Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN

Abogado Deepfakes e Inteligencia Artificial: Defensa Penal en la Era Digital

Cuando la IA se convierte en arma. Defensa penal especializada en deepfakes, voz clonada y compliance del AI Act

Última actualización:

Deepfakes e IA: El Nuevo Frente del Derecho Penal

Los delitos cometidos mediante deepfakes e inteligencia artificial generativa integran una categoría delictiva emergente que el Código Penal español no tipifica como figura autónoma, pero que se persigue eficazmente reconduciéndola a varios tipos clásicos según la conducta concreta: delitos contra la integridad moral (Art. 173 CP) y, cuando la imagen base sea una grabación íntima real, contra la intimidad (Art. 197.7 CP) en supuestos de deepfake pornográfico no consentido; delitos contra menores (Art. 189 CP) cuando la víctima es menor de edad; usurpación de estado civil (Art. 401 CP) en supuestos de suplantación digital; estafa informática (Art. 248 CP) en operaciones tipo CEO-fraud con voz clonada; injurias y calumnias (Arts. 205-210 CP) en deepfakes difamatorios; y, en su caso, delitos de odio (Art. 510 CP). La doctrina consolidada del Tribunal Supremo en materia de prueba digital y peritaje forense ofrece criterios aplicables a la autenticidad de material audiovisual generado por IA.

Las modalidades típicas son diversas y se sofistican rápidamente. Los deepfakes pornográficos no consentidos: superposición del rostro de una persona real sobre material sexual, frecuentemente vinculados a fenómenos de venganza ex-pareja, sextorsión o cyberbullying escolar. La clonación de voz mediante IA para estafas del CEO (vishing AI), llamadas suplantando familiares en emergencias falsas (estafa del nieto/secuestro virtual), o llamadas a entidades bancarias. La generación de imágenes pornográficas de menores mediante IA, incluso sin víctima real, integra el delito del Art. 189 CP tras la reforma. La manipulación de pruebas judiciales mediante deepfakes que pretenden acreditar conversaciones o conductas inexistentes. El uso de IA para generar phishing masivo, malware polimórfico y campañas de ingeniería social personalizadas. Y la discriminación algorítmica en sistemas de IA desplegados sin las salvaguardas exigidas por el AI Act.

Las penas dependen del tipo aplicable según la conducta concreta. Los deepfakes pornográficos no consentidos sobre adultos, cuando se difunde una imagen íntima real, integran el delito contra la intimidad (Art. 197.7 CP) con prisión de 3 meses a 1 año o multa; el deepfake íntegramente generado por IA se reconduce a la integridad moral (Art. 173 CP) o a las injurias. Los deepfakes con menores (Art. 189 CP) conllevan prisión de 1 a 5 años, ampliable hasta 9 años en supuestos cualificados, junto con la inscripción en el Registro Central de Delincuentes Sexuales y prohibición vitalicia de trabajar en contacto con menores. La estafa con voz clonada (Arts. 248-250 CP) conlleva 1 a 6 años de prisión. La usurpación de estado civil (Art. 401 CP) sanciona con prisión de 6 meses a 3 años. A las penas privativas de libertad se añade la responsabilidad administrativa por incumplimiento del AI Act (Reglamento UE 2024/1689), con multas que pueden alcanzar 35 millones de euros o el 7% de la facturación global anual.

La defensa técnica y la estrategia de acusación particular articulan varios ejes. Cuando representamos a la víctima, ejecutamos peritaje forense informático especializado para acreditar la naturaleza deepfake del material y, paralelamente, gestionamos la retirada urgente de contenido en redes sociales y buscadores mediante reclamaciones DMCA/RGPD y, en su caso, medidas cautelares judiciales. Solicitamos al juzgado órdenes de retirada, identificación de IPs originarias y bloqueo cautelar de cuentas. Cuando defendemos al investigado, articulamos la autenticidad cuestionada del material mediante contrapericial forense que examine artefactos visuales, metadatos, consistencia temporal, espectrograma de audio y huellas de modelo generativo; la ausencia de dolo en supuestos de uso artístico, paródico o educativo cubiertos por la libertad de expresión; y la impugnación de la cadena de custodia digital cuando el material aportado por la acusación carece de hash, sellado de tiempo o trazabilidad pericial adecuada.

En la práctica forense actual observamos un crecimiento sostenido de procedimientos vinculados a deepfakes e IA generativa. El Reglamento UE 2024/1689 (AI Act) sobre inteligencia artificial y la Ley Orgánica 1/2022 de garantía integral de la libertad sexual han transformado el marco normativo, exigiendo a las plataformas la implementación de protocolos de retirada de contenido sintético. En Alonso Sala abordamos cada expediente como un caso técnico-jurídico especializado: coordinamos peritos forenses informáticos, expertos en visión por computador y consultores de cumplimiento del AI Act, con la urgencia, la discreción y el rigor científico que estos asuntos requieren.

Tipologías de Delitos con IA

face

Deepfakes no consentidos

Vídeos pornográficos falsos, revenge porn con IA, sextorsión. Arts. 173, 197.7 (si la imagen base era real) y 189 (si hay menor) CP.

record_voice_over

Clonación de voz (Vishing IA)

Estafa del CEO con voz clonada, llamadas bancarias falsas, ingeniería social avanzada.

code

Malware generado por IA

IA para generar phishing, malware polimórfico y automatización de ataques.

groups

Discriminación algorítmica

IA que discrimina por raza, género o edad → responsabilidad penal del titular.

AI ACTReglamento Europeo de Inteligencia Artificial

El AI Act (Reglamento UE 2024/1689) es la primera legislación integral sobre IA del mundo. Clasifica los sistemas de IA en cuatro niveles de riesgo y establece obligaciones de transparencia, supervisión humana y evaluación de impacto. Su incumplimiento puede generar multas de hasta 35 millones de euros.

Prohibido

Social scoring, manipulación subliminal

Alto Riesgo

Biometría, justicia, empleo, crédito

Transparencia

Deepfakes, chatbots, síntesis de voz

Riesgo Mínimo

Filtros de spam, juegos, asistentes

smart_toy

¿Por qué Alonso Sala en Deepfakes e IA?

  • psychologyPeritos forenses especializados en detección de deepfakes (análisis de artefactos, metadatos, espectral).
  • psychologyExperiencia en estafas del CEO con voz clonada: defensa y acusación particular.
  • psychologyCompliance del AI Act: auditoría de sistemas de IA empresariales.
  • psychologyDefensa en casos de pornografía deepfake: retirada urgente de contenido y persecución penal.

Guía de Defensa en Ciberdelincuencia: Hacking, Phishing y Daños Informáticos

La ciberdelincuencia abarca el acceso ilegal a sistemas informáticos (Art. 197 bis CP), los daños informáticos y ransomware (Art. 264 CP), el phishing y fraude digital (Art. 249.1.a CP), y la producción o distribución de herramientas de hacking (Art. 197 ter). La persecución de la ciberdelincuencia en España se ha intensificado con unidades especializadas como la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional y el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil. La defensa requiere una combinación única de conocimiento jurídico penal y pericia técnica avanzada.

Cuadro de Penas: Ciberdelincuencia

DelitoArtículoDescripciónPena
Acceso ilegal a sistemasArt. 197 bisAcceso no autorizado vulnerando medidas de seguridad6 meses – 2 años
Interceptación de datosArt. 197 bis.2Interceptación de transmisiones de datos no públicas3 meses – 2 años
Producción/distribución de herramientasArt. 197 terCrear o distribuir programas diseñados para ciberdelitos6 meses – 2 años
Daños informáticos (básico)Art. 264.1Borrar, dañar o hacer inaccesibles datos6 meses – 3 años
Daño agravado (infraestructura crítica)Art. 264.2Afectar servicios esenciales o infraestructura crítica2 – 5 años prisión
Fraude informático (phishing)Art. 249.1.aManipulación informática para obtener transferencia patrimonial6 meses – 3 años

Estrategias Clave de Defensa en Ciberdelincuencia

Impugnación de atribución IP

Una dirección IP no identifica a una persona. Redes Wi-Fi compartidas, VPN, nodos de salida Tor y configuraciones NAT permiten que múltiples usuarios compartan una IP. La acusación debe probar que el acusado fue el usuario real en el momento relevante.

Cadena de custodia digital

La evidencia digital es extremadamente frágil. Si la policía no clonó el disco con un bloqueador de escritura, si los valores hash no coinciden o si la evidencia fue manipulada, la defensa puede solicitar la exclusión de toda la cadena de evidencia digital.

Pruebas de seguridad autorizadas

El hacking ético y las pruebas de penetración realizadas con autorización del propietario del sistema son legales. Si el acusado tenía un contrato de auditoría, acuerdo de bug bounty o política de revelación responsable, no hay delito.

Ausencia de 'vulneración de medidas de seguridad'

El Art. 197 bis exige que se vulneraran medidas de seguridad. Si el sistema no tenía contraseña, ni firewall, o el punto de acceso era público, puede faltar el elemento de 'vulneración de seguridad', negando el tipo penal.

quiz

Deepfakes e IA: Preguntas Frecuentes

¿Es delito crear un deepfake en España?expand_more
Depende del uso. Crear un deepfake con fines artísticos o humorísticos no es delito per se. Es delito si se usa para: suplantar identidad (Art. 401 CP), crear contenido sexual falso sin consentimiento (integridad moral Art. 173 CP; el Art. 197.7 solo si se difunde una imagen íntima real; Art. 189 si hay menor), estafar (Art. 248 CP) o difamar (Arts. 205-210 CP). La intención y el daño determinan la tipicidad.
¿Los deepfakes pornográficos tienen pena de prisión?expand_more
Depende del encuadre: un deepfake íntegramente generado por IA no encaja sin más en el Art. 197.7 CP, que exige una imagen íntima real. Según el caso se valora la integridad moral (Art. 173 CP: prisión de 6 meses a 2 años), las injurias, o el Art. 197.7 CP (prisión de 3 meses a 1 año o multa) si se difundió una imagen íntima real. Si la víctima es menor, se aplica el Art. 189 CP (1 a 5 años, hasta 9 en supuestos cualificados) con inhabilitación para trabajar con menores.
¿Qué es la 'estafa del CEO' con voz clonada por IA?expand_more
Es una estafa sofisticada donde se usa IA para clonar la voz del director general y llamar al departamento financiero pidiendo una transferencia urgente. La voz suena idéntica. La defensa exige verificar si la empresa tenía protocolo antiestafa (doble aprobación, palabra clave).
¿Puede usarse un deepfake como prueba pericial?expand_more
Un deepfake NO es prueba válida. Precisamente, la defensa puede alegar que el vídeo o audio que presenta la acusación es un deepfake. El perito debe certificar la autenticidad del material mediante análisis de artefactos digitales, metadatos y consistencia temporal.
¿Qué dice el Reglamento Europeo de IA (AI Act)?expand_more
El AI Act (en vigor desde 2024) clasifica los deepfakes como 'riesgo de transparencia'. Obliga a etiquetar todo contenido generado por IA. No crea delitos nuevos, pero el incumplimiento del etiquetado puede constituir una infracción administrativa con multas millonarias.
¿Es delito usar ChatGPT para escribir un phishing?expand_more
Sí. Usar herramientas de IA para generar emails de phishing, crear malware o automatizar ataques es delito de estafa (Art. 248 CP) y, potencialmente, de facilitación de herramientas de hacking (Art. 197 ter CP). La IA es el medio; el delito es el mismo.
¿Qué responsabilidad tiene la empresa que usa IA?expand_more
El AI Act establece obligaciones específicas según el nivel de riesgo. Las empresas que usan IA de alto riesgo sin supervisión humana pueden enfrentar multas de hasta 35 millones de euros o el 7% de la facturación global. La responsabilidad penal del administrador también puede activarse.
¿Cómo se detecta un deepfake en un juicio?expand_more
Mediante pericial informática forense. Se analizan: artefactos visuales (parpadeo irregular, bordes faciales), inconsistencia de metadatos (el archivo dice 2024 pero el fondo muestra 2023), frecuencia de frames, y análisis espectral de audio. Trabajamos con laboratorios forenses especializados.
¿Los coches autónomos pueden generar responsabilidad penal?expand_more
Sí, es un área emergente. Si un vehículo autónomo causa un accidente mortal, la responsabilidad puede recaer en: el fabricante (homicidio imprudente), el programador del algoritmo, o el usuario que desactivó los sistemas de seguridad. El marco legal español aún está en desarrollo.
¿Qué pasa si una IA discrimina o genera contenido ilegal?expand_more
El titular del sistema de IA es responsable. Si la IA genera contenido discriminatorio (delito de odio, Art. 510 CP), pornografía infantil o material terrorista, la responsabilidad recae en quien la desplegó sin las salvaguardas adecuadas. El compliance de IA es obligatorio.

¿Busca un abogado especialista en Deepfakes e Inteligencia Artificial?

Como despacho pionero en delitos tecnológicos, ofrecemos defensa penal especializada en deepfakes, clonación de voz con IA y compliance del Reglamento Europeo de Inteligencia Artificial. Actuamos con la urgencia y el conocimiento técnico que estos casos exigen.

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

call