Abogados Penalistas en Phishing y Estafas

Defensa técnica en delitos de phishing, suplantación de identidad y estafa informática (Arts. 248 a 251 CP).

Última actualización: 12 de junio de 2026

arrow_backVolver al Hub de Ciberdelincuencia

Phishing y Estafas: Marco Legal y Defensa

Los delitos de phishing y estafas informáticas, regulados en los Arts. 248 a 251 bis CP, son una de las modalidades delictivas de mayor expansión en el ámbito ciber. El Art. 249.1.a) CP tipifica específicamente la estafa informática: la manipulación informática o artificio semejante que consiga la transferencia no consentida de un activo patrimonial en perjuicio de tercero. Junto al phishing clásico (Brand Spoofing y Smishing), se persiguen el vishing (phishing telefónico, ahora amplificado por voz clonada con IA), el pharming (redirección DNS), el spear phishing dirigido y el Business Email Compromise (BEC) o CEO Fraud. La jurisprudencia consolidada del Tribunal Supremo ha precisado los contornos del tipo y, fundamentalmente, los criterios de imputación de los "muleros bancarios" reclutados con ofertas de empleo falsas. Como abogados penalistas especialistas en estafas informáticas, intervenimos desde la primera diligencia para articular la defensa o, en su caso, la acusación particular.

Las modalidades típicas son diversas y se sofistican constantemente. El phishing clásico: emails masivos suplantando entidades bancarias, fiscales (AEAT, DGT, Correos) o servicios populares (Amazon, Netflix), redirigiendo a webs falsas para captar credenciales. El smishing: SMS con enlaces fraudulentos. El vishing: llamadas suplantando empleados bancarios, técnicos de Microsoft o agentes de la AEAT, ahora hipersofisticado con clonación de voz por IA. El spear phishing: ataques dirigidos contra ejecutivos, profesionales o víctimas seleccionadas mediante ingeniería social previa en redes sociales. El CEO Fraud / BEC: suplantación del director general o CFO mediante email spoofing y solicitud de transferencias urgentes a cuentas controladas. El fraude al CEO con voz clonada: variante BEC potenciada por deepfake de audio. El romance scam: fraude sentimental con derivación a estafa de inversión cripto. Y la operación con muleros: reclutamiento de personas con ofertas de trabajo falsas para recibir y reenviar fondos defraudados.

Las penas son severas debido al concurso real habitual. La estafa informática (Art. 249.1.a CP) en su tipo básico sanciona con prisión de 6 meses a 3 años; cuando concurre la cuantía agravada (Art. 250 CP: cuantía superior a 50.000 euros, recaer sobre bienes de primera necesidad, especial gravedad, elevado número de perjudicados, abuso de relaciones personales o profesionales) las penas se elevan a 1-6 años de prisión y multa de 6 a 12 meses. Si la defraudación supera los 250.000 euros o concurren las combinaciones cualificadas del Art. 250.2 CP, la pena alcanza los 4 a 8 años de prisión. El blanqueo de capitales derivado del cobro y reenvío de fondos defraudados (Art. 301 CP) añade prisión de 6 meses a 6 años. Para los muleros bancarios que actúan con imprudencia grave, la condena suele situarse entre 1-3 años de prisión, frecuentemente suspendible si no hay antecedentes. La responsabilidad civil reparatoria es solidaria y abarca el reintegro del importe defraudado.

La defensa técnica articula varios ejes complementarios. Cuando defendemos al investigado como mulero, articulamos el error de tipo del Art. 14 CP: el cliente fue reclutado mediante oferta de trabajo aparentemente legítima (gestor de cobros, intermediario financiero, agente comercial), nunca conoció el origen ilícito del dinero recibido y actuó bajo creencia razonable de licitud. Aportamos como prueba la oferta de empleo, los contratos simulados, los emails con el supuesto empleador y la ausencia de antecedentes o perfil criminal. Discutimos asimismo la graduación entre imprudencia grave (delictiva) e imprudencia leve (atípica) en supuestos de blanqueo (Art. 301.3 CP). Cuando representamos a la víctima del phishing, dirigimos reclamación civil contra la entidad bancaria por incumplimiento del deber de vigilancia y seguridad (normativa de servicios de pago y jurisprudencia de la Sala Primera del Tribunal Supremo sobre operaciones de pago no autorizadas), exigiendo la devolución íntegra de los importes transferidos cuando el banco no implementó autenticación reforzada del cliente conforme a PSD2 (Directiva UE 2015/2366).

En la práctica forense actual observamos un crecimiento exponencial de procedimientos por phishing y estafas informáticas, especialmente vinculados a fraudes a empresas mediante BEC con voz clonada por IA, fraudes masivos al consumidor mediante smishing bancario, romance scams con derivación a inversión en criptoactivos, y fraudes a personas mayores mediante vishing técnico. La Directiva PSD2 (UE 2015/2366) sobre servicios de pago, la Directiva NIS2 (UE 2022/2555) sobre ciberseguridad, el Reglamento DORA UE 2022/2554 sobre resiliencia operativa digital, el Reglamento eIDAS2 (UE 2024/1183) sobre identidad digital, la Ley Orgánica 1/2025 de Eficiencia del Servicio Público de Justicia y la jurisprudencia reciente del Tribunal Supremo sobre responsabilidad bancaria por phishing han transformado el marco regulatorio. En Alonso Sala, abordamos cada expediente con equipo multidisciplinar penal-civil-bancario: realizamos auditoría forense de la estafa, articulamos pericial técnica para impugnar la atribución cuando defendemos, ejercemos reclamaciones bancarias por responsabilidad civil cuando representamos a la víctima.

Servicios de Defensa en Delitos de Phishing y Estafas

Nuestros especialistas en el delito de phishing y estafas informáticas desarrollan estrategias basadas en la ausencia de dolo y el error de tipo. Demostramos mediante pruebas fehacientes cómo nuestros clientes fueron instrumentalizados sin su conocimiento.

Defensa: Ausencia de Dolo

Nuestra estrategia se centra en probar el <strong>Error de Tipo</strong> (Art. 14 CP). Si demostramos que el cliente actuó bajo un engaño y desconocía el origen ilícito del dinero, no hay dolo (intención criminal). Aportamos los correos de la falsa oferta de trabajo, los contratos simulados y analizamos el perfil del cliente para probar su buena fe.

Fraude al CEO (BEC)

En el ámbito corporativo, defendemos a directivos financieros y administrativos que, engañados por un correo electrónico que suplantaba al CEO o a un proveedor habitual, realizaron transferencias a cuenta de los estafadores. Probamos que fueron víctimas de un ataque sofisticado que superó los filtros de seguridad estándar, eliminando la responsabilidad penal por administración desleal.

Qué hacer si ha sido víctima de phishing: guía paso a paso

Si acaba de descubrir cargos o transferencias que no ha autorizado, los primeros pasos condicionan tanto la investigación penal como la reclamación frente a su banco. Esta es la pauta que recomendamos seguir, por este orden:

Contacte de inmediato con su banco. Solicite el bloqueo de tarjetas y banca electrónica, comunique formalmente que se trata de operaciones de pago no autorizadas y pida que se intente la retrocesión de las transferencias. La normativa de servicios de pago (Real Decreto-ley 19/2018, que incorpora la Directiva PSD2) exige comunicar la operación no autorizada sin demora injustificada en cuanto se tenga conocimiento de ella: deje siempre constancia escrita y conserve el justificante de esa comunicación.
Conserve todas las evidencias. No borre nada: el SMS o correo recibido (a ser posible con sus cabeceras completas), la dirección de la web falsa, capturas de pantalla, justificantes de las operaciones, los números desde los que le llamaron y sus extractos bancarios. Si el dispositivo pudo quedar comprometido —instaló una aplicación o introdujo sus claves tras pulsar un enlace—, no lo restaure de fábrica sin valorar antes un peritaje informático.
Denuncie los hechos ante la Policía Nacional, la Guardia Civil o el juzgado de guardia, aportando toda la documentación anterior. La denuncia abre la vía penal contra los autores y contra los titulares de las cuentas de destino y, en la práctica, sustenta también la reclamación bancaria y, en su caso, la del seguro.
Reclame por escrito al banco la devolución. Conforme a la normativa de servicios de pago, la entidad debe devolver el importe de la operación no autorizada salvo que pruebe que el usuario actuó fraudulentamente o incumplió con negligencia grave sus deberes de custodia de las credenciales. Si rechaza la reclamación, quedan la vía del servicio de atención al cliente, la reclamación ante el supervisor bancario y, en último término, la demanda civil.
Valore personarse como acusación particular. Si la investigación identifica las cuentas receptoras y a sus titulares, la personación permite instar embargos y otras medidas cautelares y reclamar la responsabilidad civil dentro del propio proceso penal.

Seamos claros: ninguna de estas actuaciones asegura, por sí sola, la recuperación del dinero. El resultado depende de la rapidez de la reacción, del recorrido de los fondos (cuentas nacionales, extranjeras o conversión a criptoactivos) y de cómo se custodiaron las claves. Lo que sí está en su mano es preservar la prueba y activar a tiempo las tres vías —bancaria, penal y civil—; en eso trabajamos desde la primera llamada.

Penas del phishing según la cuantía

La estafa informática del art. 249.1.a) CP castiga a quienes, con ánimo de lucro, valiéndose de cualquier manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. La pena depende, sobre todo, de la cuantía defraudada y de las circunstancias del art. 250 CP:

Cuantía o circunstancia	Calificación	Pena
Hasta 400 €	Estafa leve (art. 248 CP, párrafo tercero)	Multa de 1 a 3 meses
Hasta 400 € con tres o más condenas ejecutorias previas de la misma naturaleza	Multirreincidencia (art. 248 CP, tras la LO 1/2026)	Prisión de 6 meses a 3 años
Más de 400 €	Tipo básico (art. 249.1.a CP)	Prisión de 6 meses a 3 años
Más de 50.000 € o elevado número de perjudicados	Estafa agravada (art. 250.1.5.º CP)	Prisión de 1 a 6 años y multa de 6 a 12 meses
Más de 250.000 € o combinaciones cualificadas	Estafa hiperagravada (art. 250.2 CP)	Prisión de 4 a 8 años y multa de 12 a 24 meses

Dos precisiones relevantes en las campañas masivas. Primera: aunque cada cargo individual sea pequeño, si la estafa afecta a un elevado número de personas se aplica el art. 250.1.5.º CP, y la continuidad delictiva permite además acumular las cuantías. Segunda: en el fraude del CEO es habitual plantear el abuso de credibilidad empresarial o profesional (art. 250.1.6.º CP). A ello pueden sumarse, en concurso, el blanqueo de capitales del art. 301 CP por el movimiento posterior de los fondos y, según el caso, los delitos de falsedad o de acceso ilícito a sistemas informáticos.

Muleros bancarios: ¿estafa, receptación o blanqueo?

El "mulero bancario" es quien recibe en su propia cuenta el dinero procedente del phishing y lo reenvía —a otras cuentas, al extranjero o convertido en criptoactivos—, habitualmente tras ser captado mediante una falsa oferta de teletrabajo. Su calificación penal es uno de los debates clásicos en esta materia, y la diferencia de pena según el título de imputación es enorme:

Cooperación en la estafa (arts. 248 y 249.1.a CP). Si se prueba que conocía el plan defraudatorio y aportó su cuenta como eslabón imprescindible para consumar la transferencia, responde como cooperador necesario de la estafa: prisión de 6 meses a 3 años, o las penas superiores del art. 250 CP si concurre alguna agravante.
Receptación (art. 298 CP). Si, sin haber intervenido en la estafa como autor ni cómplice, ayudó con ánimo de lucro a los responsables a aprovecharse de sus efectos conociendo la comisión del delito patrimonial previo: prisión de 6 meses a 2 años, con el límite de que la pena privativa de libertad nunca puede exceder de la señalada al delito encubierto (art. 298.3 CP).
Blanqueo de capitales (art. 301 CP). Adquirir, poseer, utilizar o transmitir bienes sabiendo que proceden de una actividad delictiva se castiga con prisión de 6 meses a 6 años y multa del tanto al triplo del valor. Y, clave en la práctica, el blanqueo por imprudencia grave (art. 301.3 CP) —prisión de 6 meses a 2 años y multa— es la vía por la que se condena a muchos muleros cuando no se acredita que conocieran el origen ilícito, pero las circunstancias hacían exigible sospecharlo.

La jurisprudencia consolidada del Tribunal Supremo ha transitado por las tres calificaciones en función del grado de conocimiento probado en cada caso. Para la defensa, ello abre dos líneas principales: el error de tipo del art. 14 CP, cuando el cliente fue captado con una oferta de empleo aparentemente legítima y creía realizar un trabajo lícito, y la frontera entre imprudencia grave e imprudencia leve en el blanqueo, porque la imprudencia leve es atípica y conduce a la absolución.

Plazos clave: prescripción y duración de la instrucción

En los procedimientos por phishing conviene vigilar tres relojes distintos:

Prescripción del delito (art. 131 CP). La estafa informática básica prescribe a los 5 años, porque su pena máxima es de 3 años de prisión; la estafa agravada del art. 250 CP, a los 10 años; la estafa leve, al año. El blanqueo doloso prescribe a los 10 años y el imprudente, igual que la receptación básica, a los 5. En infracciones conexas o en concurso rige el plazo del delito más grave (art. 131.4 CP).
Plazo de instrucción (art. 324 LECrim). La investigación judicial tiene un máximo de 12 meses desde la incoación, prorrogables mediante auto motivado por períodos sucesivos iguales o inferiores a 6 meses. Las diligencias acordadas dentro de plazo son válidas aunque se reciban después; las acordadas tras el vencimiento sin prórroga, no. En los phishing con cuentas en el extranjero o rastreo de criptoactivos las prórrogas son habituales, y tanto la defensa como la acusación particular deben controlar el calendario: la víctima, para instar a tiempo las diligencias que necesite; el investigado, para detectar diligencias extemporáneas.
Comunicación al banco. La operación de pago no autorizada debe comunicarse sin demora injustificada desde que se conoce; la pasividad prolongada debilita la reclamación de devolución frente a la entidad.

phishing

¿Por qué Alonso Sala en Phishing?

Defensa especializada para muleros engañados y víctimas CEO Fraud. Error de tipo y responsabilidad bancaria

verified_userEstrategia error de tipo: oferta falsa + perfil no criminal = sin dolo estafa.
verified_userDefensa imprudencia leve (no grave) en blanqueo por circunstancias engaño.
verified_userReclamaciones vs. bancos: deber vigilancia transferencias anómalas (responsabilidad civil).
verified_userExperiencia CEO Fraud/BEC: víctima ataque sofisticado ≠ administración desleal.

Guía de Defensa en Delitos contra el Patrimonio: Estrategia y Penas

Los delitos contra el patrimonio y el orden socioeconómico se regulan en el Título XIII del Código Penal (Arts. 234-304 CP). Son los delitos más frecuentes en los juzgados españoles y abarcan desde el hurto leve hasta la estafa millonaria. La diferencia entre una absolución y años de prisión depende, con frecuencia, de un solo elemento típico: la cuantía, el método empleado o la existencia de antecedentes penales.

Cuadro Comparativo de Penas: Hurto, Robo y Estafa

Delito	Artículo CP	Elemento Clave	Pena Base
Hurto leve	Art. 234.2	<400€, sin fuerza	Multa 1-3 meses
Hurto	Art. 234.1	>400€, sin fuerza	6 meses – 18 meses
Hurto agravado (235 CP)	Art. 235	Objeto especial / multi-reincidencia	1 – 3 años
Robo con fuerza	Art. 240	Palanca, ganzúa, puerta forzada	1 – 3 años
Robo con violencia	Art. 242	Intimidación o violencia directa	2 – 5 años
Estafa	Art. 249	Engaño + perjuicio económico	6 meses – 3 años
Receptación	Art. 298	Conocimiento del origen ilícito	6 meses – 2 años

Claves de la Defensa Penal en Delitos Patrimoniales

Impugnar el animus lucrandi

Acreditar que no existía intención de lucro — clave en imputaciones de hurto entre conocidos o disputas de propiedad.

Cuestionar la valoración del objeto

La diferencia entre 399€ y 400€ supone pasar de delito leve (multa) a delito menos grave (hasta 18 meses). La pericial de tasación es estratégica.

Acreditar consentimiento previo

En hurtos entre personas relacionadas, demostrar que el acusado creía tener derecho sobre el objeto es una defensa eficaz.

Análisis de antecedentes (multirreincidencia)

El Art. 235.7 CP agrava el hurto cuando hay más de dos condenas previas. Impugnar el cómputo correcto de antecedentes es esencial.

Cadena de custodia (receptación)

Si el fiscal no prueba que el acusado sabía el origen ilícito del bien, no hay delito de receptación. Exigir la prueba del 'conocimiento'.

Error de tipo en estafa (Art. 14 CP)

En fraudes comerciales, demostrar que el acusado creía sinceramente en la veracidad de sus representaciones elimina el dolo y por tanto el delito.

⚡ Tiempo Crítico: Conservación de Pruebas

En delitos patrimoniales, las evidencias digitales — cámaras de seguridad, geolocalización del móvil, logs de cajero — se sobreescriben habitualmente en 30 días. Contacte con abogado especialista inmediatamente tras la detención o la citación para preservar pruebas de descargo.

quiz

Phishing y Estafas: Marco Legal y Defensa

¿Soy culpable si me engañaron con una oferta de trabajo?expand_more

No deberías serlo. Si demuestras que fue captado con una oferta falsa y creías estar realizando un trabajo legítimo (gestor de cobros, intermediario financiero), no hay dolo. Es un 'error de tipo' que excluye la responsabilidad por estafa.

¿Y por el blanqueo?expand_more

El blanqueo castiga también la comisión por imprudencia grave. La Fiscalía argumentará que 'debía saber' que el dinero era ilícito. Nuestra defensa es probar que su imprudencia fue leve, no grave, dadas las circunstancias del engaño.

Si soy víctima de phishing, ¿puedo recuperar el dinero?expand_more

Es difícil. Si el banco no implementó las medidas de seguridad adecuadas (doble factor de autenticación), se le puede reclamar la devolución por responsabilidad civil. Si el error fue tuyo (diste las claves), la recuperación es casi imposible, pero podemos querellarnos contra el 'mulero' para intentar embargarle.

¿El banco es responsable?expand_more

Los bancos tienen un deber de vigilancia. Si la transferencia era anómala (muy alta, a un país raro, de madrugada) y no la bloquearon, pueden tener responsabilidad. Es una línea de reclamación que exploramos.

¿Qué pena tiene ser 'mulero'?expand_more

Las penas son graves porque se suma la estafa y el blanqueo. Pueden ir de 2 a 6 años de prisión fácilmente, dependiendo de la cantidad. Por eso es vital una buena defensa desde el principio.

¿Cómo me defiendo si soy acusado de ser mulero?expand_more

Aportando la oferta de trabajo falsa, los emails con tu 'jefe', el contrato simulado, y demostrando que no tenía antecedentes y que su perfil no es el de un criminal. Hay que convencer al juez de que fue un instrumento engañado, no un cómplice.

¿Qué es el 'CEO Fraud' o BEC?expand_more

Business Email Compromise. Un ciberdelincuente suplanta al CEO o CFO mediante email (spoofing) y ordena a finanzas hacer una transferencia urgente a una cuenta controlada por él. Es muy sofisticado y engaña incluso a profesionales experimentados.

¿Puedo ir a la cárcel por caer en un phishing?expand_more

Si es la víctima (le robaron), no. Si es el mulero (recibió y reenviaste el dinero robado), sí, aunque también fueras engañado. La clave es demostrar que fue víctima de error de tipo, no cómplice consciente.

¿La policía puede rastrear criptomonedas?expand_more

Sí. Aunque Bitcoin y Ethereum tienen cierta opacidad, la policía científica trabaja con empresas de análisis blockchain (Chainalysis) que rastrea movimientos. Muchos muleros son detenidos al convertir cripto a euros en exchanges regulados.

¿Qué es el 'smishing'?expand_more

Phishing por SMS. Recibes un mensaje de texto que parece de su banco/correos pidiendo que hagas click en un link. Es un delito de estafa informática muy común. Si cae, reporta inmediatamente al banco para bloquear la cuenta.

¿Me pueden acusar si solo presté mi cuenta?expand_more

Sí, es uno de los casos más graves. Prestar su cuenta bancaria a cambio de dinero (alquiler de cuenta) es blanqueo de capitales. Aunque no sepas para qué la usarán, la ley presume que deberías sospechar actividad ilícita.

¿Cuánto tiempo tengo para denunciar un phishing?expand_more

Inmediatamente. Cada minuto cuenta. Llama al banco para bloquear la cuenta. Luego denuncia a la policía. La rapidez determina si se puede recuperar el dinero antes de que lo transfieran al extranjero.

¿Qué plazo tengo para reclamar al banco una operación no autorizada?expand_more

La normativa de servicios de pago exige comunicar la operación no autorizada al banco sin demora injustificada desde que se tiene conocimiento de ella. En la práctica: llame el mismo día para bloquear la cuenta, deje constancia escrita de la comunicación y conserve el justificante. Una comunicación tardía puede debilitar seriamente la reclamación de devolución.

¿Cuánto puede durar la investigación judicial de un phishing?expand_more

El art. 324 LECrim fija un plazo máximo de 12 meses desde la incoación de la causa, prorrogable mediante auto motivado por períodos sucesivos iguales o inferiores a 6 meses. Las causas con cuentas en el extranjero o rastreo de criptoactivos suelen requerir varias prórrogas; conviene controlar el calendario, porque las diligencias acordadas fuera de plazo sin prórroga no son válidas.

¿Cuándo prescribe el delito de phishing?expand_more

La estafa informática básica (art. 249.1.a CP) prescribe a los 5 años, porque su pena máxima es de 3 años de prisión. Si concurre una agravante del art. 250 CP (defraudación superior a 50.000 euros, elevado número de perjudicados), el plazo sube a 10 años. La estafa leve de hasta 400 euros prescribe al año, y en infracciones conexas rige el plazo del delito más grave (art. 131.4 CP).

¿Busca un abogado especialista en Phishing y Estafas?

Como despacho penalista de ámbito nacional, ofrecemos defensa penal especializada en sede judicial en Madrid y resto de España. Tratamos cada caso de Phishing y Estafas con la urgencia y el rigor técnico que requiere, elaborando estrategias de defensa sólidas desde la primera citación.

También actuamos en

Madrid Alicante Marbella Sevilla Málaga Bilbao Zaragoza

Ver todas las localidades →

listÍndice de Contenidos

shieldClaves de la Defensa: Phishing y Estafas

Error de Tipo

Mulero engañado: oferta falsa + creencia trabajo legítimo = sin dolo.

Imprudencia Leve vs. Grave

Blanqueo: probar imprudencia leve (no grave) dadas circunstancias.

Perfil No Criminal

Sin antecedentes + emails falsos = instrumento, no cómplice.

gavelElementos del Delito

check_circleEstafa (cooperador):Mulero recibe dinero de víctima phishing y lo reenvía.
check_circleBlanqueo:Mover dinero de origen delictivo conocido/sospechado.
check_circleCEO Fraud (BEC):Suplantación email CEO/CFO para transferencia fraudulenta.

gavelConsecuencias Penales

Prisión 2-6 años

Estafa + blanqueo acumulados (mulero).

Responsabilidad Banco

Civil si no bloqueó transferencia anómala (deber vigilancia).

Alquiler Cuenta

Blanqueo grave: presunción sospecha actividad ilícita.

call

¿Acusado como Mulero?

Defensa error de tipo para muleros engañados. Perfil no criminal + oferta falsa = ausencia dolo.

Defensa Muleroarrow_forward

linkDelitos Relacionados

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

Contacte con Alonso Sala

Llamar: 91 078 65 74