Cuando la gente me llama porque “les han robado la identidad”, casi siempre mezclan dos conceptos que conviene separar: suplantación y usurpación de identidad. Aclararlos evitará errores al denunciar, agilizará la recuperación de cuentas y, sobre todo, mejorará la prueba. En mi despacho lo vemos a diario: la confusión inicial retrasa decisiones clave y complica el caso.
Suplantación vs usurpación: la diferencia práctica que evita errores
Qué entiende la gente vs. qué se persigue penalmente
- Suplantación (uso coloquial y técnico-informático): alguien se hace pasar por ti sin necesariamente entrar en tus cuentas. Por ejemplo, crea un perfil clonado en Instagram con tus fotos y escribe a tus contactos. No ha roto tu puerta digital, pero imita tu identidad para causar daño o engañar.
- Usurpación (uso técnico y jurídico-práctico): alguien toma control de una cuenta legítima tuya (correo, WhatsApp, banca, redes) y actúa desde dentro. Aquí sí hay acceso no autorizado y, en la práctica, mayores implicaciones probatorias (IP, logs, trazas).
En mi experiencia, cuando hay ánimo de lucro (por ejemplo, pedir Bizums a tus contactos), la calificación penal suele decantarse hacia estafa y, según el caso, falsedad o delitos contra la intimidad. No son etiquetas excluyentes: la conducta real se encaja en tipos existentes; no existe un “delito de identidad” único que lo cubra todo.
Ejemplos claros en redes, email y vida diaria
- Suplantación: perfil clonado que envía solicitudes a tus amigos; dominio “parecido” que remite correos idénticos a los de tu empresa para captar pagos (spoofing).
- Usurpación: te “roban” el WhatsApp mediante SIM swapping y escriben desde tu número; acceden a tu correo y cambian la contraseña; toman tu Instagram y eliminan el correo de recuperación.
xUn aprendizaje del despacho: si te han tomado la cuenta, la prioridad real es recuperar el control y cambiar credenciales antes de cualquier exposición en redes. Avisar sin control puede dar pistas al agresor y precipitar borrados de evidencias.
| Aspecto | Suplantación | Usurpación |
|---|---|---|
| Control de la cuenta | No | Sí |
| Prueba técnica clave | Capturas del perfil falso, URLs | Logs de acceso, IP, correos de seguridad |
| Riesgo típico | Daño reputacional, engaños a terceros | Fraude directo, borrado de evidencias |
| Acción inmediata | Reporte/Takedown de perfil | Recuperación de cuenta y rotación de claves |
¿Qué delitos pueden entrar en juego? (según legislación española)
Estafa, falsedad, descubrimiento y revelación de secretos
No me gusta encorsetarlo sin ver el caso, pero en la práctica solemos valorar:
- Estafa: cuando se busca un perjuicio económico mediante engaño (bizums, transferencias, compras).
- Falsedad (documental o informática, según el supuesto): creación o manipulación de soportes/credenciales para acreditar algo que no es cierto (nóminas, poderes, facturas, certificados).
- Descubrimiento y revelación de secretos / intimidad: acceso a contenidos privados (email, chats, nubes), difusión de datos/fotos, instalación de spyware.
- Usurpación del estado civil (ojo, concepto jurídico específico): casos en los que se atribuye la identidad civil de otro de forma plena (no es cualquier perfil falso ni cualquier hackeo).
Cuando es viable, pedimos a la plataforma los logs de acceso (fechas, IPs, dispositivos) porque aceleran la trazabilidad. Hemos logrado absoluciones en situaciones donde la acusación sólo aportaba una IP doméstica: no siempre vincula inequívocamente a la persona física que vive en esa casa. El nexo probatorio importa más que la indignación (lo repito mucho en sala).
¿Y la usurpación del estado civil? (cuándo aplica y cuándo no)
No confundamos: no toda suplantación online es “usurpación del estado civil”. Este tipo penal tiene umbrales elevados (atribuirse la identidad civil con efectos plenos). Un clon en redes sin más, por sí mismo, normalmente se aborda por otras vías (intimidad, honor, estafa…). Evaluar bien evita denuncias estériles y centra la estrategia.
Cómo actuar si te suplantan o usurpan la identidad
Preserva la prueba: capturas con metadatos, URLs y logs
Mi pauta inicial del despacho:
- Capturas que incluyan URL completa y, si puedes, fecha y hora del sistema visibles.
- Guardar correos de seguridad (avisos de acceso, cambios de contraseña).
- Descargar actividad de inicio de sesión (Facebook/Instagram/Google lo permiten).
- Notario o acta de presencia online si hay alto impacto reputacional.
- Copia de seguridad de chats, backups y contenidos antes de que desaparezcan.
Las capturas sirven como prueba si son coherentes, completas y trazables. En casos sensibles usamos pericial informática para cimentarlas. También documentamos el daño reputacional (testigos, métricas, informes de impacto); luego incide en la indemnización.
Pasos para denunciar (plataforma, INCIBE, comisaría)
- Plataforma: reporta el perfil/clon/hackeo con su canal oficial; pide takedown y solicita por escrito los logs.
- Soporte: abre ticket y guarda el número de caso.
- INCIBE: el Instituto Nacional de Ciberseguridad opera a modo de canal de ayuda 017 para pautas inmediatas (útil en prevención y contención).
- Policía / Guardia Civil / Mossos: denuncia con dosieres de prueba (capturas, correos, ID de perfil, pagos).
- Banca/fintech: si hay pagos, activa procedimientos antifraude y bloqueo de tarjetas/medios.
En menores, movemos todo más rápido por el riesgo de ciberviolencia y difusión. Coordinar colegio y plataformas reduce daños en horas, no en días.
Prevención que sí funciona (lista práctica en 2 minutos)
Configuraciones clave en tus cuentas
- 2FA por app (no SMS si puedes evitarlo).
- Correos de recuperación y teléfono actualizados.
- Llaves de seguridad para cuentas críticas (correo y redes con mayor exposición).
- Alertas de inicio de sesión y revisión mensual de dispositivos.
Señales rojas de phishing y spoofing
- Dominios “parecidos”, subdominios engañosos, enlaces acortados.
- Urgencias de pago, “restablece ya tu contraseña”, adjuntos inesperados.
- Cambios de IBAN o instrucciones de pago sin doble verificación por canal alternativo.
En empresas, el mayor retorno lo da un procedimiento simple de doble validación de pagos y cambios de cuenta. Barato y salva facturas.
Casos reales y aprendizajes del despacho
Qué hizo la diferencia en las absoluciones
En algunos procedimientos, el punto de giro fue demostrar la falta de nexo entre una IP y el acusado. La IP es un indicio, no una persona. Cuando la cadena probatoria flojea, la duda razonable se abre. Nuestra estrategia habitual combina pericial técnica y coherencia narrativa de hechos y tiempos.
Cómo acreditamos el daño reputacional
No basta con decir “me dañaron”. Documentamos pantallazos, alcance (impresiones, compartidos), testigos y, si toca, informes periciales. Esa disciplina probatoria ha resultado clave para condenas o mejores acuerdos. Y sí, cuando hay toma de cuenta priorizamos recuperar control y rotar credenciales antes de comunicar públicamente.
Conclusión
La suplantación se parece, la usurpación te invade. Una te imita desde fuera; la otra te sustituye desde dentro. Cambia la prueba, cambian los riesgos y cambia la estrategia. Si necesitas ayuda especializada en un caso concreto —sea para frenar el daño, denunciar o defenderte—, ponte en contacto con un abogado penalista Barcelona con experiencia real en delitos informáticos e intimidad. La diferencia suele estar en cómo se recogen y se presentan las evidencias.
Preguntas frecuentes
¿Sirven las capturas como prueba?
Sí, si son fiables y completas. Incluye URL, fecha/hora, y conserva correos de seguridad. Cuando hay controversia técnica, aportamos pericial y, si procede, acta notarial.
¿Qué hago si el autor es alguien cercano?
Evita confrontaciones que destruyan evidencias. Reúne pruebas y denuncia. En el juzgado pesa la prueba sólida, no la sospecha vehemente.
¿Puedo reclamar indemnización por reputación?
Sí, si acreditas el daño (alcance, consecuencias, oportunidades perdidas). Prepara el dosier desde el minuto uno.