La suplantación de identidad en internet se ha convertido en uno de los problemas más serios de la vida digital moderna. Cada vez es más fácil que alguien se haga pasar por otra persona o por una empresa conocida, ya sea para robar dinero, acceder a información confidencial o simplemente para dañar la reputación de alguien. Y lo peor es que, muchas veces, la víctima no se da cuenta hasta que el daño ya está hecho.
En este artículo vas a encontrar una guía completa y muy práctica sobre qué es exactamente la suplantación de identidad, cómo la llevan a cabo los ciberdelincuentes (y también otros usuarios corrientes), qué tipos de suplantación existen tanto a nivel técnico como en el día a día, qué consecuencias legales y personales puede tener, cómo prevenirla y cómo reaccionar si crees que te están suplantando en redes sociales, correo electrónico u otros servicios online.
Qué es la suplantación de identidad en internet
Cuando hablamos de suplantación de identidad nos referimos a la situación en la que una persona o entidad se hace pasar por otra con una finalidad maliciosa: engañar, obtener dinero, acceder a datos privados, difamar, acosar o incluso cometer delitos en nombre de la víctima. Es como ponerse una máscara digital y utilizar tu nombre, tu foto o tus datos para actuar como si fueras tú.
Esta conducta puede darse tanto fuera de la red como en el entorno online, pero en internet se multiplica su impacto: la velocidad de difusión y el anonimato relativo facilitan que se creen perfiles falsos, se envíen correos fraudulentos o se roben cuentas en cuestión de minutos, alcanzando a muchísimas personas al mismo tiempo.
En el ámbito de la ciberseguridad se considera la suplantación de identidad como una forma de fraude basada en la ingeniería social. El atacante explota vulnerabilidades humanas —como la confianza, el miedo, la prisa o el desconocimiento técnico— para convencer a la víctima de que haga algo que le perjudica: pinchar en un enlace, dar su contraseña, instalar un archivo, enviar dinero o compartir información sensible.
Las estadísticas de distintos organismos de ciberseguridad apuntan a que millones de personas sufren cada año robos o suplantaciones de identidad en todo el mundo. En España, la Oficina de Seguridad del Internauta (OSI) ha llegado a registrar incrementos de más del 100 % interanual en denuncias de suplantación online, especialmente ligados al uso de redes sociales y servicios financieros.
Diferencias entre suplantación y usurpación de identidad
Aunque en el lenguaje cotidiano muchas veces se usan como sinónimos, suplantación de identidad y usurpación de identidad no son exactamente lo mismo. Conviene diferenciarlos, sobre todo cuando hablamos de posibles consecuencias legales.
Se suele hablar de suplantación de identidad cuando alguien utiliza la identidad de otra persona de forma puntual o para un objetivo concreto: mandar unos cuantos correos como si fuera ella, abrir un perfil falso para una estafa concreta, hacer una llamada haciéndose pasar por un banco, etc.
En cambio, la usurpación de identidad implica normalmente un uso continuado y más profundo de esa identidad ajena, manteniéndolo en el tiempo para obtener beneficios económicos, controlar cuentas, contratar servicios o cometer fraudes de mayor calado. En el entorno online, sería el supuesto de alguien que gestiona durante meses un perfil robado o que contrata múltiples servicios a nombre de otra persona.
En cualquier caso, tanto la suplantación como la usurpación pueden llegar a ser constitutivas de delito si se utilizan datos personales reales, se vulnera la intimidad, se accede sin permiso a sistemas o se producen estafas y daños económicos o reputacionales relevantes.
Cómo se realiza la suplantación de identidad en internet
Para poder suplantar a alguien con cierta credibilidad, el atacante necesita recopilar información personal o credenciales de acceso. Esa información puede conseguirla de muchas formas, combinando técnicas técnicas (malware, vulnerabilidades) con engaños directos (phishing, smishing, vishing) o aprovechando descuidos de la víctima.
En términos generales, los ciberdelincuentes suelen apoyarse en tres grandes vías: el robo directo de dispositivos o cuentas, la interceptación de comunicaciones en redes inseguras y los ataques de ingeniería social para que la víctima entregue sus datos voluntariamente, aunque esté engañada.
Algunas técnicas habituales para conseguir datos con los que suplantar una identidad son:
- Robo o pérdida de equipos que almacenan información privada (móviles, portátiles, memorias USB) sin cifrar, lo que permite al atacante acceder a correos, fotos, documentos o contraseñas guardadas.
- Phishing, smishing y vishing: correos electrónicos, SMS o llamadas telefónicas que se hacen pasar por bancos, redes sociales u otras empresas conocidas, e incluyen enlaces a páginas falsas o peticiones de datos personales y contraseñas.
- Intercepción de datos en redes Wi‑Fi inseguras (ataques man-in-the-middle), donde el atacante se sitúa entre el usuario y el servicio legítimo para leer o modificar la información que se envía.
- Uso de malware (troyanos, keyloggers, spyware) instalado mediante archivos adjuntos o descargas maliciosas, que registra pulsaciones de teclado, roba contraseñas o abre puertas traseras en el equipo.
- Aprovechamiento de filtraciones de datos de servicios online, en las que se exponen correos y contraseñas reutilizadas en varios sitios, facilitando el acceso a múltiples cuentas.
La Oficina de Seguridad del Internauta destaca, además, que un gran número de suplantaciones se producen accediendo directamente a las cuentas del usuario mediante credenciales robadas (por phishing, malware o fuerza bruta) o a través de perfiles falsos en redes sociales que copian fotos e información real para engañar a terceros.
Principales tipos de suplantación de identidad
La suplantación de identidad no se limita a crear un perfil falso en una red social. En el ámbito de la ciberseguridad se reconocen distintos tipos de suplantación, que van desde ataques muy visibles para el usuario (correos, SMS, llamadas) hasta técnicas más técnicas que afectan a direcciones IP, DNS, ARP o sistemas biométricos.
Perfiles falsos y robo de cuentas en redes sociales
Uno de los casos más cotidianos es la creación de perfiles falsos que utilizan fotos e información real de otra persona en redes sociales o servicios online. Con ese perfil, el atacante puede difundir bulos, acosar, contactar con amigos de la víctima o lanzar estafas (por ejemplo, solicitando dinero o datos haciéndose pasar por ella).
También es muy frecuente que alguien robe directamente una cuenta legítima, ya sea adivinando la contraseña, aprovechando una sesión abierta en un ordenador compartido o usando credenciales obtenidas por phishing. Aunque el titular original no pierda el acceso, el atacante puede enviar mensajes, ver conversaciones privadas o modificar datos del perfil.
En el entorno de los menores, este tipo de suplantación suele vincularse con ciberacoso, difusión de contenido íntimo o grooming. Compañeros o conocidos roban una cuenta o crean un perfil falso para burlarse, publicar fotos sin consentimiento, humillar o presionar a la víctima.
Suplantación de identidad por correo electrónico (email spoofing)
La suplantación por correo electrónico es uno de los ataques más extendidos. Consiste en falsificar la dirección del remitente para que el mensaje parezca enviado por una persona o empresa de confianza. El protocolo SMTP no obliga a autenticar el origen, de ahí que un atacante con ciertos conocimientos pueda manipular los encabezados del mensaje.
Los correos fraudulentos suelen incluir peticiones urgentes de dinero, datos o acceso, enlaces a sitios web falsos o archivos adjuntos con malware. Puede haber una víctima directa (quien recibe esos correos) y una víctima indirecta (la persona o empresa cuya identidad se está utilizando para lanzar la campaña).
A nivel empresarial, estas técnicas se combinan con ataques tipo BEC (Business Email Compromise), donde el ciberdelincuente se hace pasar por un directivo o proveedor para lograr transferencias bancarias o acceso a sistemas internos. El impacto económico y reputacional para la organización puede ser muy elevado.
Suplantación por SMS y otros mensajes de texto (smishing)
En la suplantación por mensajes de texto, el atacante manipula la información que aparece como remitente del SMS, a menudo usando un identificador alfanumérico (por ejemplo, el nombre de un banco o una empresa de mensajería) en lugar de un número de teléfono normal. Esto hace que el mensaje parezca más fiable e incluso se agrupe en la misma conversación que SMS legítimos.
Estos mensajes suelen contener enlaces a páginas de phishing o descargas maliciosas. Es muy habitual recibir supuestos avisos de bancos, compañías telefónicas o servicios de paquetería indicando problemas con un envío, cobros inesperados o premios, todo ello acompañado de un enlace para «resolver la incidencia».
Suplantación telefónica e identificación de llamadas
La suplantación de identificación de llamadas (caller ID spoofing) se produce cuando el estafador hace que en tu teléfono aparezca un número distinto del real, normalmente un número local o el de una entidad conocida. Este truco se apoya en servicios de VoIP o aplicaciones de llamadas falsas que permiten configurar casi cualquier número visible para el receptor.
Una vez coges la llamada, el atacante intenta arrancarte información personal o financiera (PIN, contraseñas, datos de tarjeta, códigos de autenticación), muchas veces aprovechando un discurso alarmista o de urgencia para que no te dé tiempo a pensar.
Suplantación de sitios web y URLs
Otro clásico es la creación de páginas web falsas que imitan a sitios legítimos como bancos, plataformas de comercio electrónico, proveedores de correo o redes sociales. Se copian logotipos, colores, estructura y, en ocasiones, hasta la misma redacción de los textos.
La URL suele ser muy parecida a la original, cambiando apenas algún carácter, añadiendo un subdominio o utilizando un dominio distinto pero similar. El objetivo es que el usuario introduzca su nombre de usuario, contraseña o datos de pago sin sospechar que está en un entorno fraudulento.
Suplantación de IP y ataques de red
En un nivel más técnico encontramos la suplantación de direcciones IP. Aquí, el atacante modifica los encabezados de los paquetes de datos que envía para que parezca que proceden de un equipo de confianza, como uno de la red interna de una organización.
Este tipo de ataque se utiliza tanto para intentar acceder sin autorización a sistemas internos como para lanzar ataques de denegación de servicio distribuida (DDoS), en los que se envía gran cantidad de tráfico falso para saturar un servidor o servicio.
Suplantación de ARP y DNS
La suplantación de ARP (o envenenamiento de caché ARP) se da cuando un atacante envía respuestas ARP falsas dentro de una red local para vincular su dirección MAC con la IP de otro dispositivo legítimo. Con ello puede interceptar, modificar o bloquear el tráfico destinado a ese equipo.
La suplantación de DNS (envenenamiento de caché DNS) consiste en alterar las entradas de los servidores DNS para que la resolución de una dirección web apunte a una IP controlada por el atacante. Así, cuando el usuario crea que entra en su banco u otra web segura, en realidad está aterrizando en un clon malicioso.
Suplantación de GPS y localización
La suplantación de GPS se produce cuando se envían señales de localización falsas a un receptor (por ejemplo, el sistema de navegación de un vehículo o las funciones de ubicación de un móvil), haciéndole creer que está en un lugar distinto del real.
Este tipo de técnicas tiene implicaciones claras en navegación marítima, transporte aéreo y aplicaciones móviles basadas en localización, pudiendo utilizarse para desviar rutas, falsear registros o manipular servicios que dependen de la ubicación del usuario.
Suplantación facial y biométrica
Con la expansión del reconocimiento facial para desbloquear móviles, acceder a servicios o realizar controles de seguridad, y con el avance de la IA y la ciberseguridad, ha aparecido la suplantación de identidad a través de datos biométricos. Mediante fotos de alta calidad, vídeos, máscaras 3D o datos biométricos robados, se intenta engañar a los sistemas de reconocimiento.
Para defenderse, muchas soluciones incorporan mecanismos de detección de vivacidad: comprobar patrones de parpadeo, pedir al usuario que gire la cabeza o que realice gestos concretos, medir profundidad, detectar reflejos reales, etc. El objetivo es distinguir una cara viva de una imagen estática o una recreación artificial.
Motivaciones y consecuencias de la suplantación de identidad
Detrás de la gran mayoría de casos de suplantación hay una motivación clara: el beneficio económico. Los atacantes quieren acceso a cuentas bancarias, tarjetas, monederos digitales o servicios que les permitan mover dinero o vender los datos robados en el mercado negro.
Sin embargo, no es la única razón. En muchos contextos, especialmente entre particulares, la suplantación también se utiliza para dañar la imagen o la intimidad de otra persona, acosarla, vengarse, humillarla públicamente o presionarla para obtener fotos, vídeos u otro tipo de contenido íntimo.
Las consecuencias para la víctima pueden ser muy graves:
- Pérdidas económicas directas si se accede a cuentas bancarias, métodos de pago o se contratan servicios a su nombre.
- Daño reputacional cuando se publican mensajes ofensivos, contenido humillante o datos sensibles que afectan a su imagen personal o profesional.
- Ciberacoso continuado si el perfil falso o la cuenta robada se utiliza para insultar, ridiculizar o manipular a terceros en su nombre.
- Grooming y chantaje sexual cuando se presiona a la víctima (o a menores) para que envíen contenido íntimo que luego se usa para extorsionar.
- Pérdida de privacidad al quedar expuestas fotos, conversaciones, documentos o información que la persona nunca quiso hacer pública.
Desde el punto de vista legal, la persona que suplanta puede enfrentarse a diversos tipos de delitos recogidos en la legislación española: estafa, descubrimiento y revelación de secretos, daños informáticos, utilización indebida de datos personales o incluso delitos contra el honor, en función de lo que haya hecho con la identidad ajena.
Marco legal y protección de datos en España
En España, la suplantación de identidad online suele entrar en colisión con el derecho fundamental al honor, la intimidad y la propia imagen (artículo 18 de la Constitución) y con la normativa de protección de datos personales (LOPDGDD y Reglamento General de Protección de Datos).
Registrar un perfil falso con nombre, imagen o datos de un tercero sin su consentimiento puede constituir una infracción en materia de protección de datos, incluso aunque no llegue a cometerse un delito más grave. Si además se incluyen datos personales como dirección, correo, teléfono o información sensible, la gravedad se incrementa y puede acarrear responsabilidades civiles y penales.
La Agencia Española de Protección de Datos (AEPD) tiene competencias para investigar y sancionar este tipo de comportamientos, especialmente cuando las plataformas no reaccionan adecuadamente tras una denuncia. Por su parte, las Fuerzas y Cuerpos de Seguridad del Estado pueden actuar cuando hay indicios de delito (estafas, amenazas, acoso, etc.).
Medidas preventivas: cómo protegerse de la suplantación
La buena noticia es que, aunque no podemos eliminar el riesgo al 100 %, sí podemos reducir muchísimo las probabilidades de que alguien logre suplantar nuestra identidad si adoptamos una serie de hábitos y controles de seguridad.
Limitar la exposición de información personal en internet
Cuanta más información publiques sobre ti, más fácil se lo pones a un atacante. Conviene revisar con calma la configuración de privacidad de todas tus redes sociales y servicios, para que solo tus contactos de confianza puedan ver tus datos personales.
Siempre que puedas, evita mostrar de forma pública detalles como tu número de teléfono, tu correo principal, tu dirección o tu fecha de nacimiento completa. Además, puedes consultar guías sobre cómo desaparecer de internet para minimizar tu huella digital. Esta información se utiliza a menudo para responder preguntas de seguridad, forzar contraseñas o montar perfiles falsos creíbles.
En foros, blogs y otras plataformas abiertas es buena idea plantearse el uso de alias o apodos en lugar de tu nombre real. No se trata de esconderte, sino de hacer más difícil que alguien trace todo tu rastro digital y lo utilice en tu contra.
También es importante ser selectivo con tus datos de contacto: no entregues tu correo personal o tu número de móvil a cualquier web o formulario. Puedes recurrir a direcciones de correo temporales o secundarias para registros en sitios de poca confianza.
Por último, debes tener claro que nunca debes compartir contraseñas ni datos sensibles por correo, SMS o mensajería. Las entidades legítimas no te pedirán tus credenciales completas por estos canales.
Buenas prácticas de contraseñas y autenticación
Una parte enorme de las suplantaciones se evitarían si los usuarios utilizaran contraseñas robustas y únicas para cada servicio, en lugar de repetir la misma clave en todas partes. Una contraseña segura combina letras mayúsculas, minúsculas, números y símbolos, y no está relacionada con datos fáciles de adivinar (nombres, fechas, equipos de fútbol, etc.).
Es muy recomendable usar un gestor de contraseñas para no tener que recordar todas las claves. Además, siempre que el servicio lo permita, deberías activar la autenticación de dos factores (2FA), de forma que, aunque alguien robe tu contraseña, siga necesitando un código adicional para acceder a la cuenta.
Seguridad en redes, dispositivos y aplicaciones
Actualizar periódicamente el sistema operativo, el navegador, las aplicaciones y los dispositivos no es un capricho: las actualizaciones incorporan parches de seguridad que cierran vulnerabilidades aprovechadas por los atacantes para instalar malware o acceder sin permiso.
Si te conectas a redes Wi‑Fi públicas o abiertas, evita introducir datos sensibles (banca online, pagos, credenciales corporativas) a menos que uses una VPN para cifrar el tráfico. Las redes abiertas son el caldo de cultivo perfecto para ataques de tipo man‑in‑the‑middle.
En el ámbito profesional y corporativo, las empresas deberían contar con medidas adicionales: clasificación de la información, formación en ciberseguridad, análisis de vulnerabilidades, pentesting, cifrado de discos en portátiles y dispositivos móviles, soluciones DLP para prevenir fugas de datos y canales seguros (HTTPS, VPN, correo cifrado, túneles SSH) para el envío de información personal.
Egosurfing y monitorización de la propia huella digital
Una técnica muy simple pero efectiva para detectar suplantaciones es practicar el llamado egosurfing: buscarte a ti mismo en internet. Se trata de introducir tu nombre y apellidos, tu correo, tu número de teléfono o incluso tu DNI en motores de búsqueda (Google, Bing, etc.) para ver qué información aparece asociada a ti.
Este ejercicio, realizado de manera periódica, permite detectar perfiles falsos, menciones sospechosas o datos personales expuestos en páginas en las que nunca te has registrado. Así puedes reaccionar antes de que el problema se haga más grande.
Alertas de Google y control de reputación
Complementario al egosurfing manual, puedes configurar alertas de Google con tu nombre, tu marca personal o ciertos datos clave. De este modo, recibirás un correo cuando Google indexe nuevas páginas que incluyan esos términos.
Este sistema ayuda a la detección temprana de posibles suplantaciones, de publicaciones falsas o de contenido que pueda afectar a tu reputación, dándote margen para actuar rápidamente ante la plataforma o ante las autoridades si fuese necesario.
Cómo actuar si detectas una suplantación de identidad
Descubrir que alguien está usando tu nombre, tus fotos o tus cuentas puede generar mucho nerviosismo, pero es fundamental mantener la calma para tomar decisiones correctas. Actuar con rapidez y orden puede reducir bastante el impacto del incidente.
Primeros pasos si te están suplantando a ti
Lo primero es evitar el pánico: necesitas conservar la cabeza fría para seguir una serie de pasos lógicos. En la mayoría de los casos será necesario cambiar inmediatamente las contraseñas de los servicios afectados (y de todos aquellos en los que las reutilizaras), activando la autenticación en dos pasos si no lo habías hecho ya.
Si has perdido el acceso a una cuenta (por ejemplo, una red social o tu correo), utiliza los procedimientos de recuperación de cuenta que ofrece la propia plataforma y presta atención a correos masivos de restablecimiento de contraseña que pueden indicar campañas de secuestro de cuentas. Muchas plataformas tienen opciones específicas para casos de robo de cuenta o suplantación.
En paralelo, conviene revisar los registros de actividad reciente de tus servicios (ubicaciones de inicio de sesión, dispositivos conectados, historial de conexiones) para detectar accesos extraños. Si detectas ubicaciones o dispositivos desconocidos, ciérralos de inmediato.
Es fundamental recopilar y guardar todas las evidencias posibles: capturas de pantalla de perfiles falsos, mensajes recibidos, correos, URL, fechas y horas. Esta información será muy útil tanto para reportar el problema a la plataforma como, si hace falta, para presentar una denuncia ante las autoridades.
Reportar el caso a las plataformas implicadas
Prácticamente todas las redes sociales, servicios de mensajería y plataformas online disponen de formularios específicos para denunciar suplantaciones de identidad o robos de cuenta. Suelen encontrarse en las secciones de ayuda o centro de seguridad.
Al reportar, explica con claridad qué está ocurriendo, aporta las evidencias que has recopilado y, si es un perfil falso, demuestra cuál es tu cuenta verdadera (por ejemplo, adjuntando documentación o capturas de tu perfil legítimo). El objetivo es que la plataforma cierre o bloquee el perfil fraudulento y te ayude a recuperar el control de tus cuentas.
En España, organismos como el Instituto Nacional de Ciberseguridad (INCIBE), la OSI o la AEPD publican guías detalladas con enlaces directos a los formularios de denuncia de las redes más utilizadas, lo que facilita mucho este proceso.
Cuándo denunciar ante las autoridades
Si la suplantación de identidad ha derivado en pérdidas económicas, chantaje, amenazas, difusión de contenido íntimo o cualquier otro delito, es imprescindible acudir a las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional, Guardia Civil o policía autonómica competente) y presentar una denuncia formal.
Cuando acudas a denunciar, lleva contigo todas las pruebas que tengas: capturas, correos, mensajes, datos de las cuentas implicadas, respuestas (o falta de ellas) de las plataformas, extractos bancarios si ha habido pagos no autorizados, etc. Cuanta más información y mejor organizada, más fácil será que puedan actuar.
En otros países, como Estados Unidos, existen organismos específicos como el Centro de Quejas del Consumidor de la FCC para canalizar estas reclamaciones. En cualquier jurisdicción, si has perdido dinero por una suplantación, debe intervenir la policía.
Qué hacer si suplantan a otra persona
Si detectas que se está suplantando a un amigo, familiar o empresa, también puedes ayudar. Además de reportar el perfil o los mensajes a la plataforma, resulta muy útil contactar de forma discreta con la víctima real por un canal seguro (llamada, mensaje directo desde un perfil que sepas que es suyo, etc.).
Evita señalarlo de forma pública si eso puede agravar el daño reputacional o llamar la atención innecesariamente. Lo importante es que la persona afectada se entere lo antes posible y pueda iniciar sus propios trámites de recuperación y denuncia.
Consejos generales para reducir el riesgo de suplantación
Para rematar, conviene reunir algunos consejos transversales de seguridad digital que ayudan a minimizar el impacto de casi cualquier ataque de suplantación, sea cual sea el canal:
- Desconfía de correos o mensajes inesperados que pidan datos personales, contraseñas, dinero o que te presionen con urgencia. Ante la duda, no respondas ni hagas clic.
- No abras archivos adjuntos ni enlaces de remitentes desconocidos o que no esperabas, aunque parezcan legítimos. Si dudas, verifica por otro canal.
- Fíjate muy bien en la dirección web antes de introducir datos sensibles: comprueba el candado, que empiece por https:// y que el dominio sea exactamente el correcto, sin faltas ni cambios sutiles.
- Revisa la redacción y la estética de los mensajes y páginas: faltas de ortografía, logotipos borrosos, colores extraños o textos incompletos suelen delatar montajes fraudulentos.
- Mantén siempre actualizado tu sistema, navegador, apps y antivirus. Muchas infecciones se aprovechan de versiones antiguas con fallos de seguridad conocidos.
- Revisa periódicamente la configuración de privacidad en tus redes sociales y elimina o limita la visibilidad de información que no sea necesaria.
- Educa a tu entorno (familia, amigos, compañeros) sobre estos riesgos, especialmente a menores y personas con menos conocimientos tecnológicos.
En un entorno digital en el que crece sin parar el número y la sofisticación de los ataques, tener claros estos conceptos y adoptar hábitos de seguridad consistentes marca la diferencia entre ser un blanco fácil o resultar un objetivo mucho más complicado para los suplantadores de identidad. Con una buena combinación de prudencia, formación y herramientas adecuadas, es posible disfrutar de internet reduciendo al mínimo las posibilidades de que alguien se apropie de quién eres en el mundo online.
