Suplantación de identidad en la era de las tecnologías

Con el avance de las tecnologías la suplantación de identidad a través del acceso a equipos informáticos e internet constituye una de las modalidades más preocupantes de ciberdelincuencia en la actualidad.

Este fenómeno se enmarca dentro de los delitos informáticos y se distingue por la utilización indebida de herramientas tecnológicas para hacerse pasar por otra persona o entidad, con el propósito de obtener datos confidenciales, realizar operaciones fraudulentas o llevar a cabo otros actos ilícitos.

La evolución de estas prácticas delictivas plantea desafíos significativos tanto en el ámbito legal como tecnológico, requiriendo de las instituciones y los usuarios una mayor sensibilización y la implementación de medidas preventivas para reducir sus impactos. 

¿Cómo nos pueden suplantar la identidad a través de las nuevas tecnologías?

Hay muchos tipos de técnicas para la suplantación de identidad a través de las TIC entre las más utilizadas están las siguientes:

• Voice hacking (deepfake de voz)

¿Qué permite hacer a los delincuentes?

• Hacer llamadas o enviar mensajes de audio suplantando a una persona de confianza (familiar, directivo, etc.).
• Acceder o interactuar con asistentes de voz y dispositivos IoT, ejecutando comandos no autorizados.

• Vishing: estafa telefónica en la que el delincuente, por llamada, se hace pasar por una entidad legítima (banco, empresa, administración) para obtener datos confidenciales.
• Suplantación de identidad por voz: uso de software de clonación para reproducir la voz de un tercero y engañar a víctimas (familiares, empleados, directivos).
• Ataques a asistentes de voz y dispositivos IoT: utilización de órdenes de voz (auténticas o clonadas) para abrir puertas, operar sistemas de seguridad, realizar compras, etc.

• Desconfianza de llamadas de números desconocidos.
• Cambio regular de contraseñas.
• Configuración de la autenticación de voz.
• Evitar el uso de asistentes de voz en público.
• Mantener los dispositivos actualizados.

• Spoofing

Esta es una técnica de ciberataque en la que participan tres elementos:

• El atacante.
• La víctima.
• Un sistema o entidad falsificada (página web, email, IP, etc.).

El modus operandi típico es que el atacante envía un correo o mensaje que parece legítimo (por ejemplo, de una red social o banco) alertando de un problema e instando a la víctima a cambiar su contraseña o introducir datos a través de un enlace. El enlace lleva a una página falsa donde la víctima entrega sus credenciales, que el atacante captura.

Las modalidades más destacadas son las siguientes:

• Spoofing de página web:
• Creación de una web falsa que imita a la real para robar datos sensibles.
• Defensa: comprobar cuidadosamente la URL, presencia de https, certificados digitales, etc.
• Spoofing de correo electrónico:
• Falsificación de la dirección del remitente (parece ser de un contacto o entidad confiable).
• Finalidad: obtención de datos, distribución de malware, etc.
• Defensa: firma digital, cifrado, atención al contenido y al estilo del mensaje.
• Spoofing de dirección IP:
• Falseamiento de la IP de origen para saltarse filtros y lanzar, entre otros, ataques DDoS.

El elemento común en todos ellos es que se aprovecha la apariencia de legitimidad para vencer las barreras de desconfianza del usuario.

• Suplantación de identidad telefónica (vishing) y responsabilidad bancaria

El vishing es una modalidad de estafa basada en una ingeniería social por vía telefónica. El delincuente se hace pasar por banco, empresa o administración, genera una situación de urgencia o alarma y obtiene datos o códigos que permiten operar en cuentas, validar operaciones o tomar control de servicios.

Un caso reciente y a modo de ejemplo, lo encontramos en la sentencia de la Audiencia Provincial de Asturias n.º 509/2025, de 30 de octubre, ECLI:ES:APO:2025:3611, que resuelve un recurso de apelación interpuesto por una clienta de una entidad bancaria contra la sentencia de primera instancia que había desestimado su demanda contra la entidad bancaria por operaciones bancarias no autorizadas.

La clienta, titular de una cuenta de ahorro y una tarjeta de crédito, fue víctima de una estafa. Recibió un SMS fraudulento que simulaba ser de la entidad bancaria con el siguiente texto: «AVISO: Compra por 990.00 euros aprobada por defecto en 1 hora. Si no ha sido usted procede a cancelarla inmediatamente aquí: https://bankinter.es-acceso seguro.com».

La usuaria, por tanto, accedió al enlace proporcionado y facilitó credenciales y códigos de autentificación reforzada. Todo ello permitió la realización de 6 pagos por un total de 2.940 euros mediante el método Hal-Cash y una compra de 1.008,71 euros. La demandante presentó denuncias ante la policía los días posteriores y reclamó judicialmente la devolución de 3.948,71 euros.

En un primer momento el juzgado de primera instancia desestimó la demanda, argumentando que la conducta de la demandante constituía negligencia gravé y exoneró a la entidad bancaria de toda responsabilidad.

Por su parte, la audiencia analiza el caso bajo el marco normativo de la Directiva (UE) 2015/2366, de 25 de noviembre de 2015 y el Real Decreto-ley 19/2018, de 23 de noviembre, que regulan los servicios de pago. Así, según la normativa, el proveedor de servicios de pago debe rectificar operaciones no autorizadas si el usuario las notifica sin demora injustificada. Además, la carga de la prueba recae sobre el proveedor. quien debe demostrar que la operación fue autenticada y registrada correctamente.

La sentencia concluye que la documenta de la usuaria de la entidad bancaria no puede calificarse como negligencia grave, ya que fue inducida al error por una estafa elaborada. La similitud del enlace fraudulento con la web oficial de la entidad bancaria y la actuación de los estafadores no permitieron a la demandante detectar el fraude. Asimismo, se descarta que el registro de las operaciones por parte del banco sea suficiente para demostrar que fueron autorizadas por la usuaria.

Por lo tanto, la audiencia estima el recurso de apelación, revoca la sentencia de primera instancia y condena a la entidad bancaria a abonar a la clienta la cantidad de 3.948,71 euros.

Otro ejemplo lo encontramos en la sentencia de la Audiencia Provincial de Valencia n.º 325/2025, de 4 de junio, ECLI:ES:APV:2025:1189, en este caso el cliente recibe una llamada que simula ser del departamento de ciberseguridad de su banco y le solicitan un código SMS, que el cliente facilita; con él, se realiza una transferencia no autorizada de 5.000 €. Como en el caso anterior, la entidad alega negligencia grave del cliente por revelar sus claves y pretende exonerarse basándose en el contrato de banca a distancia.

Si bien, la audiencia entiende que se trata de un fraude cometido con técnicas sofisticadas que generan una apariencia de veracidad razonable, además la entidad no acredita ni la negligencia grave del cliente ni cómo se vulneraron sus datos.

Así, con estas dos sentencias se reafirma la responsabilidad de las entidades bancarias en fraudes electrónicos derivados de phishing/vishing, cuando no logran probar la negligencia grave del usuario.

• SIM swapping

Este tipo de suplantación implica la expedición indebida de una tarjeta SIM a favor de un tercero que suplanta la identidad del titular ante la operadora. Esta tarjeta SIM contiene:

• La clave de servicio del suscriptor.
• El IMSI (código de identificación del abonado en la red móvil).

El modus operandi consiste en quien obtiene la SIM se apropia, en la práctica, de la línea telefónica y de la identidad en la red:

• Puede recibir SMS de verificación (2FA).
• Puede acceder a servicios vinculados al número.
• Hay pérdida de confidencialidad, al transmitirse datos a un tercero ilegítimo.

Un ejemplo lo encontramos en la sentencia de la Audiencia Nacional SAN, rec. 794/2022, de 24 de mayo de 2024, ECLI:ES:AN:2024:2485, que analiza la expedición inadecuada de una SIM a un tercero y la consiguiente vulneración de la confidencialidad y seguridad de los datos del titular.

• Suplantación de identidad a través de redes sociales

• Audiencia Provincial de Valladolid n.º 58/2011, de 9 de marzo, ECLI:ES:APVA:2011:320:

La Audiencia examina la relación de causalidad entre la acción de suplantación y los daños y concluye que los terceros actuaron impulsados por la conducta de la suplantadora, que los utilizó como instrumentos para causar un daño moral a la víctima. Se destaca una vinculación directa y exclusiva entre la acción de suplantar/publicar e insultar y el proceso de victimización, justificando la indemnización.

• Audiencia Provincial de Segovia n.º 32/2011, de 24 de mayo, ECLI:ES:APSG:2011:117:

En conclusión, en estos ejemplos, la suplantación en redes sociales produce:

• Ataques a la honra y dignidad.
• Situaciones de acoso, hostigamiento y exclusión social.
• Daños psicológicos indemnizables.

En conclusión, la suplantación de identidad en la era tecnológica representa una modalidad especialmente grave de ciberdelincuencia, amparada en sofisticadas técnicas como las analizadas voice hacking, spoofing, vishing, SIM swapping y suplantaciones a través de redes sociales. La naturaleza digital de estas prácticas exige una actuación conjunta por parte de usuarios, operadores y entidades, tanto en el ámbito de la prevención como en el de la respuesta jurídica.

Como hemos analizado, la jurisprudencia reciente reitera la responsabilidad de las entidades bancarias en operaciones no autorizadas cuando no logran acreditar la negligencia grave del usuario, y destaca asimismo la protección judicial frente a daños morales y patrimoniales causados por la suplantación en entornos sociales. El marco normativo y la creciente intervención de los tribunales confirman la necesidad de fortalecer medidas de seguridad, sensibilización y tutela legal para afrontar los retos derivados de estas nuevas formas de delincuencia.