La suplantación de identidad es una de las estafas más antiguas que se conocen, y este año sigue siendo uno de los grandes dolores de cabeza tanto para empresas como para usuarios, y tanto a nivel presencial como digital. El punto de partida es sencillo: intentar hacerse pasar por otra persona para actuar en su nombre, generalmente con finalidades fraudulentas o delictivas. Sin embargo, la ejecución hoy en día ya no es tan simple: la evolución y democratización de la tecnología, sobre todo de la IA generativa, han dado lugar a técnicas de suplantación de identidad increíblemente sofisticadas, difíciles en muchos casos de detectar a simple vista.
Hoy, es fácil abrir un diario y encontrarnos con una noticia de suplantación de identidad, ya sea porque han clonado la voz de una persona, porque han robado su DNI y/o sus datos de acceso a una cuenta bancaria, o incluso porque han creado una identidad sintética con parte de sus datos reales y otros ficticios. Las posibilidades parecen inacabables, y las suplantaciones pueden producirse en diferentes sentidos.
Ante este escenario, las empresas llevan tiempo implementando medidas de seguridad cada vez más avanzadas, basadas también en IA generativa —sí, se combate el fuego con fuego— para crear sistemas de verificación de la identidad en tiempo real, autenticación continua e incluso sistemas predictivos.
Pero, ¿qué podemos hacer los usuarios de a pie para evitar ser víctimas de estas cada vez más frecuentes estafas? Es cierto que dependemos en gran medida de que las empresas implementen estos sistemas de verificación de la identidad fiables, ya que son la forma más efectiva de frenar la suplantación de identidad. Sin embargo, hay ciertas acciones que podemos llevar a cabo para contribuir a la detección y prevención de este fraude.
1. Detectar la suplantación de identidad: ¿qué debe hacer saltar las alarmas?
La estafa masiva: cuando los ciberdelincuentes no quieren esforzarse demasiado
Las estafas de suplantación de identidad por phishing, smishing o vishing son todavía muy comunes, pero como se enfocan a cantidad, y no a elaborar una cuidada estafa de calidad, son relativamente fáciles de detectar. En este caso no intentan suplantar la identidad del usuario, sino que suplantan la identidad de una empresa o entidad conocida, para inducirnos a revelar nuestros datos y accesos. ¿Qué nos puede alertar?
• Phishing (correo electrónico falso): ya no suelen tener faltas de ortografía ni una gramática descuidada, pero sí que los delata el dominio del remitente —puede ser soporte@banco.es.com (el .com al final muestra que no es el oficial). Desconfía de los archivos adjuntos, incluso si parecen facturas: podrían ser ransomware o malware. Y sobre todo, nunca proporciones datos personales ni claves de acceso en respuesta a un email, SMS o llamada: accede directamente a tu banca online o llama a la banca telefónica para comprobar si la petición es real.
• Smishing (SMS y Vishing (llamadas): suelen suplantar a empresas de reparto, como Correos o Seur, o a entidades bancarias. Como hemos comentado, lo mejor es no proporcionar ningún dato. Cuelga y marca el número de contacto que aparece en la web oficial. Nunca uses el número que te proporciona el supuesto empleado.
Este tipo de estafas suelen aplicar además una gran sensación de urgencia o amenazan con supuestas consecuencias graves si no accedes a proporcionar la información que solicitan (“no entregaremos el paquete” o “su cuenta será bloqueada, entre otras).
Suplantación en redes sociales y deepfakes: las estafas “personalizadas”
En estos casos, los delincuentes intentan suplantar tu identidad o la de algún familiar o conocido, para inducirte a proporcionar datos sensibles o a realizar pagos o transferencias de dinero. Suelen ser menos detectables que las anteriores, porque entra en juego el factor de la confianza —la supuesta “petición” viene de alguien que (teóricamente) conocemos y en quien confiamos.
• Perfiles falsos: se crean para solicitar dinero a los contactos de la persona (“soy tu padre o tu madre, y muchos casos de "soy tu hijo, estoy fuera de casa y he perdido la cartera y el móvil, me han dejado uno". Lo mejor es llamar directamente a la persona y comprobar que lo que dice es cierto. Una práctica muy útil es acordar con tu familia una "palabra clave" o pregunta de seguridad para verificar la identidad en llamadas sospechosas o de emergencia.
• Deepfakes y clonación de voz: la mayor amenaza de 2025 debido al auge de la IA generativa. Los ciberdelincuentes usan IA para clonar tu voz o imagen y hacer videollamadas o enviar audios a familiares pidiendo transferencias urgentes. Como en el caso anterior, podemos acordar una palabra o pregunta de seguridad, ya que podrán “falsificar” a la persona, pero no algo que solo ella sabe.
Fugas de datos y SIM swapping
En este tipo de suplantaciones, los delincuentes obtienen nuestros datos identificativos y/o de acceso por brechas de seguridad o mediante otras técnicas, y se hacen pasar por nosotros para cometer fraudes. Aunque son las empresas quienes en última instancia deben verificar si realmente el usuario que accede o contacta es quien dice ser, podemos estar alerta a ciertas señales y realizar de forma periódica algunas comprobaciones de seguridad:
• Filtraciones de datos: puedes comprobar si tu email se ha visto comprometido en una filtración de datos en herramientas como Have I been Pwned? Si el email ha sido comprometido, probablemente el password también.
• SIM swapping: el atacante convence a tu operadora de telefonía para que transfiera tu número a su tarjeta SIM, es decir, realizan un duplicado de la tarjeta. Con eso, pueden recibir los códigos 2FA por SMS y acceder a tu banca o email, además de acceder a toda la información personal que hay en tu dispositivo. Si tu teléfono pierde la señal sin motivo o recibes un mensaje de tu operadora sobre un cambio de tarjeta que no has solicitado, contacta con ellos de inmediato para ponerlo en su conocimiento.
2. Otros indicadores de que nuestra identidad puede haber sido suplantada
- No puedes iniciar sesión en tu correo principal o redes sociales; las credenciales y el correo de recuperación han sido modificados.
- Detectas cargos o transferencias no reconocidas en tus cuentas bancarias o tarjetas.
- Recibes facturas, cartas de deudas, o contratos de servicios (hipotecas, créditos, líneas de teléfono) que nunca solicitaste.
- Recibes notificaciones de inicio de sesión en tus cuentas desde ubicaciones geográficas extrañas o dispositivos desconocidos.
- Recibes requerimientos de la Agencia Tributaria por actividades económicas o ganancias (por ejemplo, de juego online) que nunca realizaste.
3. ¿La mejor defensa? La prevención
Nuestros expertos lo tienen claro: la mejor defensa es la prevención, tanto para empresas como para usuarios. Una vez llevado a cabo el fraude, lo único que podemos hacer es minimizar los daños; sin embargo, el mal ya estaría hecho. Las empresas cuentan con soluciones de verificación y autenticación de la identidad muy avanzadas para protegerse y protegernos, pero, como usuarios, ¿qué podemos hacer para prevenir los fraudes?
- Aplica siempre el “principio de mínima exposición”: suministra solo los datos estrictamente necesarios. Desconfía de concursos o promociones donde te piden demasiada información personal, o altas en webs o apps que solicitan información innecesaria.
- Configura la privacidad de tus redes para que el contenido sea accesible solo por tus amigos. Cuanto menos sepa un atacante de ti (mascotas, fechas clave, nombres), más difícil será que pase los filtros de seguridad.
- Las contraseñas son un sistema cada vez menos seguro de proteger nuestros accesos online. Lo mejor es optar por autenticación biométrica combinada con sistemas de autenticación multifactor o de doble factor (MFA/2FA).
- Revisa regularmente (por ejemplo, cada seis meses), los permisos que tienen tus aplicaciones de redes sociales y tu móvil. Limita el acceso a la ubicación, micrófono y cámara a las apps estrictamente necesarias.
- Desconfía de códigos QR en lugares públicos (como ofertas o promociones en carteles de parkings, etc.), podrían ser fraudulentos y llevarte a webs que buscan robar tus datos (QRishing).
4. Cuando la prevención no es suficiente: ¿qué hago si he sido víctima de un ciberdelito?
A veces sucede, y nos puede pasar a todos: una filtración de datos, un mensaje o llamada que nos encuentra con la guardia bajada, una estafa increíblemente verosímil… Por desgracia, no se pueden prevenir el 100% de los ciberdelitos. ¿Qué podemos hacer si nos pasa?
- En primer lugar, si sospechas que tienes malware instalado, desconecta inmediatamente tu dispositivo de la red (apaga el Wi-Fi y el cable de red).
- Haz capturas de pantalla de todos los mensajes, correos o perfiles falsos. No los borres, son la prueba clave para la denuncia.
- Si se trata de un fraude bancario, pide a tu entidad el registro de la transferencia (hora, destino, importe) para adjuntarlo a la denuncia.
- Denuncia el delito. Es imprescindible para cualquier reclamación posterior.
- Si se han utilizado tus datos personales de manera indebida (por ejemplo, para darte de alta en servicios o solicitar un crédito), puedes ejercer tu Derecho de Oposición o Cancelación ante la AEPD para evitar que ese tratamiento de datos continúe.
- Pide a las compañías de teléfono o servicios como luz, gas o agua, un informe de contratos abiertos a tu nombre.
- Informa a tu entorno que eres una víctima de fraude para que estén alerta ante posibles mensajes fraudulentos que se envíen en tu nombre.
- El teléfono 017 ofrece un servicio gratuito y confidencial de ayuda en ciberseguridad para ciudadanos (INCIBE). Ellos pueden guiarte sobre cómo actuar tras la suplantación.
En definitiva, la ciberseguridad está en nuestras manos, como usuarios y como empresas. Debemos convertir la protección de nuestros datos en una actitud. Por parte de las empresas, implementar tecnologías en verificación de la identidad fiables, basadas en IA generativa, hace que tengamos ganadas muchas batallas. Por parte de los usuarios, debemos ser precavidos con nuestra actividad digital, usando métodos de acceso seguros, verificando las solicitudes que nos llegan en forma de llamadas y mensajes, y manteniendo en general una correcta higiene digital.
