Correo fraudulento y phishing

¿Qué es un correo fraudulento y phishing?

Cuando se habla de correo fraudulento y phishing, normalmente se alude a mensajes enviados para engañar al destinatario y conseguir claves, datos personales, acceso a cuentas o dinero. Es una expresión de uso habitual, pero su encaje jurídico en España depende de los hechos: puede relacionarse con estafa, suplantación, acceso ilícito a sistemas o datos, fraude bancario o captación engañosa de credenciales robadas.

Un correo fraudulento o phishing es un email que aparenta ser legítimo para que la víctima haga clic, facilite información sensible o autorice una operación. El riesgo principal no es solo el mensaje en sí, sino el perjuicio posterior: acceso a cuentas, cargos no consentidos, transferencias o uso indebido de datos.

No siempre hay el mismo problema jurídico. Habrá que distinguir entre el mero intento de engaño, el acceso efectivo a una cuenta, una operación no autorizada o un desplazamiento patrimonial ya consumado.

Cómo identificar un correo de phishing antes de caer en la estafa

Antes de interactuar con un correo de phishing, conviene revisar señales de alerta frecuentes. La mayoría de campañas de estafa por correo electrónico buscan generar urgencia o miedo para evitar que la persona compruebe la autenticidad del mensaje.

• Remitente parecido al real, pero con dominio alterado o extraño.
• Mensajes de verificación falsa, bloqueo de cuenta o aviso de seguridad urgente.
• Enlaces que no coinciden con la web oficial al pasar el cursor.
• Solicitud de contraseñas, códigos SMS, datos bancarios o documentos.
• Errores de redacción, diseño poco consistente o archivos adjuntos inesperados.
• Supuestos cambios de cuenta bancaria, IBAN o instrucciones de pago en entornos empresariales.

En empresas, también puede aparecer como suplantación por email de proveedor, cambio de cuenta de cobro o fraude de proveedor. El formato cambia, pero la lógica es la misma: inducir una actuación perjudicial mediante engaño.

Qué hacer si ya has hecho clic, facilitado datos o autorizado una operación

Si ya has interactuado con el mensaje, actuar rápido puede reducir daños y mejorar una futura reclamación o denuncia.

1. Cambia inmediatamente contraseñas y revisa si se ha comprometido el acceso a cuentas o correo electrónico.
2. Contacta con tu banco o proveedor de servicios de pago si hay tarjetas, transferencias o pagos afectados.
3. Bloquea tarjetas, banca online o accesos comprometidos si procede.
4. Revisa dispositivos y correo por si hubiera archivos maliciosos o reenvíos automáticos activados.
5. Conserva capturas, emails, extractos y cualquier justificante antes de borrar nada.

Errores frecuentes que empeoran la situación son borrar el mensaje, tardar en avisar al banco, no cambiar credenciales o no guardar prueba del momento en que se detectó el fraude online.

Cómo encajan estas conductas en la ley española

En España, el phishing no funciona como una categoría legal autónoma con regulación expresa propia. Jurídicamente, habrá que analizar qué ocurrió exactamente. Si existió engaño bastante y ese engaño provocó un acto de disposición patrimonial con perjuicio, puede valorarse su encaje en los artículos 248 y siguientes del Código Penal, relativos a la estafa.

Si además hubo acceso no consentido a cuentas, uso ilícito de credenciales, manipulación de sistemas o apoderamiento de datos, pueden entrar en juego otros tipos penales vinculados a la delincuencia informática, siempre en función de los hechos que se puedan acreditar y sin dar por hecho un encaje único.

Cuando el problema deriva en cargos, transferencias o pagos no consentidos, también puede resultar relevante el Real Decreto-ley 19/2018, sobre servicios de pago, para valorar la responsabilidad del proveedor, si la operación fue autorizada o no, qué sistema de autenticación se utilizó y qué documentación existe sobre la incidencia.

Qué vías de denuncia y reclamación puede haber según el caso

No existe una única vía válida para todos los supuestos de correo fraudulento y phishing. La estrategia puede variar según haya solo intento, perjuicio económico, acceso a cuentas o fraude en entorno empresarial.

Vía penal

Puede valorarse la presentación de una denuncia penal si los hechos apuntan a estafa, suplantación o acceso ilícito a sistemas o datos. La utilidad práctica dependerá de la prueba disponible, del rastro bancario o técnico y del perjuicio ocasionado.

Reclamación frente al banco o proveedor de pago

Si hubo phishing bancario, transferencias o pagos, puede estudiarse una reclamación por operación no autorizada o por la forma en que se autenticó la operación. No siempre bastará con afirmar que hubo engaño: habrá que analizar la autorización, la diligencia exigible y los registros de seguridad.

Ámbito civil o mercantil

En empresas, conviene revisar contratos, protocolos internos y comunicaciones con proveedores si hubo cambio de IBAN, suplantación de proveedor o fraude del CEO. En algunos casos, además de la denuncia penal, puede ser necesario valorar responsabilidades contractuales o societarias.

Qué pruebas conviene conservar para reclamar o denunciar

Acreditar bien los hechos suele ser decisivo para denunciar phishing o reclamar. Cuanta más trazabilidad exista, más fácil será analizar responsabilidades.

• Correo recibido completo, con capturas y cabeceras si es posible.
• Pantallazos de enlaces, páginas de acceso y mensajes de error o confirmación.
• Extractos bancarios, cargos, transferencias y comunicaciones con la entidad.
• Justificantes de bloqueo de tarjetas, cambio de claves o incidencias abiertas.
• Cronología de hechos: qué pruebas necesitas para denunciar, cuándo llegó el email fraudulento, cuándo se hizo clic y cuándo se detectó el perjuicio.

Si se han visto comprometidos datos personales, el RGPD y la LOPDGDD pueden servir como marco complementario para valorar deberes de seguridad o gestión de incidentes, especialmente en organizaciones, aunque el foco principal siga siendo el perjuicio patrimonial o el acceso indebido.

Conclusión: cómo actuar rápido y reducir daños

Ante un caso de correo fraudulento y phishing, lo más importante es identificar si se trata solo de un intento o si ya ha habido acceso a cuentas, uso de datos o perjuicio económico. A partir de ahí, conviene bloquear accesos, avisar al banco, conservar pruebas y valorar si procede denuncia penal, reclamación frente al proveedor de pago o revisión de responsabilidades en el ámbito empresarial.

Actuar pronto no garantiza por sí solo el resultado, pero sí puede reducir daños y mejorar la posición probatoria. Si existen movimientos bancarios, credenciales comprometidas o una estafa por correo electrónico con impacto real, resulta razonable revisar toda la documentación y estudiar la vía legal más adecuada según los hechos.