Hablamos de suplantación de identidad cuando “alguien finge ser otra persona con el propósito de engañar a otros”, explican desde el Instituto Nacional de Ciberseguridad (INCIBE). Puede ocurrir en el mundo real, pero en un momento de la historia en el que ‘la vida’ en Internet en ocasiones parece aún más auténtica, este tipo de prácticas se han convertido en un peligro habitual, que adopta muchas caras pero que comparte el mismo fin: cometer fraudes o difamar la reputación del suplantado.

HABLAMOS DE SUPLANTACIÓN DE IDENTIDAD CUANDO “ALGUIEN FINGE SER OTRA PERSONA CON EL PROPÓSITO DE ENGAÑAR A OTROS”, EXPLICAN DESDE EL INSTITUTO NACIONAL DE CIBERSEGURIDAD (INCIBE)

La suplantación entre iguales

A priori, podemos pensar que se trata de acciones llevadas a cabo por profesionales, es decir, por ciberdelincuentes que, a través de virus y enlaces maliciosos, acaban logrando sus fines. Sin embargo, “la suplantación entre iguales” también es común mediante “el robo de la cuenta de un compañero/a o la creación de un perfil falso”, señalan desde INCIBE. De hecho, en su página web, establecen una diferenciación en función del tipo de usuario que lo comete y su motivación.

Si el actor implicado es un ciberdelincuente, puede tener un objetivo económico y acceder así a “métodos de pago guardados en las cuentas de servicios online, o bien explotando la información del usuario”, señalan. También pueden acometer el robo de cuentas e información a través de softwares maliciosos diseñados para ello, conocidos como malware, o hacerse pasar por un menor y “resultar más confiable en futuros intentos de fraude”, como la difusión de virus y mensajes fraudulentos a un mayor número de usuarios. Podemos cerrar el listado con otro tipo de suplantación conocido como grooming, que ocurre cuando “una persona se hace pasar por alguien atractivo y confiable para los menores y así chantajearles con fines sexuales”.

Pero no siempre son expertos delincuentes quienes llevan a cabo estas prácticas delictivas. En ocasiones es alguien mucho más cercano. Entre los menores, por ejemplo, pueden existir diferentes motivaciones, como el ciberacoso. Para ello, “utilizan la cuenta de otra persona o crean un perfil falso para burlarse, fastidiar o realizar presión sobre el/la menor que sufre esta situación”. También puede darse el caso de difusión de contenidos privados, mediante la utilización obtenida del perfil de la víctima que aprovechan para compartir “vídeos, fotos, comentarios o conversaciones privadas sin consentimiento”. Pero: ¿cómo consiguen hacerse con todo ese material? Lo habitual es aprovechar un descuido; una sesión iniciada en un ordenador compartido o fijarse en el teclado cuando la potencial víctima está introduciendo su contraseña, etc.

LA SUPLANTACIÓN ENTRE IGUALES TAMBIÉN ES COMÚN MEDIANTE EL ROBO DE LA CUENTA DE UN COMPAÑERO/A O LA CREACIÓN DE UN PERFIL FALSO

Tipos de suplantación de identidad

Podemos diferenciar dos métodos, principalmente. El primero sería la creación de un perfil falso con información de otra persona, incluyendo fotografías, que ayudan a dar credibilidad al engaño. En segundo lugar, se encuentra el acceso a una cuenta ajena sin consentimiento del usuario, que no necesariamente implica que el propietario legítimo no pueda seguir entrando y utilizándola. En este punto, aparecen tres conceptos: phising, smishing y vishing.

Según INCIBE, que define estos conceptos, el phising hace referencia a una “técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar su dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico”. Por su parte, el smishing persigue el mismo objetivo que el anterior, pero en este caso la particularidad es que se inicia con el “envío de un SMS por parte del ciberdelincuente, que invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto”. En último caso, el vishing se sirve de una llamada de teléfono en la que “se suplanta la identidad de la empresa, organización o persona de confianza” con el propósito de “obtener información personal o sensible de la víctima”.

EL GROOMING OCURRE CUANDO UNA PERSONA SE HACE PASAR POR ALGUIEN ATRACTIVO Y CONFIABLE PARA LOS MENORES Y ASÍ CHANTAJEARLES CON FINES SEXUALES

¿Qué dicen los datos?

Miriam Puente, técnico de Ciberseguridad de Conocimiento y Concienciación para Ciudadanía en INCIBE, asegura que la suplantación en redes sociales es sobre la que más reportes reciben. De hecho, en 2025, el servicio gratuito y confidencial de este instituto cifró en 142.767 las consultas recibidas, lo que supone “un 44,9% más que en 2024”. Si desgranamos esos datos, “un 49% fueron consultas preventivas”, es decir, dudas que resolver antes de que se produjera cualquier suceso. La parte restante, el 51%, “fueron reactivas”, o lo que es lo mismo, aquellas en las que se prestó ayuda a víctimas para “mitigar daños una vez ocurrido el incidente”.

En este sentido, añade la técnica de ciberseguridad que en el 017 reciben consultas sobre temas muy variados. “Un 28% de los usuarios han recibido algún intento de phising, vishing o smishing”. Así “un 16% de personas han necesitado asesoramiento debido a compras fraudulentas en Internet” y “un 14% contactaron con la Línea de Ayuda en relación a algún tipo de suplantación de identidad digital”.

Hay que remontarse a la década de los 90 para localizar los inicios del comercio electrónico. Treinta años después, las compras en línea son tan comunes como las transacciones en tiendas físicas, de hecho, el e-commerce, (abreviatura de electronic commerce), ha experimentado un importante y continuado crecimiento durante la última década. Es una práctica que forma parte de nuestro día a día y hay quien a esto le ha visto un gran potencial para obtener beneficios, más allá de la propia compra.
Cada vez es más común que cuando accedemos a un comercio electrónico, nos aparezcan mensajes ofreciéndonos algún tipo de descuento, oferta a punto de finalizar o cualquier otro ‘chollo’ que no podemos dejar pasar. Todo este bombardeo de oportunidades no es casual. Son estrategias perfectamente definidas y planeadas que se conocen como patrones oscuros.

LOS PATRONES OSCUROS INFLUYEN EN EL COMPORTAMIENTO Y LAS DECISIONES DE LAS PERSONAS EN SU INTERACCIÓN CON WEBS, APLICACIONES Y REDES SOCIALES

Según la Agencia Española de Protección de Datos (AEPD), los patrones oscuros o dark patterns, en inglés, “son interfaces e implementaciones de experiencia de usuario destinadas a influenciar en el comportamiento y las decisiones de las personas en su interacción con webs, aplicaciones y redes sociales”. Fue el diseñador de experiencia de usuario de webs (UX) estadounidense, Harry Brignull, quien acuñó el término en 2010 para explicar qué son y qué leyes existen para regularlos, ya que, el efecto que provocan en el consumidor es tal que hasta nos condiciona para permanecer en determinadas plataformas o incluso llevar a cabo acciones indeseadas, como es el caso de comprar artículos que, en realidad, no necesitamos. Es más, la AEPD considera que esos patrones pueden generar compromiso en los usuarios y llegar hasta la dependencia, lo que implica “que prefieran su uso (el de las plataformas web) en lugar de realizar otras actividades, incluso esenciales, como comer, dormir o relacionarse con otras personas, fomentando, por ejemplo, realizar un gasto financiero desproporcionado o compartir información sensible”.

NOS MANIPULAN PARA REALIZAR ACCIONES INDESEADAS, INCLUSO COMPRAR LO QUE NO NECESITAMOS

Tipos de patrones oscuros

Tal es el efecto que producen en el usuario que la Agencia ha propuesto clasificar los patrones adictivos en tres niveles: alto, medio y bajo.

El alto se refiere a las Estrategias Estructurales y se incluyen el dificultar el abandono; crear una urgencia en el consumidor; ocultar opciones y, por último, manipular profundamente la voluntad.

El nivel medio es el de los Enfoques Psicológicos, es decir, se centra en estrategias que explotan vulnerabilidades psicológicas específicas de usuarios, como la necesidad de aprobación social o sesgos cognitivos, diseñando interfaces que fomentan la adicción.

Finalmente, en el nivel bajo, que es el de la Ejecución Específica, encontramos la implementación concreta y técnica de estos enfoques en la interfaz, como colores, notificaciones constantes o gamificación, para maximizar el tiempo de permanencia.

Asimismo, podemos hacer otro esquema adicional, que es el de los patrones oscuros más comunes, dependiendo de la plataforma.

En el caso de las webs y apps, destacan la jerarquía falsa, cuando la web da importancia visual a una opción concreta para inducir a los usuarios a escogerla; el nagging, es decir, notificaciones insistentes que incitan al usuario a hacer algo, o el roach motel, entendido como la facilidad para contratar un servicio, pero con gran dificultad para cancelarlo; entre otros.

Por su parte, en las plataformas de microcompras aparecen conceptos como el scroll infinito, cuando no hay límite de contenido, cargado éste de una personalización que atrae más la atención del usuario, según sus gustos; misdirection, que es cuando el contenido está cargado de colores, fuentes o diseños para centrar la atención en un elemento muy concreto; o la sobrecarga informativa, que se basa en abrumar al usuario con demasiada información, lo que hace que pierda la noción del tiempo o la capacidad de evaluar las consecuencias de sus decisiones.

ESTAS PRÁCTICAS ENGAÑOSAS PUEDEN GENERAR DEPENDENCIA Y ADICCIÓN

¿Cómo nos protegemos?

Desde la Federación de Consumidores y Usuarios (CECU), explican que “aunque no hay ninguna ley, nacional o europea, que cite a los patrones oscuros de forma expresa, estas prácticas podrían ser contrarias a la normativa, por incumplimiento del Reglamento General de Protección de Datos, de la Ley de Defensa de las Personas Consumidores y Usuarios, de la Ley de Competencia Desleal y de la Directiva de Servicios Digitales”. Por lo tanto, aunque estas normas no citan expresamente a los patrones oscuros, sí serían de aplicación “al considerarse prácticas engañosas con las personas consumidoras”. Y un apunte importante: “Esta normativa contiene reglas especiales de protección a los menores”, algo de especial relevancia para CECU.

Aunque la aplicación conjunta de la Ley de Servicios Digitales (DSA) junto a la “referida normativa española” suponen una buena protección para los consumidores, desde CECU insisten también en la importancia de la formación para que los usuarios “puedan ejercer sus derechos”, sin olvidar a las Administraciones públicas, claves “a la hora de identificar y sancionar a aquellas empresas que incurran en prácticas contrarias a la normativa”.

Desde la Federación señalan también varios organismos donde poder denunciar dichas prácticas engañosas, tales como la Agencia Española de Protección de Datos (AEPD); la Comisión Nacional de los Mercados y la Competencia (CNMC), o la Dirección General de Consumo (DGC). Asimismo, “podemos dirigirnos al responsable del tratamiento de datos” de la web donde hayamos encontrado estos patrones oscuros.

La desinformación se podría definir como esa información descontextualizada, imprecisa o directamente falsa, que se difunde intencionadamente para manipular la opinión u obtener un beneficio concreto. Conecta con otro término, el de la ‘posverdad’, o ‘verdad emotiva’, y que viene a señalar que “los hechos objetivos tienen menos influencia que las apelaciones a las emociones y las creencias personales”. Así lo afirma Julia Alicia Olmo y Romero, actual cónsul General de España en Bogotá, en su análisis Desinformación: concepto y perspectivas. Al contrario de la máxima periodística sobre que “los hechos son sagrados y las opiniones libres”, ahora lo que vale son las interpretaciones y que cada uno elija su propia verdad.

EL CÓDIGO DE BUENAS PRÁCTICAS DE LA UE CONTIENE NORMAS Y COMPROMISOS PARA LUCHAR CONTRA LA DESINFORMACIÓN

Si bien es cierto que la desinformación no es algo nuevo, pues las mentiras o medias verdades han existido siempre, el mundo digital lo ha dimensionado hasta límites imposibles de determinar. En esta era donde internet marca el paso, se producen más noticias que nunca y se difunden a escala mundial. Y lo hacen a la velocidad de la inmediatez. Este hecho, lleva implícito la falta de análisis, pues no hay tiempo que perder y, por lo tanto, la veracidad del relato queda reducido a una condición casi casual. “Cada individuo se ha convertido en un medio de comunicación en sí mismo que solo comparte lo que quiere y aquello con lo que está de acuerdo”, explica Olmo y Romero.

De hecho, tal y como apunta Rosario Serra, catedrática de Derecho Constitucional en la Universidad de Valencia, en su análisis Noticias falsas (fake news) y derecho a recibir información veraz, “las noticias falsas tienen un 70% más de probabilidades de ser retuiteadas que las verdaderas”.

Límites a la regulación

Moisés Barrio, profesor de Derecho digital y autor del estudio La regulación de la desinformación en el derecho digital europeo, señala que “vivimos inmersos en una ciberdemocracia donde la política y las redes sociales van de la mano. En ese mundo digital los bulos representan una amenazada global para la libertad y la democracia de los Estados”.

Urge poner límites y así lo han entendido los diferentes países y organizaciones internacionales. ¿Debería ser un derecho estar protegidos de la desinformación? ¿Hasta qué punto legislar para controlar la desinformación puede atentar contra la libertad de expresión? Para Serra Cristóbal, “no existe un derecho fundamental a no recibir mentiras, de hecho, la libertad de expresión y de información deben prevalecer”. “Sin embargo, si se transmiten unos hechos falsos, no es que se niegue o impida el libre acceso a una información, al contrario, ésta ha fluido libremente y sin impedimentos se ha recibido, pero al ser falsos, puede dañar otros derechos que serían los invocables ante los tribunales”, señala.

EL 83% DE LOS EUROPEOS CREE QUE LA DESINFORMACIÓN ES UNA AMENAZA PARA LA DEMOCRACIA

“En los años en los que las redes sociales emergieron con fuerza, tanto Estados Unidos (EE.UU.) como la Unión Europea (UE), entendieron que regular internet llevaba implícito limitar algunos derechos fundamentales y sus respuestas jurídicas al respecto fueron tímidas”, señala Barrio. Sin embargo, en años posteriores, algunos incidentes que afectaron a políticos de diferentes países y, sobre todo, las noticias falsas durante la pandemia de la COVID-19, la guerra de Rusia con Ucrania o el auge de la Inteligencia Artificial, iniciaron el camino de la regulación.

Estos acontecimientos propiciaron que algunos Estados miembros de la UE aprobaran su propia legislación contra la desinformación, y también desde Bruselas se dieron los primeros pasos pues en 2018 se presentó el Código de Buenas Prácticas, “el primer instrumento autorregulador voluntario del mundo para las plataformas en línea y que contiene normas y compromisos destinados a luchar contra la desinformación”, tal y como explica la Comisión Europea.

En 2022, este Código se reforzó y, un año más tarde, la Ley de Servicios Digitales, más conocida como Reglamento de Servicios Digitales, pasó a ser jurídicamente vinculante, “regulando a los intermediarios y plataformas en línea”, según señala la web de la Comisión Europea. El objetivo del reglamento es “prevenir las actividades ilegales y nocivas en línea y la difusión de desinformación”, y lo hace garantizando la seguridad de los usuarios mediante la protección de sus derechos fundamentales y creando un entorno de plataformas en línea “justo y abierto”. Para ello, explica la Comisión, “las plataformas y los motores de búsqueda en línea de muy gran tamaño deben compartir sus evaluaciones de riesgos anuales sobre el contenido ilícito difundido a través de su servicio”.

Además, en 2025, el Código de Buenas Prácticas se integró en el marco de la Ley de Servicios Digitales como Código de Conducta en materia de Desinformación, lo que le convierte en una referencia para comprobar el cumplimiento de dicha ley por parte de las plataformas.

Guía para frenar la desinformación

Desde la web del Parlamento Europeo también se ofrecen recomendaciones para que los ciudadanos puedan enfrentar la desinformación. Señalan diez pasos a seguir para protegerse y proteger a los demás, como mantenerse alerta a la hora de leer los titulares de las noticias; aprender a descifrar la información y buscar fuentes que permitan comprobar los hechos; verificar las noticias, imágenes y vídeos en diferentes fuentes antes de compartirlas, sobre todo, por redes sociales; formarse e informarse para detectar estrategias habituales utilizadas en las campañas de injerencia extranjera; promover el pensamiento crítico e informar sobre contenido sospechoso ante las autoridades competentes o en las plataformas correspondientes.

También indican cuáles son las tácticas más utilizadas para engañar al ciudadano, que son jugar con las emociones, la polarización, la saturación de información mediante el bombardeo de múltiples versiones contradictorias de una misma historia y aprovechar el sesgo de confirmación, es decir, la tendencia del consumidor a creer más la información que refuerza sus propias ideas; así como la manipulación del contexto, el ataque y silenciamiento de voces críticas.