Suplantación de identidad significa que alguien usa tus datos —nombre, DNI, correo, tarjeta— para hacerse pasar por ti. Y lo hace sin pedirte permiso, claro. El robo de identidad ya no es cosa de películas con hackers de sudadera: hoy basta un correo bien montado, una foto de tu DNI filtrada o una contraseña reutilizada. El identity theft mueve dinero, abre cuentas, pide préstamos y firma contratos a tu nombre mientras tú duermes tranquilo. La suplantación digital es rápida, barata para el atacante y carísima para la víctima. Aquí te explico cómo ocurre de verdad, qué señales avisan y qué hacer si te toca a ti. Sin dramatismo, pero sin azúcar.
Qué es exactamente la suplantación de identidad
Hablamos de usurpación de identidad cuando un tercero utiliza información personal tuya para actuar como si fuera tú. El objetivo casi siempre es económico o reputacional.
Existen dos grandes familias. La suplantación financiera busca tu dinero: abrir cuentas, contratar créditos rápidos, comprar con tu tarjeta. La suplantación reputacional o social ataca tu imagen: perfiles falsos en redes, mensajes en tu nombre, estafas a tus contactos usando tu cara.
En España, el Código Penal recoge la usurpación del estado civil en su artículo 401, con penas de prisión de seis meses a tres años. A eso se suman delitos de estafa, descubrimiento de secretos y falsedad documental, según cómo se cometa el fraude. No es una travesura. Es delito con nombre y número de artículo en el BOE.
Cómo consiguen tus datos: el catálogo real
Nadie te roba la identidad por arte de magia. Hay técnicas concretas, y casi todas empiezan por un descuido evitable.
- Phishing y smishing. Correos y SMS que imitan a tu banco, Correos, la Agencia Tributaria o Netflix. Te piden "verificar" datos y se los entregas tú mismo. Un clásico son las facturas falsas por email que aterrizan con prisa y un enlace envenenado.
- Filtraciones de datos. Cuando una empresa donde tenías cuenta sufre una brecha, tus credenciales acaban a la venta en foros. La brecha de Yahoo afectó a unos 3.000 millones de cuentas, según confirmó la propia compañía en 2017.
- Reutilización de contraseñas. Usas la misma clave en veinte sitios. Cae uno, caen todos. El credential stuffing automatiza probar esas combinaciones filtradas en otros servicios.
- Ingeniería social. Una llamada de "tu operador" pidiendo el código que acabas de recibir por SMS. Ese código era el segundo factor. Se lo acabas de regalar.
- Documentos expuestos. Fotos del DNI enviadas por WhatsApp, subidas a formularios dudosos o guardadas en la nube sin protección.
La suplantación digital moderna combina varias de estas vías. Primero una filtración, luego un phishing dirigido, y para rematar una llamada de refuerzo. Metódico y aburridamente eficaz.
Señales de alerta de que te están suplantando
El robo de identidad deja rastro. El problema es que muchas víctimas lo detectan tarde, cuando ya llega la factura de un préstamo que nunca pidieron.
- Movimientos bancarios que no reconoces, aunque sean de céntimos (son pruebas de la tarjeta).
- Cartas de bienvenida de bancos o compañías donde no te has dado de alta.
- Correos de "restablecimiento de contraseña" que no has solicitado.
- Amigos que te preguntan por un mensaje raro que "les enviaste" pidiendo dinero.
- Un SMS de doble factor a las tres de la madrugada mientras dormías plácidamente.
- Notificaciones de inicio de sesión desde países que no sabrías ubicar en un mapa.
Para saber si tu correo o teléfono ya circulan en alguna filtración, entra en Have I Been Pwned. Metes tu email y te dice en qué brechas apareces. Spoiler incómodo: probablemente en más de una.
Cómo protegerte antes de que ocurra
Prevenir la usurpación de identidad es mucho más barato que reparar el destrozo. Estas medidas no son opcionales de lujo, son higiene básica.
| Medida | Por qué importa |
|---|---|
| Gestor de contraseñas (Bitwarden, 1Password) | Una clave única y larga por sitio. Si cae una, no caen las demás. |
| Doble factor (2FA) con app o llave física | Aunque roben tu contraseña, sin el segundo factor no entran. |
| Llave de seguridad física | El estándar más resistente al phishing. Nada de códigos que regalar por teléfono. |
| Alertas bancarias | Aviso instantáneo de cada movimiento. Detectas el fraude en minutos. |
| Revisar filtraciones periódicamente | Cambias claves antes de que las usen contra ti. |
El SMS como segundo factor es mejor que nada, pero es el eslabón débil: se puede interceptar con un SIM swapping. Por eso conviene dar el salto a métodos más sólidos, como explicamos en la guía sobre llaves de seguridad físicas tipo YubiKey. Cuestan poco y frenan casi todos los ataques de suplantación por phishing.
Añade a la lista un backup automático bien configurado. Si un atacante entra y borra o secuestra tus datos, tener copias limpias es la diferencia entre un susto y una catástrofe.
Qué hacer si ya te han suplantado
Si el identity theft ya ha ocurrido, la velocidad lo es todo. Cuanto antes actúes, menos daño. Sigue este orden.
- Cambia las contraseñas comprometidas de inmediato, empezando por el correo principal. Es la llave maestra de todo lo demás.
- Activa el 2FA en todas las cuentas donde no lo tuvieras.
- Contacta con tu banco y bloquea tarjetas si hay movimientos sospechosos. Pide reversión de cargos fraudulentos.
- Denuncia ante la Policía Nacional o la Guardia Civil. Necesitas el atestado para reclamar y para protegerte legalmente si alguien firmó contratos a tu nombre.
- Avisa a tus contactos si hay perfiles falsos suplantándote, para que no caigan en la estafa.
- Reclama ante la AEPD (Agencia Española de Protección de Datos) si una empresa gestionó mal tus datos. El RGPD te ampara.
- Solicita a Google la retirada de resultados que expongan tus datos personales, amparándote en el derecho al olvido.
Guarda todo: capturas, correos, números de operación, el atestado. Esa carpeta será tu escudo cuando una financiera te reclame una deuda que no es tuya. Si necesitas montar una identidad digital limpia y controlada tras el incidente —web propia, correo profesional bien configurado— tienes recursos prácticos sobre WordPress profesional y tecnología explicada fácil para todos.
Preguntas frecuentes
¿Cómo sé si me han robado la identidad?
Vigila movimientos bancarios extraños, cartas de bienvenida de servicios que no contrataste y correos de restablecimiento de contraseña que no pediste. Comprueba tu email en Have I Been Pwned para ver si aparece en filtraciones conocidas.
¿Qué delito es la suplantación de identidad en España?
La usurpación del estado civil está tipificada en el artículo 401 del Código Penal, con penas de seis meses a tres años de prisión. Suele acompañarse de delitos de estafa y falsedad documental según cómo se cometa el fraude.
¿Puedo denunciar la suplantación de identidad por internet?
Sí. Puedes presentar denuncia ante la Policía Nacional o la Guardia Civil, y ambos cuerpos disponen de unidades de delitos telemáticos. Si hay mal uso de tus datos por parte de una empresa, también puedes reclamar ante la Agencia Española de Protección de Datos.
¿Cuánto tarda en resolverse un caso de robo de identidad?
Depende del alcance del fraude y de la rapidez con que actúes. Bloquear cuentas y tarjetas es cuestión de horas, pero revertir deudas o contratos firmados a tu nombre puede llevar semanas o meses de gestiones. Denunciar cuanto antes acorta los plazos.
¿El seguro cubre la suplantación de identidad?
Algunas pólizas de hogar y ciertos productos bancarios incluyen coberturas de protección de identidad digital. Revisa tu contrato, porque las condiciones y los límites varían mucho entre compañías. No des por hecho que estás cubierto sin leer la letra pequeña.
El siguiente paso
Entra ahora mismo en Have I Been Pwned, escribe tu correo principal y comprueba en cuántas filtraciones apareces. Si sale alguna, cambia esa contraseña hoy y activa el doble factor antes de cerrar el portátil. Diez minutos que te ahorran un año de dolores de cabeza.


