Llamar

Ciberdelitos y estafas online guía de un abogado penalista

Ciberdelitos y estafas online: guía práctica de un abogado penalista. Qué hacer si ha sido víctima de phishing, smishing, SIM swapping o una plataforma de inversión fraudulenta. Cuándo hay delito y cuándo es un conflicto civil. Cómo preservar prueba digital. Jurisprudencia del Tribunal Supremo. Actuamos en Valencia, Madrid y Castellón.

Ciberdelitos y estafas online — guía de un abogado penalista
Fraude digital · Prueba electrónica · Derecho penal

Ciberdelitos y estafas online: guía completa de un abogado penalista

Phishing, smishing, SIM swapping, plataformas de inversión fraudulentas, muleros bancarios y fraude con criptomonedas. Cuándo hay delito, cómo actuar, qué pruebas conservar y jurisprudencia reciente del Tribunal Supremo.

¿Cuándo hay delito? Tipos frecuentes Si eres víctima Si te investigan Jurisprudencia TS FAQ

¿Cuándo una estafa online es delito y cuándo es un conflicto civil?

No todo problema con una compra por Internet es un ciberdelito. Un retraso en la entrega, una discrepancia sobre la calidad del producto o un incumplimiento contractual sin engaño previo son conflictos civiles o de consumo. La frontera con el delito de estafa informática (art. 249 CP) aparece cuando concurren tres elementos: una manipulación informática o artificio semejante, una transferencia patrimonial no consentida y un perjuicio económico para la víctima.

A diferencia de la estafa clásica (art. 248.1 CP), la estafa informática del art. 249 no requiere engaño directo a una persona ni error humano: basta con que el autor manipule un sistema informático o emplee un artificio equivalente para provocar un desplazamiento patrimonial no autorizado. El Tribunal Supremo ha precisado esta distinción en la STS 838/2023, ampliando el concepto de «artificio semejante» a cualquier manipulación del sistema — informática o no — que produzca el resultado defraudatorio.

Dato: Según el Informe de Cibercriminalidad del Ministerio del Interior (2023), España registró más de 470.000 ciberdelitos, un 27 % más que el año anterior. El 90 % fueron estafas informáticas. La tendencia sigue al alza en 2024 y 2025.

Cuando la conducta afecta a sociedades instrumentales, facturas ficticias o estructuras transnacionales, pueden concurrir además delitos económicos, delitos societarios o blanqueo de capitales. En estafas con criptoactivos, la vertiente penal se analiza en nuestra guía sobre delitos con criptomonedas.

Tipos de ciberdelitos que llegan a los juzgados

La experiencia como abogados penalistas muestra patrones que se repiten. Estos son los ciberdelitos que con más frecuencia generan procedimientos penales en España.

Phishing, smishing y vishing

Suplantación de identidad bancaria por email, SMS o llamada telefónica para obtener claves de acceso. El atacante redirige a una web clonada o utiliza ingeniería social para que la víctima facilite credenciales. Una vez obtenidas, ejecuta transferencias no consentidas. Puede concurrir con falsificación de medios de pago.

SIM swapping

Duplicación fraudulenta de la tarjeta SIM del teléfono de la víctima para interceptar códigos de verificación bancaria (2FA). Permite al atacante autorizar transferencias o cambiar contraseñas. El Tribunal Supremo (STS 571/2025) ha reforzado la responsabilidad de las entidades bancarias cuando no detectan patrones anómalos en estas operaciones.

Compras falsas y marketplaces

Anuncios inexistentes, páginas clonadas o vendedores que desaparecen tras recibir el pago en plataformas como Wallapop, Vinted o tiendas online simuladas. Cuando hay un patrón reiterado de operaciones, la calificación como estafa continuada agrava las penas.

Plataformas de inversión fraudulentas

Ofertas de alta rentabilidad en criptomonedas, forex o productos complejos donde el dinero del cliente nunca se invierte. Suelen operar desde jurisdicciones extracomunitarias con call centers que presionan para nuevos depósitos. La vertiente penal se conecta con fraude con criptoactivos y, cuando los fondos se canalizan a través de redes de cuentas, con blanqueo de capitales.

Fraude del CEO y BEC

Business Email Compromise: el atacante suplanta al director de una empresa o a un proveedor y ordena transferencias a cuentas controladas. El fraude por cambio de IBAN en factura es una variante cada vez más frecuente en pymes. Puede implicar falsedad documental cuando se alteran facturas o contratos.

Muleros bancarios

Personas que prestan sus cuentas para recibir y reenviar fondos de origen fraudulento, a menudo captadas mediante ofertas de «trabajo fácil». Su responsabilidad penal varía según el grado de conocimiento: desde cooperación necesaria en estafa informática hasta blanqueo de capitales imprudente. La STS 224/2024 ha precisado los límites.

Qué hacer si ha sido víctima de una estafa online

La reacción inmediata condiciona las posibilidades de recuperación del dinero y el éxito del procedimiento penal. Este es el orden recomendado.

  1. Bloquee tarjetas y accesos. Contacte con su banco inmediatamente para bloquear la tarjeta o cuenta comprometida y solicite la retrocesión del cargo si es posible. Los plazos para contestar una operación no autorizada son muy breves (art. 43 del RDL 19/2018).
  2. Preserve toda la prueba digital. Capturas de pantalla con URL visible y fecha, correos electrónicos completos (con cabeceras técnicas), conversaciones de WhatsApp/Telegram, justificantes de pago, direcciones de wallet si hay criptomonedas y datos de las cuentas de destino. No borre nada.
  3. No contacte con el estafador sin asesoramiento. Responder en caliente puede dar argumentos a la defensa contraria o comprometer la reconstrucción de los hechos.
  4. Consulte con un abogado penalista antes de denunciar. Una denuncia bien preparada — con trazabilidad de fondos, prueba digital ordenada y solicitud de medidas cautelares — tiene mucho más recorrido que una denuncia genérica. El abogado valorará si hay responsables identificables y posibilidades reales de recuperación.
  5. Reclame al banco si hubo phishing. Tras la STS 571/2025, las entidades bancarias deben devolver las cantidades sustraídas salvo que demuestren negligencia grave del cliente. Un abogado penalista puede coordinar la reclamación bancaria con el procedimiento penal.

Importante: En estafas con criptomonedas, el rastreo on-chain permite localizar los fondos en exchanges regulados y solicitar su bloqueo judicial. Más información en nuestra guía sobre abogados de criptomonedas.

Si te investigan por un ciberdelito: defensa penal

No siempre quien recibe una citación como investigado es el diseñador del fraude. Intermediarios, administradores de sociedades, titulares de cuentas bancarias o personas que prestaron su identidad pueden verse implicados en una investigación penal sin haber participado en la maniobra defraudatoria. En estos casos, la defensa técnica temprana es esencial.

Muleros y cooperadores: una línea fina

La jurisprudencia del Tribunal Supremo distingue entre quien participa conscientemente en la cadena defraudatoria (cooperador necesario en estafa, STS 533/2007) y quien facilita datos o cuentas sin conocimiento real del fraude (conducta atípica o, en todo caso, blanqueo imprudente, STS 224/2024). La defensa debe acreditar el grado real de conocimiento, la ausencia de beneficio económico relevante y la inexistencia de acuerdo previo con los autores materiales.

Prueba digital y derechos fundamentales

La obtención de prueba en ciberdelitos (volcado de dispositivos, intervención de comunicaciones, cesión de datos por operadoras o exchanges) debe respetar las garantías del art. 588 bis LECrim. Una intervención sin autorización judicial o sin cumplir los principios de proporcionalidad e idoneidad puede ser nula, arrastrando toda la prueba derivada. El abogado penalista revisará la cadena de custodia digital completa.

Error de prohibición en entornos digitales

En determinados supuestos, el investigado desconocía que su conducta era ilícita — por ejemplo, quien acepta una oferta de «trabajo como agente financiero» sin saber que está canalizando fondos de origen delictivo. El error de prohibición (art. 14.3 CP) puede atenuar o incluso eximir de responsabilidad penal si se acredita que era invencible.

Si ha recibido una citación como investigado, no declare sin abogado. Es su derecho constitucional. Contacte con un abogado penalista que revise las diligencias antes de la primera declaración.

Jurisprudencia del Tribunal Supremo en ciberdelitos y estafas informáticas

La Sala Segunda (Penal) y la Sala Primera (Civil) del Tribunal Supremo han configurado en los últimos años una doctrina de referencia para víctimas, investigados y operadores jurídicos. Estas resoluciones son esenciales para cualquier estrategia procesal en ciberdelitos.

STS 838/2023, de 16 de noviembre — Alcance del «artificio semejante»

La Sala de lo Penal amplió la interpretación del art. 249 CP (estafa informática), estableciendo que las maniobras fraudulentas de carácter informático quedan incluidas en la «manipulación informática», mientras que las manipulaciones del sistema de carácter no informático quedan amparadas por el concepto de «artificio semejante». En la práctica, esto significa que el tipo penal cubre cualquier maniobra — tecnológica o no — que produzca una transferencia patrimonial no consentida a través de un sistema automatizado.

Implicación: refuerza la viabilidad de denuncias por modalidades emergentes de fraude digital que no encajan exactamente en el concepto clásico de «manipulación informática».

STS 224/2024, de 7 de marzo — Muleros bancarios: límites de la responsabilidad

El Tribunal Supremo precisó que facilitar datos bancarios a un tercero cuando se podía conocer que se utilizarían con fines fraudulentos constituye, como máximo, una cooperación de carácter imprudente, que no es punible en el delito de estafa (art. 12 CP, que exige dolo). La Sala distinguió entre quien abre una cuenta con conocimiento efectivo del fraude (cooperador necesario) y quien simplemente facilita sus datos sin comprender la operativa real (conducta atípica o, en su caso, blanqueo imprudente para cuantías relevantes).

Implicación para la defensa: si se acredita que el investigado no tenía conocimiento real del fraude, la absolución por el delito de estafa es la consecuencia lógica. Para la acusación: debe probarse el acuerdo de voluntades o, al menos, la ignorancia deliberada cualificada.

STS 571/2025, de 9 de abril (Sala Civil) — Phishing: responsabilidad bancaria

En una sentencia que ha marcado un punto de inflexión, la Sala Primera estableció que las entidades bancarias deben devolver las cantidades sustraídas por phishing salvo que demuestren que el cliente actuó con negligencia grave o fraude doloso. El banco no puede limitarse a alegar que la operación se realizó con claves válidas: debe probar que implementó medidas eficaces de detección de operaciones sospechosas y que el cliente incumplió sus deberes de custodia de forma cualificada.

Implicación práctica: abre la puerta a reclamaciones bancarias que antes se consideraban inviables. El abogado penalista puede coordinar la vía penal (contra el autor del phishing) con la reclamación civil (contra el banco), maximizando las posibilidades de recuperación económica.

Resoluciones verificables en CENDOJ. La aplicación de esta jurisprudencia requiere análisis del caso concreto.

Abogados penalistas en ciberdelitos: Valencia, Madrid y Castellón

Aunque los ciberdelitos se cometen en entornos digitales, el procedimiento penal se tramita en un juzgado concreto. Contar con un abogado penalista que conozca la práctica de los órganos competentes es una ventaja operativa real: plazos de respuesta, criterios del juez instructor, coordinación con la Fiscalía y con las unidades de investigación tecnológica (UIT de Policía Nacional, Grupo de Delitos Telemáticos de Guardia Civil).

Valencia

Sede central del despacho. Actuamos ante los Juzgados de Instrucción de la Ciudad de la Justicia, la Audiencia Provincial de Valencia y, cuando la causa afecta a múltiples provincias, ante la Audiencia Nacional. Abogado penalista en Valencia →

Madrid

Intervenimos ante los Juzgados Centrales de Instrucción y la Audiencia Nacional, donde se concentran las macrocausas por fraude online transnacional y estafas con plataformas de inversión. Abogados penalistas en Madrid →

Castellón

Asistencia en los Juzgados de Instrucción, Juzgados de lo Penal y Audiencia Provincial de Castellón. Coordinación inmediata con las otras sedes del despacho. Abogado penalista en Castellón →

La coordinación entre sedes permite gestionar ciberdelitos como una estrategia penal única aunque existan operaciones bancarias, víctimas o investigados en distintas comunidades autónomas. En casos urgentes, ofrecemos asistencia penal 24 horas.

¿Ha sido víctima de un ciberdelito o le investigan por fraude online?

La intervención temprana de un abogado penalista es decisiva: preservar prueba digital, solicitar medidas cautelares de bloqueo de fondos y preparar la estrategia antes de la primera declaración. Actuamos en Valencia, Madrid y Castellón.

Consultar mi caso

Preguntas frecuentes sobre ciberdelitos y estafas online

¿Siempre es delito si he perdido dinero por Internet?

No. Un retraso en la entrega o un incumplimiento contractual sin engaño previo son conflictos civiles o de consumo. Hablamos de delito cuando existe una manipulación informática o artificio que produce una transferencia patrimonial no consentida (art. 249 CP) o un engaño bastante que induce a error y causa perjuicio económico (art. 248.1 CP). La frontera conviene analizarla con un abogado penalista.

¿Tiene sentido denunciar si el estafador está en otro país?

En muchos casos sí. Las investigaciones se agrupan en macrocausas coordinadas por juzgados especializados o por la Audiencia Nacional. Si los fondos pasaron por un exchange o banco regulado en la UE, el juzgado puede ordenar su bloqueo mediante cooperación judicial europea (OEI). Un abogado penalista valorará la viabilidad en función de la cuantía, las pruebas y la posibilidad de acumulación con otras víctimas.

¿Qué ocurre si me investigan a mí como «mulero» bancario?

La responsabilidad depende del grado de conocimiento. Según la STS 224/2024, facilitar datos sin conocimiento real del fraude puede ser una conducta atípica. Pero si se acredita un acuerdo previo con los autores o un beneficio económico, la calificación puede ser cooperación necesaria en estafa o blanqueo de capitales. No declare sin abogado y no mueva fondos de sus cuentas.

¿Puede el banco negarse a devolverme el dinero tras un phishing?

Tras la STS 571/2025, el banco debe demostrar que usted actuó con negligencia grave para eludir la devolución. Si informó del fraude sin demora y no facilitó sus claves de forma voluntaria, la entidad está obligada a reembolsar las cantidades sustraídas (art. 45 RDL 19/2018). Un abogado puede coordinar la reclamación bancaria con la vía penal.

¿Qué pruebas debo conservar si me han estafado online?

Todo: capturas de pantalla con URL y fecha visible, correos electrónicos completos (con cabeceras técnicas), conversaciones de WhatsApp o Telegram, justificantes de pago (transferencia, Bizum, tarjeta), direcciones de wallet si hay cripto, y datos de las cuentas de destino. No borre nada ni modifique archivos: la integridad de la prueba digital es fundamental para el procedimiento penal.

¿Qué diferencia hay entre estafa clásica y estafa informática?

La estafa clásica (art. 248.1 CP) requiere engaño a una persona que, inducida a error, realiza un acto de disposición. La estafa informática (art. 249 CP) prescinde del engaño personal: basta con una manipulación informática o artificio semejante que produzca una transferencia no consentida. En la práctica, muchos ciberdelitos combinan ambas modalidades (ingeniería social + manipulación técnica).

¿Cuánto se tarda en resolver un procedimiento penal por ciberdelito?

Depende de la complejidad. Un procedimiento sencillo (una víctima, autor identificado) puede resolverse en 6-12 meses. Las macrocausas con múltiples víctimas, jurisdicciones internacionales y prueba digital masiva pueden prolongarse varios años. La fase de instrucción (investigación judicial) es la más larga; el juicio oral suele ser más breve.

¿Puedo reclamar al banco y denunciar penalmente al mismo tiempo?

Sí, y de hecho es la estrategia óptima en muchos casos de phishing. La reclamación bancaria busca la devolución inmediata de los fondos por la vía civil/administrativa. La denuncia penal persigue al autor del fraude y puede dar lugar a una indemnización adicional como responsabilidad civil derivada del delito. Ambas vías son compatibles y se refuerzan mutuamente.

Recursos y páginas relacionadas

Fuentes: Código Penal (BOE) · CGPJ · CENDOJ · Informe Cibercriminalidad 2023 (Interior).

author avatar
Juan Antonio Signes Garcia
Abogado penalista con más de 20 años de experiencia en defensa penal económica, delitos contra las personas y recursos ante el TSJCV, Audiencias Provinciales y Tribunal Supremo. Colegiado del Ilustre Colegio de Abogados de Valencia (ICAV). Director de Sanahuja Abogados Penalistas, con sedes en Valencia, Madrid y Castellón. Miembro de ECBA y EFCL.
See Full Bio

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *