Los fraudes digitales han dado un salto de calidad con la irrupción de la inteligencia artificial. Ya no se trata solo de correos mal traducidos o mensajes llenos de faltas: hoy es posible generar voces idénticas a las de un familiar, vídeos falsos de directivos de bancos o webs clonadas casi imposibles de distinguir de las originales. Este nuevo escenario ha disparado los delitos de phishing con IA y, con ellos, las dudas legales de víctimas y personas investigadas.
En España, estas conductas no son un simple “engaño por internet”: se consideran delitos informáticos que pueden implicar penas de prisión, multas elevadas y antecedentes penales. Al mismo tiempo, las víctimas tienen derecho a denunciar, reclamar su dinero y exigir responsabilidad a todos los implicados. Entender cómo encaja el phishing con IA en el Código Penal, qué penas se aplican y cómo actuar legalmente es clave para protegerse, y contar con asesoría jurídica especializada en ciberdelitos con inteligencia artificial puede marcar la diferencia desde el inicio.
Qué es el phishing con inteligencia artificial y por qué es tan peligroso
El phishing con IA es una modalidad de estafa digital en la que se utilizan herramientas de inteligencia artificial para hacer el engaño más creíble y difícil de detectar. El objetivo es el mismo que en el phishing tradicional: obtener datos bancarios, contraseñas, códigos de verificación o realizar transferencias a favor del delincuente. La diferencia está en el nivel de sofisticación.
La IA permite crear correos, mensajes, llamadas o incluso vídeos personalizados, adaptados al idioma, estilo y contexto de la víctima. Esto incrementa la tasa de éxito de la estafa y complica su detección tanto por personas como por sistemas automáticos de seguridad. Por ello, la respuesta penal tiende a ser más severa cuando se aprecia un uso profesionalizado y sistemático de estas técnicas.
Ejemplos habituales de phishing con IA en España
Algunos ejemplos reales y muy frecuentes de delitos de phishing con IA: delitos, penas y cómo actuar en el día a día son los siguientes:
- Correos bancarios hiperrealistas: la IA genera mensajes sin errores, con logos exactos y enlaces a webs clonadas que imitan a la perfección a bancos o plataformas de pago. La víctima introduce sus claves pensando que está en la web legítima.
- Deepfake de voz: una llamada en la que se escucha la voz de un familiar o del director de una empresa, generada con IA, pidiendo que se realice una transferencia urgente o que se faciliten códigos de seguridad.
- Chats automatizados: bots que escriben en tiempo real, en perfecto español, haciéndose pasar por soporte técnico, gestor personal o agente de una entidad pública, guiando a la víctima paso a paso hasta que entrega sus datos.
En todos estos casos, aunque la herramienta tecnológica sea nueva, el núcleo de la conducta sigue siendo penalmente relevante: un engaño bastante para provocar un perjuicio económico o la cesión de datos que luego se utilizan ilícitamente.
Cómo encaja el phishing con IA en el Código Penal español
En España no existe un artículo específico que hable de “phishing con IA”, pero sí hay varios preceptos del Código Penal que se aplican directamente a estas conductas. La clave está en entender que la inteligencia artificial es solo un medio: el delito lo comete siempre una persona que diseña, ejecuta o se beneficia del fraude.
Los principales tipos penales que suelen concurrir en los delitos de phishing con IA son:
- Estafa informática (art. 248 y ss. CP).
- Acceso ilícito y descubrimiento de secretos (art. 197 y 197 bis CP).
- Falsedad y suplantación de identidad (art. 401 y concordantes).
- Blanqueo de capitales (art. 301 CP) cuando se “lava” el dinero obtenido.
- Pertenencia a organización criminal (art. 570 bis y ss. CP) en campañas masivas.
El uso de IA, por sí mismo, no crea un delito nuevo, pero puede ser valorado por jueces y fiscales como un indicio de profesionalización, planificación y especial peligrosidad, lo que influye en la pena final dentro de los márgenes legales.
Delito de estafa digital y phishing (art. 248 y siguientes)
El núcleo de los delitos de phishing con IA es la estafa. El artículo 248 del Código Penal castiga a quien, “con ánimo de lucro, utiliza engaño bastante para producir un error en otro, induciéndole a realizar un acto de disposición en perjuicio propio o ajeno”. Cuando este engaño se realiza a través de redes, sistemas informáticos o telecomunicaciones, estamos ante estafa informática.
En la práctica, se considera que existe estafa informática cuando el autor utiliza medios tecnológicos para manipular la voluntad de la víctima o para introducir órdenes no autorizadas en un sistema (por ejemplo, órdenes de transferencia). El phishing con IA encaja plenamente en esta descripción, ya que se vale de herramientas digitales avanzadas para lograr el engaño.
Tipos de delitos de phishing con IA más frecuentes
Los delitos de phishing con IA pueden adoptar formas muy distintas. Cada modalidad puede encajar en uno o varios tipos penales, y la calificación concreta dependerá de los hechos y de cómo se hayan obtenido y utilizado los datos de la víctima.
A continuación se describen las tipologías que con más frecuencia están llegando a los juzgados españoles.
Phishing bancario reforzado con IA
Es la modalidad más conocida. Los delincuentes utilizan IA para generar correos, SMS o páginas web que imitan a bancos, financieras o pasarelas de pago. Incluso pueden personalizar el mensaje con el nombre, DNI o últimos dígitos de la cuenta de la víctima, datos obtenidos previamente en filtraciones o en la dark web.
Penalmente, suele calificarse como estafa informática. Si además se han vulnerado sistemas de seguridad o se han interceptado comunicaciones para obtener las credenciales, pueden añadirse delitos de acceso ilícito a sistemas o descubrimiento y revelación de secretos.
Vishing y deepfake de voz
El vishing es el phishing por llamada telefónica. Con la IA, los ciberdelincuentes pueden clonar voces de familiares, jefes o empleados de confianza. La víctima recibe una llamada aparentemente legítima en la que se le pide, por ejemplo, que confirme un código enviado por SMS o que realice una transferencia urgente.
En estos casos, el engaño es tan intenso que muchas víctimas actúan sin cuestionarse la orden. Desde el punto de vista penal, seguimos ante una estafa, pero el uso de deepfake de voz puede considerarse un agravante de la profesionalidad y organización, y en algunos supuestos también una forma de suplantación de identidad.
Smishing y phishing a través de mensajería instantánea
El smishing utiliza SMS o aplicaciones como WhatsApp, Telegram o redes sociales. La IA se usa para:
- Redactar mensajes convincentes, sin errores y adaptados al lenguaje habitual de la víctima.
- Automatizar conversaciones mediante chatbots que responden en tiempo real.
Estos ataques son especialmente peligrosos porque se integran en el entorno cotidiano de la víctima. Además de la estafa, puede existir delito contra la intimidad si se accede a conversaciones o archivos almacenados en el dispositivo.
Phishing corporativo y fraude al CEO (Business Email Compromise)
En el ámbito empresarial, el phishing con IA se combina con técnicas de Business Email Compromise (BEC) o “fraude al CEO”. La IA permite:
- Imitar el estilo de escritura de directivos.
- Generar correos en cadena con instrucciones contables o de tesorería.
- Crear documentos adjuntos falsos (facturas, órdenes de pago) extremadamente creíbles.
Cuando un empleado de administración o finanzas recibe estas órdenes y realiza pagos, la empresa puede sufrir pérdidas muy elevadas. A nivel penal, además de la estafa, pueden concurrir delitos económicos y, si hay implicación de personal interno, responsabilidades por administración desleal o apropiación indebida. En estos supuestos, puede ser clave apoyarse en especialistas en responsabilidad penal por delitos económicos en el ámbito empresarial que conozcan bien este tipo de fraudes.
Penas aplicables a los delitos de phishing con IA
Las penas por delitos de phishing con IA se determinan aplicando los artículos del Código Penal que ya existen para las estafas y los delitos informáticos. La siguiente tabla resume las penas más habituales:
| Conducta principal | Artículo CP orientativo | Rango de penas |
|---|---|---|
| Estafa digital / phishing | Art. 248 y ss. | De 6 meses a 3 años de prisión (puede llegar a 6 años con agravantes) |
| Acceso ilícito a sistemas o datos | Art. 197 y 197 bis | De 1 a 4 años de prisión y multa |
| Descubrimiento y revelación de secretos | Art. 197.2 y ss. | De 1 a 5 años de prisión, según el caso |
| Suplantación de identidad / falsedad | Art. 401 y otros | Hasta 3 años de prisión |
| Blanqueo de capitales | Art. 301 | De 6 meses a 6 años de prisión y multa del tanto al triple |
| Organización o grupo criminal | Art. 570 bis y ss. | De 2 a 8 años de prisión, según el rol |
El uso de IA no cambia estos márgenes, pero puede influir en que el juez se acerque al tramo alto de la pena, especialmente si aprecia:
- Una planificación compleja y profesional.
- Un número elevado de víctimas.
- Un perjuicio económico relevante.
Cuándo el phishing con IA puede llevar a prisión efectiva
No todas las condenas por estafa informática implican entrar en prisión, pero en los delitos de phishing con IA es cada vez más frecuente que se impongan penas efectivas cuando concurren ciertas circunstancias:
- Perjuicio económico elevado: grandes sumas de dinero o afectación a ahorros de toda una vida.
- Reincidencia: antecedentes por delitos informáticos o estafas previas.
- Campañas masivas: cientos o miles de víctimas potenciales.
- Organización criminal: estructura jerarquizada con reparto de funciones (desarrolladores, captadores de “mulas”, blanqueadores, etc.).
En estos supuestos, la combinación de estafa agravada, pertenencia a organización criminal y, en su caso, blanqueo de capitales puede traducirse en varios años de prisión, sin posibilidad de suspensión si se superan los límites legales o si el condenado no reúne los requisitos para evitar el ingreso.
Responsabilidad de las “mulas” y de quienes colaboran sin saberlo
Un fenómeno muy relacionado con los delitos de phishing con IA es el de las llamadas “mulas de dinero”. Son personas que prestan su cuenta bancaria para recibir fondos y reenviarlos al extranjero a cambio de una comisión. Muchas veces creen estar colaborando con un trabajo remoto o una inversión rápida, sin saber que participan en una estafa.
Desde el punto de vista penal, esta situación es extremadamente delicada. Aunque la persona no haya diseñado el phishing ni haya usado IA, puede ser considerada:
- Cooperadora necesaria en la estafa, si su cuenta es imprescindible para mover el dinero.
- Autor o cómplice de blanqueo de capitales, al ayudar a ocultar el origen ilícito de los fondos.
Qué consecuencias penales afronta una “mula” bancaria
Las penas por colaborar como “mula” en un delito de phishing con IA pueden ser muy graves:
- Hasta 6 años de prisión por blanqueo de capitales, según el art. 301 CP.
- Responsabilidad civil por el importe total defraudado, aunque solo haya recibido una parte como comisión.
- Posible inclusión en ficheros de morosidad y cierre de cuentas bancarias.
En estos casos, es fundamental contar con un abogado penalista especializado en delitos informáticos que pueda demostrar, si es posible, la falta de dolo, la manipulación sufrida o la existencia de atenuantes como la reparación del daño o la confesión temprana.
Responsabilidad de menores de edad en delitos de phishing con IA
La facilidad de acceso a herramientas de IA hace que algunos menores experimenten con ellas sin ser conscientes del alcance penal de sus actos. Crear un bot que envía correos de phishing, clonar la voz de un compañero o montar una web falsa puede parecer un juego… hasta que se produce un perjuicio real.
En España, los menores de 18 años están sometidos a la Ley de Responsabilidad Penal del Menor. Aunque no se les apliquen las mismas penas que a los adultos, sí pueden imponerse medidas como:
- Internamiento en centro de menores.
- Libertad vigilada.
- Prestaciones en beneficio de la comunidad.
- Obligación de reparar el daño, con responsabilidad civil subsidiaria de los padres.
Cuando un menor participa en delitos de phishing con IA, ya sea diseñando el ataque o actuando como “mula”, es crucial intervenir cuanto antes con asesoramiento jurídico especializado y apoyo psicológico y familiar. La forma de afrontar el procedimiento desde el inicio puede marcar su futuro personal y profesional.
Cómo actuar legalmente si eres víctima de un phishing con IA
Ser víctima de un phishing con IA no es signo de falta de inteligencia ni de descuido; los ataques están diseñados para engañar incluso a usuarios experimentados. Lo determinante es cómo reaccionas en las primeras horas. Actuar rápido puede significar recuperar el dinero o perderlo definitivamente.
Los pasos básicos para actuar legalmente son los siguientes:
1. Cortar el ataque y preservar las pruebas
Lo primero es detener el daño y guardar toda la información posible:
- No borres correos, mensajes ni registros de llamadas, aunque te resulten vergonzosos.
- Haz capturas de pantalla de todo: mensajes, webs, movimientos bancarios, códigos recibidos.
- Apunta fechas, horas y cualquier detalle que recuerdes (número de teléfono, dirección web, nombres usados).
- Desconecta dispositivos si sospechas que se ha instalado malware y evita usarlos hasta consultar con un profesional.
Estas pruebas serán fundamentales para que la policía y tu abogado puedan reconstruir el ataque y acreditar el delito informático ante el juzgado.
2. Avisar al banco o plataforma afectada
El siguiente paso es contactar de inmediato con tu entidad financiera o la plataforma donde se ha producido el fraude:
- Solicita el bloqueo de tarjetas y cuentas potencialmente comprometidas.
- Pide la retrocesión de transferencias o el bloqueo de pagos si aún es posible.
- Solicita un informe de movimientos y operaciones recientes para detectar otras transacciones sospechosas.
En algunos casos, los bancos disponen de protocolos específicos para fraudes de phishing, y tu rapidez en comunicarlo puede ser determinante para recuperar el dinero.
3. Presentar denuncia ante la Policía o Guardia Civil
Es imprescindible denunciar. No solo para intentar recuperar el dinero, sino también para cortar la cadena delictiva y evitar que otras personas caigan en la misma trampa. Puedes hacerlo en:
- Comisarías de Policía Nacional (Brigada de Investigación Tecnológica).
- Cuarteles de Guardia Civil (Equipos de Delitos Telemáticos).
- Fiscalías especializadas en criminalidad informática, a través de tu abogado.
Acude con toda la documentación y pruebas recopiladas. Cuanto más detallada sea tu denuncia, más posibilidades habrá de identificar a los autores y de que el juez aprecie la gravedad del caso.
4. Contar con un abogado penalista especializado en delitos informáticos
En los delitos de phishing con IA, la dimensión técnica es tan importante como la jurídica. Un abogado penalista experto en delitos informáticos puede:
- Ayudarte a redactar la denuncia de forma completa y técnica.
- Personarte como acusación particular para reclamar la totalidad del daño sufrido.
- Coordinarse con peritos informáticos para analizar dispositivos y rastrear el ataque.
- Valorar acciones paralelas: reclamaciones al banco, a plataformas, o incluso a la Agencia Española de Protección de Datos si se han vulnerado tus datos personales.
En Boutique Penal, el enfoque es integral: no se trata solo de denunciar, sino de diseñar una estrategia que combine la vía penal con las reclamaciones civiles y administrativas necesarias para maximizar tus posibilidades de recuperación.
Cómo defenderte si te acusan de un delito de phishing con IA
Estar en el otro lado —como investigado o acusado— genera una enorme presión. Muchas personas se ven implicadas en causas de phishing con IA por haber prestado su cuenta, por trabajar en empresas donde se han producido ataques o por haber utilizado herramientas tecnológicas sin medir sus consecuencias legales.
La defensa penal en estos casos exige un análisis minucioso de la prueba digital y del papel concreto de cada interviniente. No todas las participaciones tienen la misma relevancia ni todas las imputaciones están correctamente fundamentadas.
Estrategias de defensa habituales
Algunas líneas de defensa que un abogado penalista puede explorar en delitos de phishing con IA son:
- Falta de dolo o desconocimiento: demostrar que no existía intención de defraudar, especialmente en el caso de “mulas” captadas con engaños laborales.
- Errores en la obtención de pruebas: impugnar registros informáticos, intervenciones de comunicaciones o análisis forenses realizados sin las garantías legales exigidas.
- Ausencia de vinculación técnica: acreditar que desde los dispositivos del acusado no se realizaron las conexiones o accesos que se le atribuyen.
- Atenuantes: colaboración con la justicia, reparación del daño, confesión temprana, adicciones o trastornos que puedan influir en la responsabilidad penal.
Cada caso requiere una estrategia personalizada. La clave está en revisar con detalle el atestado policial, los informes periciales y la cadena de custodia de las pruebas digitales, así como en plantear, cuando proceda, la nulidad de aquellas diligencias que hayan vulnerado derechos fundamentales.
Importancia de la pericia informática en la defensa
En los delitos informáticos, la prueba técnica es determinante. Un informe pericial independiente puede:
- Cuestionar la atribución de una IP concreta a una persona.
- Demostrar que un dispositivo estaba infectado por malware y era controlado por terceros.
- Evidenciar que los tiempos de conexión o las ubicaciones geográficas son incompatibles con la participación del acusado.
Por eso, en procedimientos complejos de phishing con IA, es habitual que la defensa se apoye en peritos informáticos de confianza, coordinados por el abogado penalista, para contrarrestar los informes de las unidades de ciberdelincuencia cuando sea necesario.
Preguntas frecuentes sobre delitos de phishing con IA: delitos, penas y cómo actuar
¿El phishing con IA se considera un delito grave?
La gravedad depende del perjuicio causado y de las circunstancias del caso. Un phishing con IA que afecte a muchas víctimas, cause un daño económico importante o forme parte de una organización criminal puede ser considerado un delito grave a efectos de pena, alcanzando varios años de prisión. Incluso en casos con cantidades menores, la reiteración y profesionalización pueden llevar al juez a imponer penas de prisión efectiva.
¿Se puede recuperar el dinero perdido en un phishing con IA?
No existe garantía absoluta, pero sí hay posibilidades reales de recuperación si se actúa con rapidez. La combinación de:
- Comunicación inmediata al banco.
- Denuncia rápida ante las autoridades.
- Acción penal con personación como acusación particular.
incrementa las probabilidades de bloquear transferencias, identificar cuentas receptoras y reclamar responsabilidad solidaria a todos los implicados. En algunos supuestos, también pueden plantearse reclamaciones a entidades financieras si se aprecia falta de diligencia en sus sistemas de seguridad.
¿Es delito recibir dinero en mi cuenta y reenviarlo a terceros?
Sí, puede serlo. Aunque no hayas participado en la creación del phishing ni en el uso de IA, el simple hecho de poner tu cuenta al servicio del fraude puede encajar en delitos de estafa y, sobre todo, de blanqueo de capitales. La jurisprudencia viene considerando que quien acepta estas operaciones “fáciles y rápidas” asume un riesgo evidente de ilicitud, lo que dificulta alegar desconocimiento total.
¿Qué plazo tengo para denunciar un phishing con IA?
Los plazos de prescripción de la estafa suelen oscilar entre los 5 y los 10 años, según la pena máxima aplicable. Sin embargo, desde el punto de vista práctico, es esencial denunciar de inmediato. Cuanto más se retrasa la denuncia, más difícil es rastrear los fondos, identificar a los autores y recuperar el dinero.
¿Pueden las empresas ser responsables por delitos de phishing con IA?
Sí, si se demuestra que se han beneficiado del delito o que no han adoptado medidas de prevención razonables. El artículo 31 bis del Código Penal regula la responsabilidad penal de la persona jurídica. Una empresa puede ser investigada si:
- Sus directivos o empleados han participado en campañas de phishing con IA.
- No contaba con programas de cumplimiento (compliance) adecuados para prevenir delitos informáticos.
En estos casos, la compañía puede enfrentarse a multas millonarias, inhabilitaciones e incluso a la disolución, además de la obligación de indemnizar a las víctimas. Para estas situaciones, puede resultar útil valorar la implementación de programas de cumplimiento normativo específicos para el uso de inteligencia artificial que reduzcan el riesgo penal.
La importancia de contar con un abogado penalista especialista en delitos informáticos
Los delitos de phishing con IA: delitos, penas y cómo actuar plantean retos jurídicos y técnicos que van mucho más allá de la estafa tradicional. La sofisticación de las herramientas, la dimensión internacional de muchas redes y la complejidad de la prueba digital exigen un enfoque especializado desde el primer momento.
En Boutique Penal, la defensa y protección en materia de delitos informáticos se aborda desde una perspectiva integral del derecho penal: asesorando tanto a víctimas que necesitan recuperar su patrimonio y su tranquilidad, como a personas investigadas que se enfrentan a acusaciones de gran impacto personal y profesional. La coordinación con peritos, la revisión exhaustiva de la cadena de custodia y el diseño de estrategias procesales adaptadas a cada caso son elementos esenciales para afrontar con garantías este nuevo escenario marcado por la inteligencia artificial.
