia digital

Guías relacionadas:

• Cómo certificar amenazas en redes sociales para un juicio — proceso forense para acoso e insultos online
• Deepfakes IA y fraude empresarial — detección de vídeos y audios falsos
• Ciberviolencia de género: peritaje forense — peritaje en casos de violencia digital
• Cadena de custodía digital: guía ISO 27037 — estándares de preservación de evidencia
• Evidencia digital admisible en juicio — requisitos legales para pruebas digitales

Términos del glosario relevantes:

• Suplantación de identidad digital — definición técnica y marco legal completo
• Ingeniería social — técnicas de manipulación usadas por suplantadores
• Credential harvesting — cómo los atacantes roban contraseñas
• Cadena de custodia — fundamentos de la preservación de evidencia

Contacto directo:

• Consulta gratuita por videollamada — 30 minutos sin compromiso
• WhatsApp: 624 09 37 96
• Teléfono: 624 09 37 96
• Email: [email protected]

Artículo escrito por Jonathan Izquierdo, perito informático forense especializado en evidencia digital y redes sociales. Con experiencia como Ex-CTO, 5 veces certificado AWS, y metodología ISO 27037 aplicada a todos los peritajes. Si necesitas certificar un perfil falso o denunciar una suplantación de identidad, contacta conmigo para una consulta gratuita.

Cobertura nacional: Jaén, Madrid, Barcelona, Sevilla, Valencia, Málaga, Bilbao, Zaragoza y toda España por videollamada.

Disponibilidad: servicio de certificación urgente en menos de 24 horas. Contacta por WhatsApp al 624 09 37 96 o por email.

Última actualización: 16 de marzo de 2026