Denunciar phishing en España requiere actuar rápido y seguir un orden concreto: primero tu banco, después la policía, y paralelamente el INCIBE. Si has picado en una estafa online —un SMS del banco falso, un email de Correos que no era de Correos, una web clonada que te ha robado las credenciales— tienes entre 24 y 48 horas para maximizar las opciones de recuperar tu dinero. Esta guía te lleva paso a paso por todo el proceso de denuncia de fraude en internet, desde las capturas de pantalla hasta el juzgado. Sin atajos, sin rodeos, con los formularios y teléfonos exactos que necesitas.
Paso 1: Congela todo antes de denunciar
Antes de ir a comisaría, minimiza el daño. Cada minuto cuenta.
Si has dado datos bancarios, llama al teléfono de tu banco inmediatamente. No mañana. No después de comer. Ahora. Pide el bloqueo temporal de la tarjeta o cuenta afectada. La mayoría de entidades tienen línea 24h para fraudes: CaixaBank (900 40 40 90), BBVA (900 102 801), Santander (915 123 123), Sabadell (963 085 000). Apunta el número de referencia de la incidencia.
Si has dado contraseñas, cámbialas. Todas las que compartan la misma clave —sí, lo sabemos, usas la misma en varios sitios—. Activa la verificación en dos pasos donde puedas. Si tu correo electrónico está comprometido, prioriza recuperarlo porque es la llave maestra del resto de cuentas. Comprueba en Have I Been Pwned si tu email aparece en filtraciones recientes.
- Captura de pantalla del email, SMS o web fraudulenta (con URL visible)
- No borres nada: ni el mensaje, ni el historial del navegador, ni los movimientos bancarios
- Anota la hora exacta en que hiciste clic o facilitaste datos
- Guarda los extractos bancarios si ya ves cargos sospechosos
Esas capturas son tu prueba. Sin ellas, la denuncia pierde fuerza. Si el email tiene cabeceras técnicas (puedes verlas en Gmail desde "Mostrar original"), expórtalas también. La policía y el banco te las pedirán.
Paso 2: Denuncia ante la policía o Guardia Civil
La denuncia por phishing ante la policía se puede iniciar online, pero conviene formalizarla presencialmente.
Tienes dos vías principales para presentar una denuncia por estafa online:
| Opción | Cómo | Ventaja |
|---|---|---|
| Policía Nacional | Comisaría o denuncias.policia.es | Unidad de delitos telemáticos especializada |
| Guardia Civil (Grupo de Delitos Telemáticos) | Puesto o formulario web en gdt.guardiacivil.es | Cobertura rural, equipo técnico potente |
| Juzgado de guardia | Presencial | Si policía no admite la denuncia (raro, pero pasa) |
La denuncia online te da un resguardo y cita previa para ratificar en comisaría. Lleva toda la documentación impresa: capturas, extractos bancarios, el número de referencia del banco, y un escrito cronológico de lo que pasó. Cuanto más ordenado lo presentes, más fácil se lo pones al agente que tramita el caso.
Un dato que mucha gente desconoce: según la Ley de Servicios de Pago (Real Decreto-ley 19/2018, que transpone la directiva PSD2 europea), si notificas el fraude a tu banco y presentas denuncia, la entidad tiene la obligación de devolverte el dinero salvo que demuestre que actuaste con negligencia grave. Esto cambia las reglas del juego. La denuncia no es solo un trámite: es tu aval legal para reclamar al banco.
Si el phishing llegó a través de WhatsApp —algo habitual con las estafas de WhatsApp más comunes en 2026—, incluye capturas del chat con el número de teléfono visible. No bloquees al remitente hasta haber guardado toda la evidencia.
Paso 3: Reporta al INCIBE y otras entidades
El Instituto Nacional de Ciberseguridad (INCIBE) no sustituye a la policía, pero complementa tu denuncia y ayuda a frenar la campaña de phishing para que no caigan más víctimas.
Para denunciar phishing al INCIBE, tienes varias opciones:
- Línea 017: teléfono gratuito y confidencial de ayuda en ciberseguridad. Disponible de 8:00 a 23:00, los 365 días. También por WhatsApp (900 116 117) y Telegram (@INCIBE017).
- Formulario web en incibe.es para reportar fraudes y URLs maliciosas.
- Email a incidencias@incibe-cert.es adjuntando las evidencias técnicas (cabeceras del email, URL fraudulenta).
Además del INCIBE, reporta la URL fraudulenta en Google Safe Browsing. Esto mete la web en la lista negra de Chrome, Firefox y Safari, cortando el acceso a miles de potenciales víctimas. Si la estafa imitaba a una empresa concreta (Correos, Amazon, tu banco), notifícala también a esa empresa. La mayoría tienen un email tipo phishing@empresa.com o abuse@empresa.com.
Si la estafa implicó un dominio .es, puedes reportarlo a Red.es (el registro de dominios español) para que investiguen y potencialmente suspendan el dominio. Para dominios internacionales, el reporte a través de APWG (Anti-Phishing Working Group) tiene alcance global.
Paso 4: Reclama a tu banco (y prepárate para insistir)
Aquí es donde la cosa se pone interesante —y a veces, frustrante—.
Una vez tengas la denuncia policial, presenta una reclamación formal al Servicio de Atención al Cliente de tu banco. Por escrito, con registro de entrada. Adjunta la denuncia, las capturas y una descripción detallada. El banco tiene 15 días hábiles para responderte (según normativa del Banco de España).
La realidad: muchos bancos rechazan la primera reclamación alegando "negligencia del usuario". No te rindas. El siguiente paso es reclamar al Banco de España a través de su Portal del Cliente Bancario. Y si la cantidad lo justifica, acudir a la vía judicial. Hay jurisprudencia reciente favorable a las víctimas de fraude internet: sentencias del Tribunal Supremo y Audiencias Provinciales que obligan a los bancos a devolver el dinero cuando los sistemas antifraude fallaron.
Algunos consejos prácticos para la reclamación:
- Cita expresamente el artículo 45 del Real Decreto-ley 19/2018 sobre operaciones no autorizadas
- Si el banco no te envió alerta de operación sospechosa por SMS, menciónalo: es una obligación de la entidad
- Guarda copia de toda la correspondencia con el banco, con fechas y números de referencia
- Si la cantidad supera los 2.000€, valora consultar con un abogado especializado en derecho bancario
Por cierto, si estás reforzando la seguridad de tu entorno de teletrabajo, aprovecha para revisar también los accesos bancarios que usas desde casa. Un ordenador comprometido facilita mucho el trabajo a los delincuentes.
Cómo evitar tener que pasar por todo esto otra vez
Denunciar funciona, pero prevenir es bastante menos estresante.
Los ataques de phishing en España se han multiplicado desde 2020. El INCIBE gestionó más de 80.000 incidentes de ciberseguridad en 2023, y una parte significativa fueron fraudes de este tipo. Los ciberdelincuentes mejoran constantemente sus técnicas: ya no son emails con faltas de ortografía, sino réplicas casi perfectas con certificados SSL válidos y dominios que difieren en una sola letra del original.
Medidas concretas que reducen drásticamente el riesgo:
- Gestor de contraseñas (Bitwarden, 1Password, KeePass): si el gestor no autocompleta en una web, es que la URL no coincide. Alarma inmediata.
- Verificación en dos pasos con app (Google Authenticator, Authy), no por SMS. El DNS spoofing y el SIM swapping pueden interceptar los SMS.
- Extensión de navegador antiphishing: uBlock Origin bloquea dominios maliciosos conocidos.
- Revisar la URL antes de introducir datos: busca el dominio real, no te fíes del texto del enlace.
- Si proteges dispositivos IoT en casa, asegúrate de que tu router también esté al día: los ataques de phishing a veces empiezan por una red doméstica comprometida. En el blog de DomóticaYa tienen guías útiles sobre seguridad en dispositivos conectados.
Y un consejo que vale oro: configura alertas instantáneas para cada movimiento de tu tarjeta. Todas las apps bancarias lo permiten. Si te llega una notificación de un cargo que no has hecho, tienes segundos para reaccionar en lugar de días.
Preguntas frecuentes
¿Cuánto tarda la policía en investigar una denuncia por phishing?
No hay plazo fijo. Las investigaciones de fraude en internet pueden llevar meses, especialmente si los servidores están fuera de España. Lo prioritario es que la denuncia esté registrada para tu reclamación bancaria, que sí tiene plazos definidos.
¿Puedo denunciar phishing si no he perdido dinero?
Sí, y deberías. Puedes reportar el intento al INCIBE (017) y a la policía. Aunque no haya perjuicio económico, el delito de estafa en grado de tentativa existe (artículo 16 del Código Penal). Además, tu reporte ayuda a identificar campañas activas.
¿El banco está obligado a devolverme el dinero si me han hecho phishing?
En principio sí, salvo que demuestren negligencia grave por tu parte. La Directiva PSD2 y su transposición española (RDL 19/2018) establecen que el proveedor de servicios de pago asume la responsabilidad de las operaciones no autorizadas. Presenta denuncia y reclamación formal. Si el banco se niega, escala al Banco de España.
¿Qué diferencia hay entre denunciar al INCIBE y denunciar a la policía?
El INCIBE gestiona incidentes técnicos: bloquea URLs, emite alertas, asesora. La policía investiga el delito y puede actuar judicialmente contra los responsables. Son complementarios. Para recuperar dinero, necesitas la denuncia policial. Para frenar la campaña, el reporte al INCIBE.
¿Sirve de algo denunciar si el atacante está en otro país?
Sí. España colabora con Europol y la red 24/7 del Convenio de Budapest sobre ciberdelincuencia. Las denuncias alimentan investigaciones internacionales. Además, la denuncia sigue siendo imprescindible para tu reclamación al banco, independientemente de dónde esté el estafador.
El siguiente paso
Abre ahora mismo la app de tu banco y activa las notificaciones instantáneas de movimientos en todas tus tarjetas y cuentas. Tarda menos de dos minutos y es la diferencia entre detectar un cargo fraudulento en segundos o descubrirlo al revisar el extracto a final de mes. Si ya las tienes activas, revisa que tus contraseñas bancarias sean únicas y no las reutilices en ningún otro servicio. Tu yo del futuro te lo agradecerá.
