Javier López, socio de ECIJA
Hay un gesto que repetimos de forma constante, que es coger el móvil un momento para revisar un mensaje, consultar un dato en internet o interactuar en una red social. Pero lo cierto es que este momento suele alargase, provocando que el diálogo se rompa y, de pronto, nuestro interlocutor está hablando solo. Es el fenómeno que se conoce como “phubbing” (contracción de phone y snubbing), y los terapeutas lo describen como una fuente cada vez más frecuente de conflicto, al haberse convertido en una forma cotidiana de desconexión emocional.
Lo inquietante es que esta escena aparentemente inocua explica mucho mejor que cualquier gráfico por qué las estafas digitales (“scams”) están viviendo una edad dorada. Y es que el problema no es la tecnología, sino el hábito, ya que hemos aprendido a reaccionar a una notificación con reflejo condicionado, a confiar en lo que aparece en una pantalla, a dar por válido lo que suena familiar, a responder rápido cuando alguien nos mete prisa. Y es ahí donde los ciberdelincuentes han encontrado un filón.
Hay que tener en cuenta que el nivel de sofisticación tecnológica de los ciberdelincuentes es realmente vanguardista, como lo demuestra el “EncroChat”, un sistema de comunicación cifrada usado por el crimen organizado para actividades delictivas, con servidores en Francia y dispositivos modificados que dificultaban la intervención por métodos tradicionales.
Este dispositivo pudo finalmente ser desactivado gracias a una compleja investigación que incluyó la instalación, con autorización judicial francesa, de una aplicación tipo “caballo de Troya” a través de una actualización simulada, afectando a decenas de miles de usuarios en numerosos países, y los resultados se compartieron entre Estados mediante cooperación; lo que obligó a confirmar la legalidad de las actuaciones realizadas, según se analizó por la Sala de lo Penal del Tribunal Supremo en la Sentencia (Pleno) 854/2025, de 16 de octubre.
En este escenario, la inteligencia artificial (IA) ha contribuido a perfeccionar estos fraudes, ya que, aunque la IA no ha inventado el engaño, lo abarata, lo escala y lo hace más creíble, de forma que la estafa deja de ser una actividad artesanal para convertirse en un proceso automatizado que permite lanzar estafas a nivel industrial. Lo que antes requería tiempo y cierta habilidad para imitar, redactar y manipular, ahora se puede hacer con la IA en muy poco tiempo y con un realismo tal que muchas veces la víctima no es capaz de empezar a sospechar con la antelación necesaria.
Una de las técnicas habituales de los ciberdelincuentes es el “voice hacking”, usada para clonar la voz de una persona a partir de pequeños fragmentos de audio, generando mensajes de tal realismo que a la víctima le parecen que son de una persona conocida (un familiar, un jefe, etc.), que le pide que realice un pago urgente o facilite información sensible, apelando a la emoción de un ser querido o la instrucción de un superior. Y nadie se libra de esto, como lo demuestra lo que ocurrió en febrero de 2025, cuando se intentó estafar a varios sacerdotes de Segovia con una imitación de la voz del nuevo Obispo, pidiendo que se hiciera una transferencia de 2.200 euros poder acceder a una supuesta herencia de 40.000 euros que una mujer quería donar a la parroquia.
Aunque hace tiempo que existen casos de “phishing”, la llegada de la IA le ha dado una nueva dimensión, ya que permite el tratamiento de datos robados (nombre, teléfono, fecha de nacimiento, dirección, números de cuenta, etc.) para el diseño de campañas de phishing personalizadas y el lanzamiento de remesas del spam y llamadas fraudulentas de forma masiva.
Y, si siempre fue preocupante, este nuevo escenario hace que sucesos como la noticia que saltó a los medios en abril de 2025 (posteriormente desmentido) sobre una posible filtración de la Lista Robinson (lista de personas que han solicitado la exclusión publicitaria) habría provocado que los datos de más de 600.000 podrían estar en la dark web, provoca que salten todas las alarmas.
Otra artimaña especialmente dañina consiste en que el intento de engaño provenga de un canal que se considera fiable previamente por la víctima. Un ejemplo recurrente es el del “SMS spoofing” realizado mediante falsos mensajes SMS, en los que se suplanta el identificador del remitente, hasta el punto de que el mensaje aparece dentro del mismo hilo de SMS auténticos, con lo que la víctima piensa que está en un entorno de confianza.
Respecto de esta cuestión se pronunció la sentencia 142/2024, de 21 de marzo de la Audiencia Provincial de Asturias, que condenó a una entidad bancaria por considerar que tenía responsabilidad por órdenes de pago no autorizadas realizadas mediante “SMS spoofing”, obligándola a restituir la cantidad sustraída. La decisión se fundamentó en que el banco no acreditó que existiera negligencia grave del cliente; en el déficit del sistema de seguridad de la entidad para prevenir este tipo de ataques, especialmente tratándose de una modalidad considerada habitual; así como en que existieron señales que deberían haber elevado alertas, como que se trataba de una transferencia inmediata, de un importe relevante, con un dispositivo recién vinculado y un destino poco usual (entidad financiera extranjera de dinero electrónico).
Pero qué pasa cuando la estafa se ha materializado y no es posible recuperar el dinero. ¿puede declararse lo estafado como pérdida patrimonial en IRPF? En este sentido se pronunció la Consulta Vinculante V0625-24, de 11 de abril de 2024, de la Subdirección General de Impuestos sobre la Renta de las Personas Físicas, que aborda un supuesto de estafa bancaria (“phishing”) y concluye que el importe sustraído puede constituir una pérdida patrimonial a efectos del IRPF, por encajar en el concepto del artículo 33.1 de la Ley 35/2006, de 28 de noviembre, del Impuesto sobre la Renta de las Personas Físicas y de modificación parcial de las leyes de los Impuestos sobre Sociedades, sobre la Renta de no Residentes y sobre el Patrimonio (LIRPF), siempre que esté debidamente justificada mediante medios de prueba admitidos en Derecho (denuncia, reclamaciones, documentación, etc.).
Sin perjuicio de ello, es necesario tener en cuenta dos precisiones relevantes: (i) la pérdida se imputa al ejercicio en que se produjo la estafa, aplicando la regla general del artículo 14.1.c) de la LIRPF y (ii) al no proceder de una transmisión patrimonial, se trata como renta general, con las reglas de compensación aplicables y límites temporales (cuatro años) y, si finalmente se recupera el dinero, esa recuperación tendrá incidencia tributaria al restablecer el equilibrio patrimonial.