Imagina que un día descubres un perfil en redes sociales con tus fotos y tus datos personales, pero no lo has creado tú. Esa sensación de vulnerabilidad y desconcierto es el primer impacto de la suplantación de identidad, un delito cada vez más frecuente tanto en Internet como fuera de él. Alguien puede usar tu identidad para engañar a otros, contratar servicios, acceder a información privada o incluso cometer fraudes económicos en tu nombre.
Contenidos
Más allá del daño emocional, estas acciones pueden tener graves consecuencias legales y financieras. Por eso, conocer cómo funciona este delito y qué pasos tomar resulta fundamental para proteger tu reputación y tu seguridad.
¿Qué es el delito de suplantación de identidad?
El delito de suplantación de identidad se produce cuando una persona se hace pasar por otra con el fin de obtener algún beneficio o engañar a terceros.
Por ejemplo, ocurre cuando alguien crea un perfil falso en redes sociales utilizando tus fotos y tu nombre, envía correos electrónicos haciéndose pasar por ti, accede a tus cuentas bancarias o firma documentos en tu nombre sin autorización.
¿Qué dice el código penal sobre la suplantación de identidad?
En el Código Penal, no existe un artículo que use literalmente el término “suplantación de identidad”, pero esta conducta puede castigarse a través de distintas figuras delictivas, según cómo se cometa:
- Usurpación del estado civil (artículo 401 del Código Penal): se aplica cuando alguien se hace pasar por otra persona de forma continuada y con relevancia legal o social.
- Delitos de descubrimiento y revelación de secretos (artículos 197 y siguientes): si para suplantar se accede a contraseñas o datos personales sin permiso.
- Falsedad documental (artículos 390 y siguientes): cuando se manipulan o crean documentos falsos para hacerse pasar por otra persona.
- Estafa o estafa informática (artículo 248): si se usa la identidad ajena para engañar y obtener dinero o beneficios económicos.
En el ámbito digital, también puede vulnerarse la Ley Orgánica de Protección de Datos (LOPDVDD) si se difunden o tratan datos personales sin autorización.
¿Cuáles son las consecuencias de suplantar una identidad?
Suplantar a otra persona ya sea en internet o fuera de él no es un único delito, sino un conjunto de conductas que, según cómo se ejecuten, encajan en tipos penales distintos con consecuencias muy diferentes. Cuando alguien adopta la identidad ajena de forma persistente y con trascendencia jurídica o social, la vía típica es la usurpación del estado civil del artículo 401 del Código Penal: aquí la condena prevista es prisión de seis meses a tres años, sin necesidad de que se acredite un perjuicio económico concreto; basta con la apropiación del “ser jurídico” de otro y su proyección ante terceros.
Si para suplantar se accede a cuentas o bases de datos, entran en juego los delitos de descubrimiento y revelación de secretos y los ciberdelitos anexos. El artículo 197.1 sanciona el apoderamiento de comunicaciones o documentos personales con prisión de uno a cuatro años y multa de doce a veinticuatro meses; el artículo 197.2 castiga del mismo modo el acceso o uso de datos personales almacenados en ficheros o sistemas, incluso cuando sólo se consultan sin descargarlos, siempre que exista perjuicio de tercero.
Si, tras obtenerlos, el suplantador difunde o cede los datos o imágenes, el artículo 197.3 eleva la respuesta a prisión de dos a cinco años; y si esa difusión la realiza quien conoce el origen ilícito pero no participó en la intrusión, la pena es prisión de uno a tres años y multa de doce a veinticuatro meses.
Cuando la intromisión parte de responsables de ficheros o se utilizan no autorizadamente los propios datos de la víctima (típico para abrir perfiles o contratar servicios), el artículo 197.4 agrava a prisión de tres a cinco años, con aplicación de la mitad superior si además hay difusión. Afectar datos sensibles —ideología, salud, vida sexual, origen racial— o atacar a menores o personas con discapacidad coloca la pena en la mitad superior (art. 197.5). Y si todo ello persigue lucro, las penas de los apartados 1 a 4 se imponen en mitad superior; si, además, concurren datos sensibles o víctimas vulnerables, el marco asciende a prisión de cuatro a siete años (art. 197.6).
A esto se suma el artículo 197 bis: el acceso no autorizado a sistemas —vulnerando medidas de seguridad— se castiga con prisión de seis meses a dos años, y la interceptación de transmisiones no públicas de datos con prisión de tres meses a dos años o multa de tres a doce meses.
Por último, compartir sin permiso imágenes íntimas obtenidas con anuencia en ámbitos privados, figura muchas veces ligada a suplantaciones para dañar la reputación, comporta prisión de tres meses a un año o multa de seis a doce meses, con agravaciones por vínculo afectivo, minoría de edad, discapacidad o fines lucrativos (art. 197.7). En conjunto puede llegar, con agravantes, a siete años de prisión.
Cuando la identidad usurpada se utiliza para obtener ventajas patrimoniales —compras, créditos, transferencias, altas fraudulentas— la conducta encaja en estafa. El tipo básico del artículo 249 fija para la estafa prisión de seis meses a tres años (o multa de uno a tres meses si lo defraudado no supera 400 euros), con individualización atendiendo a la cuantía, el quebranto, la relación con la víctima y los medios empleados.
Si concurren circunstancias cualificadas del artículo 250.1 —por ejemplo, afectar bienes de especial utilidad social, abuso de firma, especial gravedad por número de perjudicados o la entidad del fraude— la pena sube a prisión de uno a seis años y multa de seis a doce meses. Y cuando se acumulan al menos dos de esas agravantes o el fraude supera 250.000 euros, opera el agravante del artículo 250.2 con prisión de cuatro a ocho años y multa de doce a veinticuatro meses.
Si para suplantar se fabrican o emplean documentos falsos —DNI manipulado, nóminas ficticias, certificados, contratos o poderes—, se activa la falsedad documental. La autoridad o funcionario que falsifica en documento público u oficial afronta prisión de tres a seis años, multa de seis a veinticuatro meses e inhabilitación especial de dos a seis años (art. 390.1). El particular que comete falsedad en documento público, oficial o mercantil recibe prisión de seis meses a tres años y multa de seis a doce meses (art. 392.1).
La falsificación en documento privado se sanciona con prisión de seis meses a dos años (art. 395), y usar un documento falso —sin ser su autor— conlleva la pena inferior en grado respecto de la prevista al falsificador (art. 396).
A todo lo anterior se añaden consecuencias accesorias relevantes. En el bloque del artículo 197, si el delito se comete desde una organización o grupo criminal, las penas pasan al grado superior (art. 197 quater), y cuando responde una persona jurídica —por ejemplo, una empresa que tolera o impulsa captaciones de datos para suplantar— es imponible multa de seis meses a dos años, además de las sanciones del artículo 33.7 (prohibición de actividades, clausura de locales, etc.) conforme al artículo 197 quinquies.
¿Cuales son las multas por suplantación de identidad?
Las multas por suplantación de identidad en España varían según cómo se haya cometido el delito y qué leyes se hayan infringido. No existe una única sanción fija, sino que las consecuencias económicas dependen de si el caso se tramita por la vía penal, civil o administrativa.
Multas en el ámbito penal.
Cuando la suplantación se considera delito, puede acarrear penas de prisión y multas económicas. Las sanciones se fijan según la gravedad y el daño causado.
En España, las multas penales por meses se calculan con una cantidad diaria que puede oscilar entre 2 y 400 euros por día, dependiendo de la capacidad económica del condenado.
Por ejemplo, una multa de 12 meses a 10 € diarios serían 3.600 €; si el juez fija 50 € diarios, serían 18.000 €.
Multas administrativas (Protección de Datos)
Si la suplantación implica uso indebido o difusión de datos personales, puede intervenir la Agencia Española de Protección de Datos (AEPD) aplicando sanciones del RGPD y la LOPDGDD.
Las multas pueden ser muy elevadas:
- Hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial (para empresas).
- En personas físicas, las sanciones suelen ser de miles de euros, según la gravedad y el perjuicio causado.
Por ejemplo, se ha sancionado con una multa de 5.000 euros a una persona que creó un perfil falso en redes sociales utilizando fotografías y datos personales de otra, simulando ser ella para interactuar con terceros sin su consentimiento.
En otro caso, la difusión pública de datos personales de una persona sin su autorización, como su nombre, dirección o número de teléfono, dio lugar a una sanción económica que osciló entre los 2.000 y los 10.000 euros, dependiendo de la gravedad de la infracción y del perjuicio ocasionado a la víctima.
Estos ejemplos demuestran que suplantar o divulgar información ajena sin permiso no solo puede tener consecuencias penales, sino también importantes sanciones administrativas en materia de protección de datos.
Responsabilidad civil (indemnizaciones)
Además de las sanciones penales o administrativas, el suplantador puede ser condenado a indemnizar a la víctima por:
- Daños morales (vergüenza, estrés, afectación de la reputación).
- Daños económicos (dinero perdido, perjuicio profesional).
Estas indemnizaciones no son multas propiamente dichas, pero pueden alcanzar miles de euros, dependiendo del impacto que haya tenido la suplantación.
¿Qué tipos de suplantación de identidad existen?
En la era digital en la que vivimos, la suplantación de identidad se ha convertido en una de las amenazas más frecuentes y peligrosas para particulares, empresas e incluso administraciones públicas. Cada día, miles de personas ven comprometidos sus datos personales, sus perfiles en redes sociales o sus cuentas bancarias a causa de fraudes que, en muchos casos, comienzan con un simple descuido. Sin embargo, no todas las suplantaciones son iguales, existen diferentes formas en las que un delincuente puede hacerse pasar por otra persona:
Documental
Ocurre cuando alguien utiliza documentos de identidad falsificados o robados (como el DNI, pasaporte o carnet de conducir) para hacerse pasar por ti.
Se usa para abrir cuentas bancarias o cometer fraudes.
Suplantación de identidad digital o en línea
Es la más habitual hoy en día. Consiste en robar o imitar la identidad de una persona en internet, usando sus fotos o contraseñas para acceder a cuentas o crear perfiles falsos.
Puede darse en redes sociales, correos electrónicos, aplicaciones de mensajería o páginas web.
¿Qué es la identidad digital?
La identidad digital es la versión en internet de tu identidad personal. Es el conjunto de datos que te representan cuando usas el mundo digital: desde tu nombre y tus fotos en redes sociales, hasta tu correo electrónico, tus contraseñas, tus movimientos en línea o los documentos electrónicos que te identifican ante una administración o una empresa.
Cada vez que interactúas en internet cuando compras algo, publicas un comentario o accedes a tu banco online estás utilizando parte de tu identidad digital. Esa identidad se construye tanto con los datos que tú decides compartir, como con la información que otras personas o entidades publican sobre ti.
En el ámbito jurídico, la identidad digital tiene el mismo valor que la física: permite demostrar quién eres, te da acceso a derechos y servicios.
Suplantación en redes sociales
Se centra específicamente en plataformas como Facebook, Instagram, X (Twitter) o LinkedIn.
El suplantador puede:
- Crear un perfil falso con tu nombre y tus fotos.
- Robar tu cuenta real cambiando la contraseña.
- Usar tu perfil para difundir información falsa o pedir dinero a tus contactos.
Por correo electrónico (Email Spoofing)
El suplantador envía mensajes haciéndose pasar por otra persona o empresa, alterando la dirección del remitente para que parezca auténtica.
Se usa a menudo en fraudes empresariales o estafas bancarias.
Telefónica (SIM swapping y vishing)
En estos casos, los delincuentes clonan tu tarjeta SIM o engañan por teléfono a sus víctimas para conseguir datos personales.
Con la SIM duplicada pueden recibir tus llamadas y códigos bancarios.
En entornos profesionales o empresariales
También llamada fraude del CEO o Business Email Compromise (BEC).
El delincuente finge ser un directivo o empleado de confianza para engañar a otro trabajador o proveedor y conseguir pagos o transferencias.
En gestiones administrativas
En este tipo de fraude, se usan datos personales (nombre, DNI, dirección, etc.) para realizar trámites o contratar servicios públicos o privados en nombre de otra persona.
Deep fakes (imagen o voz manipulada)
Gracias a la inteligencia artificial, ahora se puede crear contenido falso que imita tu rostro o tu voz de forma muy realista.
Se usa en fraudes o chantajes.
Ingeniería social
Aquí el engaño se produce convenciendo directamente a la víctima o a su entorno. El suplantador se gana la confianza de la persona para obtener información o acceso a cuentas.
Suplantación de identidad total o parcial
- Total: el delincuente adopta por completo la identidad de la víctima, utilizando todos sus datos personales.
- Parcial: usa solo algunos elementos para parecerse a la persona, pero sin sustituirla por completo.
Consejos para evitar la suplantación de identidad
Evitar la suplantación de identidad es posible si adoptas buenos hábitos de seguridad tanto en internet como en tu vida diaria. No se trata solo de proteger contraseñas, sino de controlar qué información compartes y cómo la proteges.
Protege tus contraseñas
- Usa contraseñas largas, únicas y difíciles de adivinar. Combina letras, números y símbolos.
- Evita usar la misma contraseña para varias cuentas.
- Cambia tus contraseñas cada cierto tiempo, especialmente en correos, redes sociales y banca online.
- Utiliza un gestor de contraseñas para guardarlas de forma segura.
Activa la verificación en dos pasos (2FA)
La autenticación en dos factores añade una capa extra de seguridad.
Aunque alguien descubra tu contraseña, necesitará además un código temporal que solo tú recibes.
Desconfía de correos o mensajes sospechosos
El phishing y el smishing (por SMS) son los métodos más comunes para robar datos.
- No hagas clic en enlaces ni descargues archivos de remitentes desconocidos.
- Comprueba siempre la dirección del remitente (a menudo cambian una letra para parecer auténticos).
- Si el mensaje dice “urgente”, “bloqueo de cuenta” o “confirmar datos”, desconfía: los bancos y organismos oficiales nunca piden información por correo o SMS.
Cuida lo que publicas en redes sociales
- No compartas datos personales como dirección, número de teléfono o DNI.
- Configura la privacidad de tus perfiles para que solo tus contactos vean tus publicaciones.
- Evita subir fotos de documentos o billetes de viaje (pueden revelar más de lo que imaginas).
- Si detectas un perfil falso con tu nombre, repórtalo y denúncialo a la plataforma.
Protege tus dispositivos
- Mantén actualizado el sistema operativo y los programas.
- Instala un antivirus y evita descargar aplicaciones fuera de tiendas oficiales.
- No te conectes a redes Wi-Fi públicas para acceder a servicios sensibles (como banca online).
- Bloquea el acceso a tu móvil y ordenador con PIN, huella o reconocimiento facial.
Evita compartir documentos personales
- No envíes fotos o copias de tu DNI, pasaporte o carnet salvo que sea estrictamente necesario.
- Si tienes que hacerlo, oculta datos sensibles (por ejemplo, tapar el número completo).
- Nunca los subas a redes sociales o foros.
Verifica la identidad de quien te contacta
Si alguien te llama o escribe diciendo ser de un banco o institución:
- Corta la llamada y llama tú directamente al número oficial.
- No compartas códigos, contraseñas ni datos personales.
- Recuerda: los servicios legítimos nunca te pedirán claves ni números de verificación por teléfono o correo.
Revisa tus cuentas y notificaciones
- Consulta con frecuencia tus movimientos bancarios y notificaciones electrónicas.
- Si ves operaciones desconocidas o gestiones que no hiciste, actúa rápido: contacta con tu banco, cambia contraseñas y presenta denuncia.
Usa firmas y certificados digitales oficiales
Para trámites online, utiliza siempre medios seguros y verificados como:
- Certificado digital de la FNMT.
- DNI electrónico (DNIe).
- Sistema Cl@ve.
Estos métodos garantizan que la autenticación sea legítima y evitan fraudes.
Mantente informado y alerta
La ciberdelincuencia evoluciona constantemente, por lo que conviene estar al día de las nuevas estafas.
Puedes seguir las recomendaciones de:
- INCIBE (Instituto Nacional de Ciberseguridad) aconseja crear contraseñas seguras y diferentes para cada cuenta, activar la verificación en dos pasos, mantener los dispositivos actualizados, evitar redes Wi-Fi públicas y configurar correctamente la privacidad en redes sociales. Además, ofrece ayuda gratuita a través del teléfono 017 para cualquier incidencia o duda relacionada con fraudes digitales.
- Por su parte, la Agencia Española de Protección de Datos (AEPD) recomienda controlar qué información personal compartes, revisar las configuraciones de privacidad y ejercer tus derechos si tus datos se usan o difunden sin permiso.
- Finalmente, la Policía Nacional y la Guardia Civil insisten en desconfiar de mensajes o llamadas que soliciten información personal o bancaria, y a no enviar documentos oficiales sin comprobar la identidad del destinatario.
¿Qué hacer si te han suplantado la identidad?
Si te han suplantado la identidad, es fundamental actuar de inmediato. Cuanto antes tomes medidas, más fácil será frenar el daño y proteger tu reputación o tu dinero.
Reúne y guarda todas las pruebas
Antes de hacer nada, documenta lo ocurrido:
- Haz capturas de pantalla del perfil falso, publicaciones, correos, mensajes o cualquier otro contenido que demuestre la suplantación.
- Guarda enlaces, fechas, nombres de usuario y direcciones de correo relacionadas.
- Si es posible, descargar los archivos (no te fíes solo de las capturas).
Estas pruebas serán esenciales si presentas una denuncia o una reclamación ante una entidad.
Informa a la plataforma o servicio afectado
Contacta inmediatamente con la red social, banco, proveedor de correo o empresa donde ocurrió la suplantación.
Casi todas las plataformas tienen formularios específicos para reportar identidades falsas o cuentas comprometidas.
Solicita el bloqueo o eliminación del perfil falso y, si es tu cuenta, pide que te ayuden a recuperar el acceso.
Cambia tus contraseñas y refuerza la seguridad
- Modifica todas tus contraseñas, especialmente las de correo electrónico, redes sociales y banca online.
- Activa la verificación en dos pasos (2FA).
- Si usas las mismas contraseñas en varias plataformas, cambialas todas.
Avisa a tus contactos y entorno
Si el suplantador está utilizando tu nombre o tus fotos para contactar con otras personas, informa a tus amigos, familiares, compañeros o clientes.
De esta forma evitarás que caigan en engaños o transferencias falsas.
Presenta una denuncia ante las autoridades
Debes denunciar el hecho ante:
- Policía Nacional o Guardia Civil (puedes acudir presencialmente o iniciar el proceso online).
- Si hay perjuicio económico, aporta toda la documentación (extractos bancarios, pantallazos, correos, etc.).
Es importante no borrar las pruebas, aunque el contenido sea incómodo, ya que sirven para identificar al responsable.
Contacta con la Agencia Española de Protección de Datos (AEPD)
Si la suplantación implica el uso o difusión de tus datos personales, puedes presentar una reclamación ante la AEPD.
Ellos pueden exigir la retirada de los datos y sancionar a quienes los utilicen indebidamente.
Si hay daños económicos, informa al banco
Si descubres que alguien ha utilizado tu identidad para abrir cuentas bancarias o realizar cargos a tu nombre, es fundamental que actúes de inmediato. Lo primero que debes hacer es contactar con tu entidad bancaria y explicar lo sucedido para que puedan bloquear todas las cuentas y tarjetas afectadas, evitando que el fraude continúe.
Además, solicita al banco un justificante de la reclamación que demuestre que has informado del incidente. Este documento será muy útil para adjuntarlo a la denuncia que presentes ante la Policía o la Guardia Civil, y servirá como prueba de que actuaste con diligencia desde el momento en que detectaste el uso indebido de tu identidad.
Solicita asistencia al INCIBE
El Instituto Nacional de Ciberseguridad (INCIBE) dispone de una línea gratuita y confidencial (017) para atender casos de suplantación o ciberfraude.
Te orientarán sobre cómo actuar y cómo mejorar tu seguridad digital.
Valora acciones legales
En el plano penal, la vía principal es interponer una denuncia ante la Policía o el Juzgado de Guardia. Esta denuncia activa una investigación que puede culminar en la imputación de delitos como usurpación del estado civil, descubrimiento y revelación de secretos, falsedad documental o estafa, según los hechos. Es esencial aportar todas las evidencias posibles, como capturas de pantalla, correos electrónicos, mensajes, perfiles falsos o comunicaciones que acrediten el uso indebido de la identidad. Una vez abierta la causa, la víctima puede personarse como acusación particular para ejercer derechos procesales y reclamar la indemnización por daños y perjuicios derivados del delito.
Si la suplantación se ha producido en Internet o redes sociales, también es recomendable denunciar directamente en la plataforma (Facebook, Instagram, X, TikTok, etc.) para conseguir la eliminación o bloqueo del perfil falso. La mayoría de servicios digitales tienen canales específicos para reportar suplantaciones y suelen exigir el envío de documentación que acredite la identidad real del afectado. Aunque estas gestiones no sustituyen la vía penal, ayudan a frenar la difusión del daño reputacional y facilitan la colaboración de las plataformas con las autoridades en la investigación.
Desde una perspectiva civil, la víctima puede reclamar daños morales y económicos si la suplantación le ha provocado perjuicios, por ejemplo, afectación a su imagen, honor, reputación profesional o pérdidas materiales. Este tipo de reclamaciones se plantean ante los Juzgados de Primera Instancia y suelen apoyarse en el artículo 1902 del Código Civil, que obliga a reparar el daño causado por acción u omisión negligente o dolosa. También puede solicitarse la retirada de contenidos y la rectificación pública.
En nuestro despacho contamos con abogados penalistas especializados en delitos informáticos capaces de identificar al responsable y buscar justicia. Te acompañamos en todo el proceso —desde la denuncia hasta el juicio—, elaborando una estrategia legal personalizada y eficaz.
Mantente alerta después del incidente
- Revisa periódicamente tus cuentas y notificaciones.
- Busca tu nombre en Google cada cierto tiempo para detectar posibles perfiles falsos o menciones sospechosas.
- Activa alertas de seguridad en tus cuentas más importantes.
¿Cual es la diferencia entre usurpación y suplantación de identidad?
La diferencia entre usurpación y suplantación de identidad puede parecer pequeña, pero desde el punto de vista jurídico es muy relevante. Ambas conductas consisten en hacerse pasar por otra persona, pero no significan exactamente lo mismo ni tienen las mismas consecuencias legales.
Cuando hablamos de suplantación de identidad, nos referimos a cualquier situación en la que alguien utiliza la imagen o la información de otra persona sin su consentimiento, con la intención de hacerse pasar por ella. Es un término más amplio y cotidiano, muy frecuente en el entorno digital. Por ejemplo, cuando alguien crea un perfil en redes sociales con tu nombre y tus fotos, envía correos electrónicos fingiendo ser tú o accede a tus cuentas personales, está cometiendo una suplantación de identidad.
Por su parte, la usurpación de identidad o más concretamente, la usurpación del estado civil es una figura legal recogida expresamente en el artículo 401 del Código Penal. Este delito se comete cuando una persona se atribuye la identidad de otra de forma continuada y con trascendencia legal o social, actuando ante terceros o ante la administración como si realmente fuera esa persona. A diferencia de la suplantación común, aquí el acto tiene una dimensión jurídica más profunda: el autor no solo se hace pasar por otro, sino que adopta su identidad con efectos legales, por ejemplo, firmando contratos o utilizando documentos oficiales a nombre de la víctima.
Toda usurpación de identidad implica una suplantación, pero no toda suplantación llega a ser una usurpación. La diferencia está en la intención y el alcance legal del acto.
