En los últimos años, el phishing se ha consolidado como la primera amenaza cibernética en Europa. Según el informe 2024 del Anti‑Phishing Working Group (APWG), solo en el cuarto trimestre de 2024 se registraron 989.123 ataques de phishing en todo el mundo, muchos de ellos dirigidos al sector financiero y de pagos, con un 30,9 % de los ataques apuntando a ese segmento.
Esa avalancha de correos, webs y mensajes falsos -muchos dirigidos a usuarios particulares- revela que el phishing ya no es una amenaza marginal, sino un riesgo real y cotidiano para miles de personas en toda Europa.
Si has sufrido un ataque de este tipo, es importante que sepas que todavía estás a tiempo de reaccionar y defender lo que es tuyo. Te contamos cómo hacerlo.
¿Qué es una estafa phishing y dónde se regula en el Código Penal?
Definición de phishing
El phishing es una modalidad de estafa informática en la que un delincuente se hace pasar por tu banco, Hacienda, la DGT, una empresa de mensajería o cualquier otra entidad de confianza. Te contacta por SMS, correo electrónico o llamada con una apariencia totalmente legítima y te dirige a una web falsa para que facilites información sensible:
- Claves de banca online
- Códigos SMS de verificación
- Datos de tus tarjetas
Con esos datos, que entregas convencido de estar interactuando con alguien autorizado, el estafador accede a tus cuentas y ejecuta pagos o transferencias en tu nombre para quedarse con tu dinero.
¿Por qué el phishing es una estafa informática?
No es un simple “engaño por Internet”. Jurídicamente encaja en un delito de estafa informática:
- Existe ánimo de lucro del estafado.
- Se utiliza un engaño bastante, adaptado al mundo digital (diseño de una web falsa, SMS, correo y llamadas simulando apariencia legítima)
- Ese engaño provoca que tú mismo facilites datos o autorices operaciones
- Como resultado, sufres un perjuicio económico claro: dinero que sale de tu cuenta y va al delincuente (o a “mulas”)
Por eso se trata como delito de estafa, aunque el contacto sea a través de medios electrónicos.
Regulación en el Código Penal español
La estafa de phishing se encuadra en los artículos 248 y 249 del Código Penal, que regulan la estafa y sus modalidades informáticas.
- El phishing se trata como fraude informático o estafa informática.
- Se aplica el régimen general de la estafa (art. 249 CP): que conlleva pena de prisión de 6 meses a 3 años de forma básica.
- Cuando concurren circunstancias especiales (cuantía elevada, víctimas vulnerables, organización criminal, etc.), entra en juego el art. 250 CP, que prevé penas superiores de 1 a 6 años y multa de 6 a 12 meses.
Ejemplos de estafa phishing y cómo es el procedimiento habitual
Casos típicos de phishing
Algunos ejemplos reales de estafa phishing que se repiten una y otra vez:
1. SMS del banco por “operación no autorizada”
Recibes un SMS que parece de tu banco: te avisa de un acceso extraño y te pide que pulses un enlace para “bloquear la operación”.
La web es falsa pero aparenta legitimidad. Introduces tus claves confiando que es tu banco y a los pocos minutos, ves transferencias de alto importe hacia cuentas desconocidas.
2. Estafa phishing de Correos o empresa de mensajería
Te llega un SMS diciendo que tu paquete está retenido y debes pagar una pequeña tasa.
Pones los datos de tu tarjeta en una pasarela clonada. Al rato, aparecen cargos sucesivos que tú no has autorizado.
3. Phishing de Hacienda, DGT o Seguridad Social
Recibes un correo electrónico con logotipos oficiales que te pide “actualizar datos”, “pagar una tasa” o “descargar una notificación urgente”.
Al acceder, entregas sin querer tus credenciales y los delincuentes las usan para pedir créditos o vaciar cuentas.
Si te reconoces en alguno, no eres un caso aislado: estás dentro de esas cientos de miles de estafas informáticas denunciadas cada año en España.
¿Qué hacer si has sido víctima de una estafa phishing?
Los primeros minutos son clave:
Contacta con tu banco de inmediato.
Pide el bloqueo de tarjetas, revocación de transferencias y anulación de operaciones sospechosas.
Guarda todas las pruebas.
Capturas de pantalla del SMS o correo, enlaces, movimientos bancarios, correos de confirmación… Todo suma.
No borres nada.
Ni mensajes, ni emails, ni apps. Para la investigación pueden ser oro.
Busca asesoramiento jurídico especializado cuanto antes.
Muchas decisiones iniciales (cómo formular la denuncia, qué aportar, cómo reclamar al banco) condicionan el resultado.
Fases del procedimiento penal por estafa phishing
De forma simplificada, el procedimiento suele seguir estas etapas:
1. Denuncia
Se presenta ante Policía, Guardia Civil, Juzgado de Guardia o Fiscalía.
Desde el principio se debe dejar claro el tipo de estafa, la cuantía y las posibles líneas de investigación.
2. Investigación policial
La unidad de ciberdelincuencia o UDEF/CIBER analiza:
- Titulares de las cuentas de destino
- Rastreos de IP y transferencias
- Mulas bancarias y cuentas “puente”
3. Instrucción en el Juzgado
El juez dirige la investigación: toma declaraciones, pide informes, solicita datos a bancos y plataformas, acuerda diligencias internacionales si hace falta.
4. Juicio oral
La Fiscalía acusa. Tu abogado penalista se persona como acusación particular, defiende tus intereses y reclama la responsabilidad civil: es decir, tu dinero.
5. Sentencia y ejecución
Si hay condena, se fijan las penas de prisión y las cantidades a devolver.
Luego viene la fase de ejecución, donde se intenta hacer efectivo el cobro embargando bienes, cuentas o saldos intervenidos.
Cómo puede ayudarte un abogado experto en estafas phishing
Análisis rápido del caso y protección inmediata
Un abogado penalista especializado en estafas informáticas y estafa phishing te ayuda desde el minuto uno:
- Revisa movimientos y comunicaciones para encajar jurídicamente los hechos.
- Te orienta sobre qué reclamar al banco y cómo.
- Prepara una denuncia sólida, con toda la documentación ordenada, para que la Policía y el Juzgado sepan por dónde tirar.
Aquí no basta con decir “me han robado”. Hay que hablar su idioma, pero sin perder de vista el tuyo.
Estrategia para recuperar tu dinero
Nuestro objetivo no es solo que haya condena, sino que tú recuperes la mayor cantidad posible:
- Personación como acusación particular en el procedimiento.
- Reclamación de la responsabilidad civil frente a los estafadores.
- Estudio de la posible responsabilidad del banco u otras entidades cuando procede.
- Coordinación con la investigación para localizar fondos, cuentas puente y “mulas”.
Cada decisión procesal se toma pensando en un punto: maximizar tus opciones de recuperar tu patrimonio.
Acompañamiento durante todo el proceso
Las estafas phishing dejan huella: miedo a operar online, sensación de culpa, vergüenza por “haber caído”.
Un buen abogado no solo prepara escritos: también te acompaña, te traduce el lenguaje jurídico y te dice con claridad:
- Qué puedes esperar del procedimiento.
- Qué plazos son realistas.
- Qué pasos concretos daremos para defenderte
¿Has sufrido una estafa phishing? Da el siguiente paso
Si has sido víctima de una estafa phishing en España, no lo dejes pasar como si fuera un simple “problema técnico” del banco.
Tienes derecho a:
- Que se investigue lo ocurrido como delito de estafa informática.
- Reclamar cada euro que te han quitado.
- Estar acompañado por un abogado que se dedica precisamente a esto.
Si quieres, podemos revisar tu caso, valorar las opciones reales de recuperar tu dinero y diseñar una estrategia clara, adaptada a tu situación.
Cuéntanos qué ha pasado, qué mensajes recibiste y qué movimientos aparecen en tu cuenta, y empezamos juntos la defensa de tu caso de estafa phishing.