Publicado el 1 de mayo de 2026 · Actualizado el 1 de mayo de 2026 · Penal · 6 min de lectura
Estafas online y phishing: qué hacer si te han robado dinero por internet
Las estafas online se han convertido en uno de los delitos de mayor crecimiento en España. El phishing, las falsas inversiones, el smishing, el vishing y los fraudes en compraventas generan pérdidas millonarias cada año. Si te han robado dinero por internet, las primeras horas son determinantes para preservar pruebas y activar los mecanismos de recuperación disponibles.
Tipos de estafa online más frecuentes en España
Phishing
Suplantación de identidad de entidades bancarias, organismos públicos o empresas mediante correo electrónico o SMS. El objetivo es obtener credenciales de acceso o datos de tarjeta. Muy frecuente en España con suplantación de Correos, la AEAT, la Seguridad Social y grandes bancos.
Smishing y vishing
Variantes del phishing a través de SMS (smishing) o llamada telefónica (vishing). En el vishing, una persona que se hace pasar por el banco llama a la víctima para "alertarle" de un cargo fraudulento y obtiene así sus claves de seguridad.
Falsas inversiones
Plataformas que prometen rentabilidades muy altas con bajo riesgo, normalmente en criptomonedas o forex. Al principio muestran ganancias ficticias para generar confianza. Cuando la víctima intenta retirar el dinero, la plataforma desaparece o exige nuevos pagos.
Fraude en compraventas
Venta de productos en plataformas de segunda mano (Wallapop, Milanuncios, Facebook Marketplace) cobrando sin entregar, o entrega de productos falsificados o defectuosos sin posibilidad de devolución.
Fraude del CEO o BEC
Correos fraudulentos que suplantan a directivos de una empresa para ordenar transferencias urgentes. Muy dirigidos a departamentos de contabilidad de empresas medianas.
Cuentas mula
Los estafadores utilizan cuentas de terceros (a veces sin su conocimiento, a veces con su colaboración) para recibir y dispersar el dinero robado. La persona titular de la cuenta mula puede ser también investigada.
Qué hacer en las primeras horas: pasos concretos
La velocidad de reacción es el factor más determinante para la recuperación del dinero. Estas son las acciones en orden de prioridad:
- Llama inmediatamente a tu banco — solicita el bloqueo de la tarjeta o cuenta afectada y la cancelación de las transferencias si todavía están en tránsito. Algunas transferencias pueden revertirse si se actúa en las primeras horas antes de que el dinero salga del sistema bancario español.
- Haz capturas de todo — la web fraudulenta, los correos o SMS recibidos, el perfil del vendedor, los recibos de transferencia, los chats. Cada elemento es potencial prueba. Las webs fraudulentas suelen desaparecer rápidamente.
- Conserva los metadatos — no reenvíes correos sospechosos sin más: guarda el original con cabeceras completas, que contienen información técnica útil para localizar el origen.
- Anota el IBAN o número de cuenta destino — es el dato más útil para la investigación policial y para la reclamación bancaria.
- Presenta denuncia cuanto antes — en comisaría o telemáticamente a través del portal de la Guardia Civil o Policía Nacional. La denuncia activa la investigación y es necesaria para la reclamación al banco.
Responsabilidad del banco: la directiva PSD2
La Directiva (UE) 2015/2366 sobre servicios de pago (PSD2), transpuesta en España por el Real Decreto-ley 19/2018, establece que el banco es responsable de las operaciones de pago no autorizadas. Cuando una operación se realiza sin el consentimiento del cliente, el banco debe devolver el importe de forma inmediata, salvo que pueda acreditar que el cliente actuó de forma fraudulenta o con negligencia grave.
El debate jurídico más activo se centra en el concepto de "negligencia grave". Los bancos argumentan sistemáticamente que proporcionar las claves a un tercero —aunque sea víctima de un engaño sofisticado— constituye negligencia grave. Los tribunales, sin embargo, están empezando a diferenciar: una víctima de vishing elaborado, con suplantación del número de teléfono del banco, no actúa con negligencia grave aunque haya proporcionado sus credenciales. La jurisprudencia de las Audiencias Provinciales evoluciona favorablemente hacia la protección del consumidor.
Cuándo el banco debe devolver
Operaciones realizadas sin ninguna intervención del cliente (acceso a la banca online sin sus credenciales, cargos no autorizados), phishing muy sofisticado donde la suplantación es difícil de detectar para un usuario razonablemente diligente.
Cuándo el banco discute su responsabilidad
Cuando el cliente proporcionó voluntariamente sus claves, especialmente si fue advertido previamente por el banco de que nunca pide claves completas. En estos casos hay litigación y el resultado depende de las circunstancias concretas.
Cómo denunciar una estafa online correctamente
La denuncia puede presentarse de varias formas:
- Presencialmente en comisaría — lleva toda la documentación: capturas, correos, datos bancarios, recibos. Solicita copia sellada de la denuncia.
- Telemáticamente — la Policía Nacional y la Guardia Civil tienen portales específicos para denuncia online de delitos informáticos. Es válida pero tiene menos impacto en la urgencia de la investigación.
- Ante el Juzgado — mediante querella si la cuantía es elevada o si el caso requiere medidas urgentes como el bloqueo de cuentas. La querella constituye a quien la presenta como acusación particular desde el inicio.
Una denuncia bien documentada —con todos los datos técnicos, los movimientos bancarios y las comunicaciones fraudulentas adjuntos— acelera significativamente la investigación. Una denuncia escueta ralentiza el proceso.
Qué dice el Código Penal sobre las estafas online
El delito de estafa está regulado en los artículos 248 a 251 bis del Código Penal. El art. 248.2 tipifica específicamente las estafas informáticas: quien con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consiga una transferencia no consentida de activos patrimoniales. La pena base es de 6 meses a 3 años de prisión.
Las agravantes que elevan la pena son: cuantía superior a 50.000 € (hasta 6 años), especial gravedad por número de afectados o valor defraudado, pertenencia a organización criminal dedicada a la estafa, o recaer sobre víctimas especialmente vulnerables.
La estafa prescribe a los 5 años si la pena máxima es de hasta 3 años, y a los 10 años en los tipos agravados. El plazo empieza desde el momento en que se produce el fraude.
Las dificultades reales: anonimato, criptomonedas y jurisdicción
Hay que ser honesto sobre las dificultades de recuperar el dinero de una estafa online:
Anonimato del estafador
Los estafadores utilizan VPNs, identidades falsas y cuentas mula para ocultar su identidad. La identificación requiere cooperación entre el banco, la policía y, en muchos casos, proveedores de servicios extranjeros.
Criptomonedas
El dinero convertido a criptomonedas es muy difícil de recuperar. Una vez que sale del sistema bancario hacia una wallet de criptomonedas, las posibilidades de recuperación disminuyen drásticamente a menos que se actúe de inmediato.
Jurisdicción internacional
Muchos estafadores operan desde el extranjero. La cooperación judicial internacional es lenta y compleja. Para delitos de cuantía baja, el coste de la investigación internacional puede superar el importe defraudado.
Dicho esto, las posibilidades de recuperación son más reales cuando: el dinero fue a una cuenta bancaria española o europea, el fraude fue reciente (horas o días), existe documentación completa del engaño, y la vía bancaria (PSD2) puede activarse en paralelo a la vía penal.
Plazos que no debes dejar pasar
- Primeras horas — contacto con el banco para intentar revertir la transferencia.
- Primeros días — denuncia policial con toda la documentación.
- Primeras semanas — reclamación inmediata al banco por operación no autorizada. Cuanto antes se actúe, mayores posibilidades de recuperación existen.
- 5 años — prescripción del delito de estafa (desde la fecha del fraude).
¿Te han estafado online en Asturias?
Analizamos tu caso, valoramos las posibilidades reales de recuperar el dinero y actuamos en la vía penal y bancaria simultáneamente. Ver servicio de delitos informáticos →
Preguntas frecuentes
¿Puedo recuperar el dinero si lo transferí voluntariamente?
Depende de las circunstancias. Si fuiste víctima de un engaño sofisticado (suplantación de identidad del banco, ingeniería social elaborada), los tribunales pueden considerar que el banco debe responder bajo PSD2. Si simplemente caíste en una oferta demasiado buena para ser verdad, las posibilidades son menores.
¿Qué hago si el fraude fue en criptomonedas?
Actúa en las primeras horas: contacta con el exchange donde compraste las criptomonedas para intentar bloquear la salida. Presenta denuncia inmediatamente con los datos de la wallet destino. La recuperación es difícil pero no imposible si se actúa rápido.
¿Puedo denunciar aunque el estafador esté en otro país?
Sí. La denuncia se presenta en España y la policía española puede solicitar cooperación internacional. Para fraudes de cuantía significativa (varios miles de euros), merece la pena. Para fraudes de escasa cuantía, el coste-beneficio hay que valorarlo.
¿El banco tiene obligación de devolverme el dinero?
Bajo PSD2, sí si la operación no fue autorizada. El banco puede negarse si considera que hubo negligencia grave del cliente. En ese caso, la vía es la reclamación ante el Banco de España y, si no hay resolución favorable, la judicial.
¿Cuánto cuesta denunciar una estafa online?
La denuncia policial es gratuita. Si decides querellarte o contratar un abogado para la reclamación bancaria o penal, hay honorarios profesionales. Para fraudes superiores a 3.000-5.000 euros, el asesoramiento jurídico suele ser rentable dado el importe en juego.