La reforma del Código Penal ha tipificado nuevos ciberdelitos en España vinculados a la inteligencia artificial, los deepfakes y la suplantación digital. Lo que antes era una zona gris legal ahora tiene consecuencias penales claras. Si eres victima o si te acusan: esto es lo que necesitas saber.
Por Luis Gerez | Director Jurídico de Sweet Water Group, S.L. | Marzo 2026
Hace cinco años, un deepfake era algo que veías en videos virales de famosos y que parecía ciencia ficción. Hoy, cualquier persona con un smartphone y una aplicación gratuita puede crear un video falso que muestre a otra persona diciendo o haciendo cosas que nunca dijo ni hizo. Y eso ya no es solo un problema ético o social: desde enero de 2026, es un delito penal en España. La reforma del Código Penal introducida por la Ley Orgánica 1/2025 de medidas de eficiencia del servicio público de justicia, junto con modificaciones especificas del Código Penal, ha tipificado nuevas conductas delictivas vinculadas a la inteligencia artificial, la manipulación digital y la ciberdelincuencia.
España no está sola en esta tendencia. Toda Europa está legislando a marchas forzadas para que el marco penal se adapte a una realidad tecnológica que ha desbordado las leyes existentes. Pero mientras la legislación se pone al día, miles de personas son víctimas de delitos digitales cada año en España, y muchas otras son acusadas de conductas que desconocían que eran delictivas. Este articulo analiza los cambios legales más relevantes y lo que significan tanto para las víctimas como para los acusados.
El panorama de la ciberdelincuencia en España: las cifras que asustan
Según los datos del Ministerio del Interior, los delitos informáticos registrados en España han crecido un 72% en los últimos cinco años. En 2025, se registraron más de 375.000 ciberdelitos, lo que supone aproximadamente el 18% del total de infracciones penales en España. Las estafas informáticas representan el grueso (más del 85%), pero los delitos más graves (amenazas, coacciones, delitos contra la intimidad, pornografía infantil, ataques a infraestructuras criticas) también experimentan crecimientos de dos dígitos interanuales.
Lo más preocupante es que estos datos reflejan únicamente los delitos denunciados. La tasa de infradenuncia en ciberdelitos es altísima: se estima que solo 1 de cada 5 víctimas de ciberdelitos presenta denuncia, ya sea por desconocimiento del procedimiento, por vergüenza (especialmente en casos de sextorsión o deepfakes íntimos) o por la creencia de que la policía no puede hacer nada. La realidad es muy diferente: las Fuerzas y Cuerpos de Seguridad del Estado cuentan con unidades especializadas (la Brigada de Investigación Tecnológica de la Policía Nacional y el Grupo de Delitos Telemáticos de la Guardia Civil) que tienen una capacidad de investigación cada vez mayor.
Los nuevos delitos digitales tras la reforma de 2025-2026
La reforma penal ha introducido o modificado varios tipos delictivos para abordar conductas que hasta ahora caían en lagunas legales. Estos son los cambios más relevantes.
1. Deepfakes: crear y difundir contenido falso generado con IA
La creación y difusión de deepfakes (imágenes, videos o audios generados o manipulados mediante inteligencia artificial que muestran a una persona real en situaciones ficticias) es ahora un delito específicamente tipificado en el Código Penal español. La reforma distingue entre varios supuestos según la gravedad:
| Tipo de deepfake | Pena prevista | Agravantes |
| Deepfake de contenido sexual o intimo | 1-4 años de prisión + multa | Si la víctima es menor: pena en su mitad superior. Si hay difusión masiva: agravante |
| Deepfake para suplantación de identidad | 6 meses-3 años de prisión | Si causa perjuicio económico: concurso con estafa. Si afecta a cargo público: agravante |
| Deepfake para desinformación o manipulación electoral | 1-3 años de prisión | En periodo electoral: agravante especifica |
| Deepfake para acoso o humillación | 6 meses-2 años de prisión | Si es reiterado o en ámbito laboral/escolar: agravante de acoso |
Importante: No solo es delito crear el deepfake. También lo es difundirlo a sabiendas de que es falso, incluso si no lo has creado tu. Compartir en redes sociales o en grupos de WhatsApp un video deepfake sabiendo que es manipulado puede constituir un delito penal autónomo.
2. Uso ilícito de inteligencia artificial
La reforma ha introducido un marco penal para el uso de sistemas de IA con fines delictivos. Esto incluye el uso de IA para generar contenido de explotación sexual de menores (aunque las imágenes no representen a menores reales, su generación mediante IA puede ser delictiva), el empleo de IA para realizar perfilados discriminatorios en procesos de selección de personal, acceso a crédito o seguros, la utilización de IA para la creación de malware, herramientas de hacking o sistemas de fraude automatizado, y el uso de chatbots con IA para suplantar la identidad de personas reales con fines de engaño.
Este marco penal se complementa con el Reglamento Europeo de Inteligencia Artificial (AI Act), que entró en vigor parcialmente en 2025 y será plenamente aplicable en 2026, y que establece obligaciones de transparencia, evaluación de riesgos y supervisión humana para los sistemas de IA de alto riesgo.
3. Suplantación de identidad digital
La suplantación de identidad digital (crear perfiles falsos en redes sociales, cuentas de email o páginas web haciéndose pasar por otra persona) ya era perseguible penalmente, pero la reforma de 2025-2026 ha reforzado y clarificado el tipo penal. Ahora se castiga expresamente la creación de perfiles falsos en redes sociales o plataformas digitales utilizando la identidad (nombre, fotografías, datos personales) de otra persona sin su consentimiento, la utilización de la identidad digital de otra persona para obtener bienes, servicios o crédito, y la suplantación con fines de acoso, amenaza o coacción.
Las penas oscilan entre 6 meses y 3 años de prisión, y se agravan cuando la suplantación causa un perjuicio patrimonial significativo o cuando la víctima es especialmente vulnerable (menores, personas con discapacidad, personas mayores).
4. Ataques a infraestructuras críticas y sistemas informáticos
Los ciberataques contra infraestructuras criticas (energía, transporte, sanidad, telecomunicaciones, sistema financiero) son ahora sancionados con penas de 3 a 8 años de prisión cuando causan danos graves o ponen en peligro la seguridad pública. El acceso no autorizado a sistemas informáticos protegidos se sanciona con penas de 6 meses a 3 años, y la destrucción o inutilización de datos ajenos con penas de 1 a 3 años. Los ataques de ransomware (secuestro de datos con exigencia de rescate) se tipifican como un concurso de delitos de danos informáticos y extorsión, con penas que pueden superar los 5 años de prisión.
Los ciberdelitos más frecuentes en España: los que vemos en nuestro despacho
Mas allá de los nuevos tipos penales, la práctica diaria de la defensa penal en materia digital se concentra en delitos que, aunque no son nuevos, han experimentado un crecimiento explosivo con la digitalización de la vida cotidiana.
Estafas informáticas: el phishing y sus variantes
Las estafas cometidas a través de medios informáticos representan más del 85% de los ciberdelitos en España. El phishing (suplantación de la identidad de una empresa o entidad para obtener datos personales o bancarios), el smishing (phishing a través de SMS), el vishing (phishing a través de llamadas telefónicas) y el pharming (redirección a páginas web falsas) son las modalidades más comunes.
Lo que muchas víctimas no saben es que pueden reclamar a su entidad bancaria. Desde la entrada en vigor de la Directiva de Servicios de Pago (PSD2), los bancos son responsables de las operaciones no autorizadas salvo que demuestren negligencia grave del cliente. En la práctica, los tribunales españoles están fallando mayoritariamente a favor de los consumidores en estos casos, obligando a las entidades a reembolsar las cantidades defraudadas.
Delitos contra la intimidad: sexting no consentido y sextorsion
La difusión de imágenes intimas sin consentimiento de la persona afectada (lo que coloquialmente se conoce como revenge porn) está tipificada en el artículo 197.7 del Código Penal con penas de 3 meses a 1 año de prisión o multa de 6 a 12 meses. Cuando las imágenes se obtuvieron sin consentimiento (cámaras ocultas, hackeo de dispositivos), las penas se agravan. Y cuando la víctima es menor de edad, la pena puede alcanzar los 5 años de prisión.
La sextorsión (amenaza de difundir contenido intimo a cambio de dinero o favores sexuales) es un delito en auge que combina elementos de extorsión, amenazas y delitos contra la intimidad. Las penas acumuladas pueden superar los 5 años de prisión. Si eres víctima, es fundamental no ceder al chantaje, conservar todas las comunicaciones como prueba y denunciar inmediatamente.
Ciberacoso y acoso a través de redes sociales
El ciberacoso (envío reiterado de mensajes amenazantes, insultos, difamaciones o contenido humillante a través de medios digitales) está tipificado como delito de acoso (artículo 172 ter del Código Penal) con penas de 3 meses a 2 años de prisión. La reforma de 2025 ha ampliado la protección, incluyendo expresamente las conductas de acoso realizadas a través de redes sociales, aplicaciones de mensajería y cualquier medio digital. Además, se han creado secciones judiciales especializadas en violencia digital que agilizan la tramitación de estos casos.
Si eres victima: que hacer y que no hacer
La velocidad de actuación es crítica en los ciberdelitos. Cada hora que pasa sin tomar medidas puede significar que las pruebas digitales desaparezcan, que el contenido se difunda más ampliamente o que el autor borre sus rastros. Estas son las pautas fundamentales:
1. No borres nada. Capturas de pantalla de todo: mensajes, perfiles, publicaciones, emails, URLs. Utiliza herramientas de captura que incluyan la fecha y hora (como la función de captura nativa de tu dispositivo). Si es posible, utiliza un servicio de certificación digital de contenido web como eGarante o CertiTool, que genera una prueba con valor legal de lo que aparece en una página o aplicación en un momento determinado.
2. Denuncia ante la Policía o la Guardia Civil. Puedes presentar denuncia presencial en cualquier comisaria o cuartel, o utilizar los canales telemáticos disponibles (formulario online de la Policía Nacional para ciberdelitos). Si eres víctima de un delito grave (amenazas, sextorsión, estafa de cuantía significativa), acude presencialmente y solicita que la denuncia sea tramitada por la unidad de delitos tecnológicos.
3. Contacta con un abogado antes de declarar. Si te piden declarar como testigo o como investigado en un procedimiento penal por ciberdelitos, no declares sin asistencia letrada. Un abogado especializado puede orientarte sobre qué información aportar, como hacerlo y como proteger tus derechos.
4. Solicita medidas cautelares urgentes. En casos de difusión de contenido íntimo, deepfakes o acoso digital, es posible solicitar al juez medidas cautelares urgentes para ordenar la retirada del contenido de las plataformas, la identificación de los autores a través de los proveedores de servicios, y órdenes de alejamiento digital (prohibición de contactar con la victima a través de cualquier medio).
Si te acusan: la defensa penal en delitos digitales
El crecimiento de la ciberdelincuencia ha provocado un aumento proporcional de las investigaciones y las acusaciones. No todas las acusaciones son fundadas, y no todos los imputados son culpables. La defensa penal en delitos digitales tiene particularidades que la diferencian de la defensa penal tradicional.
La prueba digital tiene reglas estrictas
Las pruebas digitales (capturas de pantalla, logs de conexión, registros de actividad, metadatos de archivos, informes periciales informáticos) están sujetas a requisitos estrictos de cadena de custodia. Una prueba digital que no ha sido obtenida, conservada y presentada siguiendo los protocolos forenses adecuados puede ser impugnada y excluida del procedimiento. En nuestra experiencia, un porcentaje significativo de las pruebas digitales que se presentan en procedimientos penales presentan deficiencias de cadena de custodia que, detectadas por la defensa, pueden debilitar o invalidar la acusación.
La atribución de la conducta no es trivial
Que un delito se haya cometido desde tu ordenador, tu dirección IP o tu cuenta de usuario no significa automáticamente que lo hayas cometido tu. Las redes wifi pueden ser hackeadas, las cuentas pueden ser suplantadas, y los dispositivos pueden ser controlados remotamente por malware. La acusación debe demostrar, más allá de toda duda razonable, que fuiste tu quien realizo la conducta delictiva, no simplemente que se realizó desde un dispositivo o una cuenta asociada a tu nombre.
El desconocimiento de la ilicitud puede ser relevante
Con los nuevos tipos penales (especialmente los relacionados con deepfakes e IA), muchas personas pueden incurrir en conductas delictivas sin ser conscientes de ello. Compartir un video deepfake pensando que es una broma, utilizar una herramienta de IA para crear una imagen comprometida de alguien como contenido humorístico, o usar un chatbot para simular ser otra persona en una conversación pueden tener consecuencias penales que el autor no anticipo. Aunque el desconocimiento de la ley no exime de su cumplimiento, el error sobre la ilicitud de la conducta puede ser relevante a efectos de determinar la culpabilidad y la pena.
Ciberdelitos que afectan a empresas: la responsabilidad penal de la persona jurídica
Las empresas no solo pueden ser víctimas de ciberdelitos: también pueden ser penalmente responsables si un empleado o directivo comete un ciberdelito en el ejercicio de sus funciones o si la empresa no ha implementado los controles necesarios para prevenirlo. La Ley Orgánica 1/2015 introdujo la responsabilidad penal de las personas jurídicas en el Código Penal español, y los ciberdelitos están plenamente cubiertos.
Los escenarios más habituales incluyen acceso no autorizado a datos de competidores o clientes por parte de empleados, uso de software sin licencia (piratería informática), espionaje industrial mediante herramientas de interceptación de comunicaciones, y tratamiento ilícito de datos personales de clientes o empleados. La implementación de un programa de compliance penal que incluya protocolos de ciberseguridad, formación de empleados y canales de denuncia interna es la principal herramienta de defensa para evitar la responsabilidad penal de la empresa.
Menores y ciberdelitos: la protección reforzada
La reforma de 2025-2026 ha reforzado significativamente la protección penal de los menores en el entorno digital. La LO 1/2025 ha creado secciones judiciales especializadas en violencia contra la infancia y la adolescencia con competencia ampliada para delitos cometidos a través de medios digitales. Las penas se agravan sistemáticamente cuando la víctima es menor de edad, especialmente en delitos de grooming (acoso sexual a menores a través de internet), creación o difusión de material de explotación sexual de menores (incluido el generado por IA), ciberacoso escolar (ciberbullying), y sexting con menores.
Para los padres y educadores, la nueva legislación refuerza la importancia de la educación digital y la supervisión responsable del uso de tecnología por parte de menores. Para los propios menores, que a partir de los 14 años tienen responsabilidad penal en España, es fundamental entender que las bromas digitales, el reenvío de imágenes intimas de compañeros o la creación de perfiles falsos pueden tener consecuencias legales reales y graves.
La IA en la justicia: la instrucción del CGPJ sobre uso de IA en los tribunales
Un aspecto menos conocido, pero igualmente relevante es que la propia administración de justicia está adoptando herramientas de IA. La Instrucción 2/2026 del Consejo General del Poder Judicial ha establecido las directrices para el uso de inteligencia artificial en la actividad jurisdiccional. Los jueces y magistrados pueden utilizar herramientas de IA como asistentes para la búsqueda de jurisprudencia, el análisis de documentación y la redacción de borradores de resoluciones, pero con limitaciones estrictas: la decisión judicial debe ser siempre humana, el uso de IA debe ser transparente para las partes, y las herramientas utilizadas deben cumplir los requisitos de seguridad y confidencialidad.
Para los abogados y las partes en un procedimiento, esto tiene una implicación practica: es posible que la resolución que afecte a tu caso haya sido elaborada con asistencia de IA. Si hay indicios de que una resolución contiene errores atribuibles al uso de IA (datos incorrectos, citas de sentencias inexistentes, razonamientos incoherentes), puede ser un motivo de recurso.
Perspectiva 2026-2027: lo que viene
Tres tendencias definen el futuro inmediato de la relación entre tecnología y derecho penal en España. En primer lugar, la plena entrada en vigor del Reglamento Europeo de IA (AI Act) creara nuevas obligaciones para las empresas que desarrollen o utilicen sistemas de IA, con sanciones administrativas que pueden alcanzar los 35 millones de euros o el 7% de la facturación global. En segundo lugar, la creciente sofisticación de los deepfakes (que ya son prácticamente indetectables para el ojo humano) presionara a las plataformas tecnológicas y a los legisladores para desarrollar mecanismos de autenticación de contenido digital (como el estándar C2PA de procedencia de contenido). Y, en tercer lugar, la proliferación de herramientas de IA generativa en manos de delincuentes organizados (para phishing personalizado, creación de malware, y automatización de fraudes) elevara el nivel de amenaza para ciudadanos y empresas.
La tecnología avanza más rápido que la ley, pero la ley está empezando a cerrar la brecha. Los nuevos delitos digitales no son una abstracción: son conductas reales con consecuencias reales que afectan a personas reales. Tanto si eres victima como si te enfrentas a una acusación, contar con asesoramiento legal especializado ya no es una opción. Es una necesidad.
¿Víctima de un ciberdelito? ¿Acusado de un delito digital? Necesitas actuar ahora.
En Sweet Water Group contamos con abogados penalistas con experiencia en delitos tecnológicos, ciberdelitos y defensa digital. Analizamos tu caso con urgencia y confidencialidad. Disponibles 24 horas para asistencia en detenciones.
info@sweetwatergroup.es | 911 86 80 99
Luis Gerez
Director Jurídico de Sweet Water Group, S.L.
Abogado colegiado | Especialista en derecho penal, derecho digital y protección de datos
Madrid | sweetwatergroup.es
Aviso legal: Este articulo tiene carácter informativo y no constituye asesoramiento legal personalizado. Las penas indicadas son las previstas con carácter general en el Código Penal vigente y pueden variar en función de las circunstancias del caso, los atenuantes y agravantes concurrentes, y la valoración judicial. La legislación sobre ciberdelitos evoluciona rápidamente y puede haber modificaciones posteriores a la fecha de publicación. Si eres víctima de un ciberdelito o te enfrentas a una acusación, consulta con un abogado penalista especializado antes de tomar cualquier acción. Sweet Water Group, S.L. recomienda actuar con la máxima urgencia en estos supuestos. Ultima actualización: marzo 2026.
