La suplantación de identidad digital no se resuelve solo borrando una cuenta falsa. Si el ataque viene de phishing, de un acceso no autorizado o de una duplicación de la SIM, hay que cortar el daño, guardar pruebas y cerrar las puertas que el atacante pueda seguir usando. En este artículo explico, de forma práctica, qué haría primero en España para recuperar el control, denunciar con criterio y reducir el impacto sobre tu dinero, tus cuentas y tu reputación.
Las primeras decisiones determinan cuánto daño podrás contener
- Actúa desde un dispositivo limpio y cambia primero las claves del correo, la banca y las redes sociales.
- Guarda pruebas desde el minuto uno: capturas, enlaces, correos completos, fechas y movimientos sospechosos.
- Reporta el caso en la plataforma afectada y, si hace falta, ante Policía, Guardia Civil o la AEPD.
- Si hay dinero de por medio, bloquea tarjetas, avisa al banco y revisa si han abierto productos a tu nombre.
- No confíes en un único canal: email, SMS, llamadas y WhatsApp pueden estar comprometidos a la vez.
Qué hacer en las primeras horas
Yo suelo dividir la respuesta en tres frentes: contención, prueba y notificación. Si intentas “limpiar” el problema sin cambiar antes el acceso principal, el atacante puede seguir entrando por el correo, por el móvil o por sesiones que aún siguen abiertas.
- Corta el alcance. No pulses enlaces nuevos ni respondas al mensaje original. Si todavía tienes acceso a la cuenta comprometida, cierra sesión en todos los dispositivos desde el propio panel de seguridad.
- Cambia las contraseñas desde un equipo confiable. Empieza por el correo electrónico, sigue por banca, redes sociales y almacenamiento en la nube. Si reutilizabas la misma clave, asume que todas esas cuentas están en riesgo.
- Activa o refuerza la autenticación en dos pasos. Mejor con app autenticadora o llave física que con SMS, sobre todo si sospechas de robo de SIM o de duplicado de línea.
- Revisa los métodos de recuperación. Comprueba correo secundario, teléfono de recuperación, reglas de reenvío, dispositivos de confianza y accesos de terceros. Es un punto que muchos olvidan y suele ser el camino de vuelta del atacante.
- Congela la evidencia. Haz capturas, guarda el enlace exacto, registra fecha y hora, exporta correos si puedes y anota cualquier importe, IBAN, usuario o número asociado al fraude.
- Contacta con los servicios críticos. Si hay banca o tarjetas implicadas, avisa al banco sin esperar. Si sospechas de una intervención de la línea móvil, llama a tu operadora y pide bloqueo o revisión inmediata.
Si te notas desbordado, yo pediría ayuda cuanto antes: el 017 de INCIBE es gratuito, confidencial y atiende de 8:00 a 23:00, todos los días del año. Para una respuesta rápida, la diferencia entre actuar en una hora o en un día puede ser enorme, sobre todo cuando el ataque mezcla phishing con robo de cuenta. El siguiente paso es identificar qué tipo de suplantación tienes delante, porque no todos los casos se atacan igual.
Cómo distinguir el tipo de suplantación
Phishing, smishing, vishing y robo de cuentas se parecen, pero no se resuelven exactamente igual. Cuando clasifico un caso, miro primero dónde empezó el engaño y qué control ha perdido la víctima: acceso a la cuenta, dinero, reputación o la propia línea móvil.
| Escenario | Señal típica | Primer paso útil |
|---|---|---|
| Phishing por correo | Un mensaje falso pide contraseña, código o tarjeta | No uses el enlace, entra por la web oficial y cambia la clave |
| Smishing por SMS | Un aviso urgente lleva a una web clonada | Borra el mensaje, guarda captura y comprueba la cuenta por otra vía |
| Vishing por llamada | Alguien se hace pasar por tu banco o soporte técnico | Cuelga y llama tú al número oficial que ya tengas guardado |
| Cuenta robada | Tu perfil envía mensajes, pide dinero o cambia datos | Revoca sesiones, cambia clave y revisa correos y teléfonos de recuperación |
| Duplicado de SIM o robo de línea | Te quedas sin cobertura y dejan de llegar códigos | Contacta con la operadora y bloquea la línea cuanto antes |
| Perfil falso en redes | Alguien copia nombre, fotos o biografía para engañar a otros | Denúncialo en la red social y prepara pruebas para una reclamación formal |
Esta distinción importa porque un perfil falso se elimina por una vía, mientras que una cuenta robada exige recuperar accesos y cortar sesiones activas. Si el problema afecta a tu imagen pública o a tus datos personales, el siguiente paso es denunciar con orden y sin perder documentación.
Dónde denunciar en España y qué pruebas guardar
La prioridad es denunciar primero donde duele el incidente y después donde tenga recorrido legal. La plataforma afectada suele tener formularios específicos para cuentas falsas, contenido publicado sin permiso o accesos indebidos; después, si el daño sigue o hay delito, toca escalar.
- En la propia plataforma: usa el formulario de denuncia por suplantación, robo de cuenta o contenido fraudulento. No basta con escribir al soporte general si existe un canal específico.
- Ante Policía Nacional, Guardia Civil o Alertcops: conviene hacerlo cuando hay amenazas, fraude, acceso no autorizado, uso de tus datos o perjuicio económico.
- Ante la AEPD: si la suplantación afecta a tus datos personales y la plataforma no responde o no corrige el problema, la vía de protección de datos cobra sentido.
INCIBE insiste en que, cuando reportes phishing, smishing, vishing o una tienda falsa, adjuntes una descripción clara y, si es posible, capturas o la URL maliciosa. Yo añadiría algo más: guarda el correo original completo, no solo la captura, porque los encabezados técnicos ayudan mucho a reconstruir el origen del ataque.
- Capturas de pantalla con fecha visible, si es posible.
- Enlaces exactos, nombres de usuario y teléfonos usados por el atacante.
- Correos completos con remitente, asunto y adjuntos.
- Referencias de pago, IBAN, número de tarjeta o confirmaciones de transferencia.
- Pruebas de que la cuenta, el perfil o la línea te pertenecen a ti.
Si además perdiste o te robaron el DNI, denúncialo cuanto antes; no esperes a que aparezca un problema financiero para moverte. Con la denuncia y las pruebas bien recogidas, ya puedes pasar al frente más delicado: el dinero y los productos contratados en tu nombre.
Qué hacer si han tocado tu dinero o tus cuentas
Cuando la suplantación deja de ser solo reputacional y pasa a tener impacto económico, el orden es muy simple: bloquea, reclama y documenta. Aquí no conviene improvisar, porque cada minuto cuenta si hay tarjetas, transferencias o incluso créditos abiertos a tu nombre.
| Situación | Qué haría yo | Por qué importa |
|---|---|---|
| Cargo no reconocido en tarjeta | Aviso inmediato al banco y bloqueo de la tarjeta | Desde el aviso, las operaciones posteriores no deberían cargarte a ti |
| Transferencia o compra que no hiciste | Pide revisión y deja constancia por escrito | La trazabilidad acelera la reclamación y la posible reversión |
| Préstamo, crédito o aval a tu nombre | Consulta la CIRBE y reclama a la entidad | Sirve para detectar productos que quizá no conocías |
| Apertura de cuenta sin tu consentimiento | Reúne pruebas y presenta reclamación formal | Permite dejar constancia de la usurpación y pedir corrección |
El Banco de España recuerda que, en tarjetas, si hay pérdida o robo, debes avisar inmediatamente a la entidad; antes de ese aviso, la responsabilidad por uso no autorizado puede llegar a 50 euros salvo negligencia, y después del aviso las operaciones posteriores pasan a cargo del banco. Si crees que han contratado un préstamo o un crédito a tu nombre, consulta la CIRBE y presenta reclamación primero ante la entidad; si no responden o no estás de acuerdo, puedes escalar al Banco de España.
En casos así, yo no dejaría pasar una sola captura de movimiento extraño. Cuanto más rápido cierres el acceso financiero, menos opciones tendrá el atacante de convertir una suplantación en una deuda o en una pérdida real. Después viene la parte que más cuesta, aunque sea igual de importante: reconstruir tu huella digital.
Cómo recuperar tu huella digital y frenar el perfil falso
No siempre basta con cerrar la cuenta comprometida. Si la suplantación ya circula por redes, foros o mensajería, toca limpiar presencia, avisar a tus contactos y reducir la exposición de tus datos. Yo aquí suelo actuar con una mezcla de visibilidad y discreción: lo justo para frenar el fraude, no para amplificarlo.
- Busca tu nombre, correo, teléfono y DNI en motores de búsqueda para ver qué información aparece asociada a ti.
- Activa alertas para tu nombre o alias principal, así detectarás reapariciones tempranas del perfil falso.
- Denuncia el perfil clonado dentro de la red social y, si la respuesta es pobre, deja constancia por una vía formal.
- Avisar a tus contactos puede evitar que alguien caiga en una estafa enviada en tu nombre, sobre todo si el atacante pide dinero o códigos.
- Revisa la privacidad de fotos, historias, número de teléfono, correo y lista de seguidores. Lo público es material útil para el siguiente intento de suplantación.
- Si te robaron o extraviaste el DNI, no lo minimices: ese documento abre puertas que luego cuestan mucho más cerrar.
Hay una parte incómoda aquí: aunque borres el perfil falso, puede quedar capturas o copias en otros sitios. Por eso yo suelo pensar en “reducción de superficie”, no en limpieza perfecta. El objetivo real es que el atacante tenga cada vez menos material para seguir fingiendo que eres tú.
Cómo evitar que vuelva a pasar
La prevención útil no es la que promete invulnerabilidad, sino la que hace más caro el ataque. Si te atacaron por phishing, casi seguro explotaron una combinación de urgencia, confianza y datos expuestos. Ahí es donde hay que cerrar huecos.
- Usa contraseñas únicas y un gestor de contraseñas para no repetir claves entre servicios.
- Activa la autenticación en dos pasos en correo, banca, redes y servicios críticos.
- Separa tu correo principal del que usas para registros secundarios o menos confiables.
- Limita lo que compartes sobre teléfono, dirección, fecha de nacimiento y documentos.
- Bloquea la SIM con PIN y revisa con tu operadora qué protecciones ofrece frente a duplicados o portabilidades no autorizadas.
- No valides prisas: si un mensaje te empuja a actuar en segundos, asume que puede ser una trampa hasta comprobar lo contrario.
- Actualiza sistema, navegador y aplicaciones; muchas campañas de fraude se apoyan en software viejo y en usuarios con demasiado tiempo de exposición.
Yo añadiría una regla simple: si un canal parece urgente, verifica por otro distinto. Si el mensaje llega por SMS, entra a la web manualmente; si llega por llamada, cuelga y marca tú el número oficial; si llega por WhatsApp, revisa si la cuenta tuvo cambios recientes. Esa pequeña fricción rompe muchos fraudes.
Lo que vigilaría durante las semanas siguientes
Yo no daría el caso por cerrado el mismo día de la denuncia. Durante las semanas posteriores vigilaría cuatro cosas: nuevos inicios de sesión, mensajes enviados en tu nombre, movimientos bancarios extraños y reaparición del perfil falso bajo otra variante. Si una de esas piezas vuelve a moverse, el incidente no estaba realmente resuelto.
- Revisa si llegan avisos de acceso desde dispositivos o ubicaciones que no reconoces.
- Comprueba si reaparecen cambios en correo, teléfono o métodos de recuperación.
- Observa si tus contactos reciben mensajes raros o peticiones de dinero.
- Guarda toda la documentación al menos hasta que la plataforma, el banco o la autoridad te confirme que el caso quedó encauzado.
Cuando actúas rápido, documentas bien y escalas cada parte por el canal adecuado, la suplantación deja de ser una bola de nieve. No siempre se puede borrar todo de inmediato, pero sí se puede cortar el abuso, recuperar cuentas y evitar que una estafa de phishing se convierta en un problema mucho mayor.
