Imagine que alguien entra en su casa mientras no está, revuelve los cajones, se lleva algo de valor y desaparece. La probabilidad de que esa persona llame a la policía es alta. Hay un espacio físico vulnerado, una sensación inmediata de invasión, una evidencia concreta del daño.
Ahora imagine que alguien entra en su cuenta bancaria, le roba 600 euros mediante una transferencia fraudulenta y desaparece igual de rápido. La probabilidad de que esa misma persona lo denuncie cae en picado. Hay vergüenza. Hay la convicción de que no servirá de nada. Hay el miedo a parecer ingenuo. Y, en el caso de las empresas, hay el temor al daño reputacional.
Ese contraste explica buena parte del problema más estructural del cibercrimen en España: no es solo que los ataques aumenten cada año, sino que la gran mayoría nunca llega a conocimiento de las autoridades. Y lo que el sistema no ve, no puede combatir.
Una brecha que las estadísticas no recogen
En 2024, las Fuerzas y Cuerpos de Seguridad del Estado registraron 464.801 ciberdelitos en España, según el informe oficial del Ministerio del Interior. Es un número que impresiona. Pero los expertos en criminología llevan años advirtiendo que ese dato representa apenas la punta del iceberg.
La literatura criminológica internacional sitúa la cifra negra del cibercrimen, es decir, la proporción de delitos reales que nunca se denuncian, entre el 70% y el 90% de los hechos. En determinados supuestos, como el fraude de pequeña cuantía, el engaño en plataformas de compraventa o los incidentes absorbidos en silencio por empresas, esa infradenuncia puede superar el 95%.
Aplicando esos rangos al volumen oficial, las estimaciones hablan de entre 1,5 y 4,6 millones de incidentes reales al año en España. No son cifras oficiales: son proyecciones criminológicas construidas sobre patrones comparados internacionales. Pero incluso siendo conservadores, indican que por cada ciberdelito que llega a las estadísticas, al menos dos o tres quedan en el silencio.
El resultado es una paradoja que bloquea cualquier respuesta eficaz: el cibercrimen es el ámbito delictivo de crecimiento más rápido en España (un 185% de aumento en cinco años según el Ministerio del Interior), pero las estadísticas que sirven de base para diseñar políticas públicas y asignar recursos solo reflejan una fracción de lo que ocurre realmente.
Por qué la gente no denuncia.
La decisión de no denunciar no suele ser irracional. Nace de una combinación de factores que tienen sentido individual aunque sean destructivos para el conjunto.
La vergüenza de haber caído
El fraude digital se apoya en técnicas de manipulación psicológica muy sofisticadas. Los ingenieros sociales explotan la confianza, la urgencia y el miedo. Logran que personas inteligentes, formadas y precavidas hagan exactamente lo que no deberían. Y cuando la víctima lo comprende, la primera reacción con frecuencia no es rabia sino vergüenza: ¿cómo he podido caer en esto?.
Ese sentimiento es comprensible y también es falso. No indica ingenuidad ni falta de preparación. Indica que el atacante hizo bien su trabajo. Pero la vergüenza actúa como cierre: muchas personas prefieren absorber la pérdida antes que explicar a una autoridad, o a su entorno, lo que les ha ocurrido.
En el caso de las estafas románticas, donde el daño psicológico supera con creces al económico, ese silencio puede durar años. La víctima ha desarrollado un vínculo emocional real con alguien que nunca existió. Hablar de ello implica reconocer públicamente algo que se siente como una humillación personal, no como un delito del que se es víctima.
La convicción de que no sirve de nada
El segundo freno es más cínico pero igualmente extendido: la creencia de que denunciar no cambia nada. Los cibercriminales operan desde países con los que la cooperación judicial es mínima. Las investigaciones son lentas. Los casos de pequeña cuantía raramente avanzan en la fiscalía. Y el dinero, una vez transferido a una cuenta instrumental y convertido en criptomoneda, es muy difícil de recuperar.
Todo eso es cierto en parte. Pero la conclusión que se extrae de ello, que denunciar es perder el tiempo, ignora el efecto sistémico. Una denuncia individual puede no resolver el caso concreto. Diez mil denuncias del mismo patrón de fraude permiten identificar una red criminal, rastrear su infraestructura y, en algunos casos, desmantelarla. La investigación que desarticuló el fraude masivo de varias organizaciones criminales que operaban en España partió, en todos los casos, de la acumulación de denuncias que permitieron trazar patrones.
El temor reputacional en las empresas
En el ámbito corporativo, el silencio tiene una lógica adicional: el miedo a que la noticia de un ataque dañe la confianza de clientes, inversores o socios. Sin embargo, las empresas que ocultan un incidente no solo pierden la oportunidad de que otros se protejan, sino que asumen un riesgo legal crítico, ya que el Reglamento General de Protección de Datos (RGPD) obliga a notificar las brechas que afecten a datos personales en un plazo máximo de 72 horas. No cumplir con esta normativa puede derivar en sanciones que superan con creces el daño reputacional inicial.El razonamiento es comprensible. También es corto de miras. Las empresas que ocultan un incidente de seguridad no solo pierden la oportunidad de que otros se protejan de la misma táctica: asumen un riesgo legal significativo. El Reglamento General de Protección de Datos obliga a notificar las brechas que afecten a datos personales en un plazo de 72 horas. No hacerlo puede derivar en sanciones que superan con creces el daño inicial.
Lo que el silencio hace al sistema
Las unidades especializadas de la Policía Nacional (la Brigada de Investigación Tecnológica) y de la Guardia Civil (el Grupo de Delitos Telemáticos) trabajan con los datos que les llegan. Si esos datos representan el 10% o el 20% de la realidad, sus análisis de tendencias están distorsionados, sus recursos se asignan sobre una foto parcial y las modalidades emergentes de fraude tardan mucho más en ser identificadas.
Los jueces y fiscales especializados necesitan jurisprudencia para afinar la respuesta penal. Sin casos, no hay jurisprudencia. Sin jurisprudencia, la respuesta judicial sigue siendo más lenta e impredecible de lo que debería.
Los responsables políticos necesitan datos reales para justificar inversión en unidades especializadas, en cooperación internacional, en formación o en legislación preventiva. Si las estadísticas muestran un problema diez veces menor del real, el presupuesto que se asigna también será diez veces menor.
Y los ciudadanos y empresas que podrían haberse protegido si hubieran conocido una modalidad de fraude concreta siguen siendo vulnerables porque nadie la ha reportado con suficiente volumen como para que llegue a las alertas públicas del INCIBE o a los comunicados de las fuerzas de seguridad.
El silencio no es neutral. Tiene un coste que paga toda la sociedad.
Denunciar es un acto colectivo
Hay una forma de pensar sobre la denuncia que cambia su significado. No como un trámite burocrático del que se espera un resultado individual concreto (recuperar el dinero, ver al culpable condenado), sino como una contribución al sistema de información que permite a la sociedad defenderse.
Cuando alguien denuncia un fraude por correo electrónico que no le ha costado nada porque lo detectó a tiempo, ese dato alimenta las estadísticas de detección temprana. Cuando una empresa reporta un intento de fraude del CEO que frenó gracias a un protocolo de verificación, ese patrón puede llegar a la alerta del sector. Cuando una persona mayor reporta la llamada fraudulenta que simulaba ser su banco, esa información puede servir para que el banco avise a sus clientes de esa táctica concreta.
La denuncia individual no suele resolver el caso propio. Pero contribuye a un sistema que, con suficiente masa de datos, puede identificar patrones, anticipar amenazas y reducir la eficacia de los atacantes. Es, en ese sentido, un acto de responsabilidad colectiva.
La analogía con la salud pública es útil: cuando alguien notifica un brote alimentario aunque ya se haya recuperado, no lo hace para beneficiarse individualmente. Lo hace para que el sistema sanitario pueda rastrear el origen, alertar a otros consumidores y evitar más afectados. La denuncia de un ciberdelito funciona de la misma manera.
Cómo denunciar en España: guía práctica
Denunciar un ciberdelito en España es más sencillo de lo que mucha gente cree. Hay varias vías disponibles, algunas completamente telemáticas, y el proceso no requiere más que organizar la información de la que ya se dispone.
Antes de denunciar: reunir las evidencias
El primer paso es documentar todo lo que pueda ser relevante para la investigación. Eso incluye capturas de pantalla de conversaciones, correos o mensajes fraudulentos; registros de transacciones bancarias con fechas y cantidades; números de teléfono o direcciones de correo utilizadas por el atacante; páginas web falsas visitadas (con la URL exacta); y cualquier comunicación posterior al incidente.
Cuanta más información se aporte, más útil resulta la denuncia. Pero no hace falta tenerlo todo perfectamente ordenado: las unidades especializadas tienen experiencia en trabajar con información parcial y saben qué preguntar.
Policía Nacional: presencial y telemática
Por su parte, la Brigada de Investigación Tecnológica (BIT), integrada en la Unidad de Investigación Tecnológica, es la unidad especializada en cibercrimen. Ofrece en su web un formulario de colaboración ciudadana. Es vital distinguir que este formulario sirve para reportar tácticas detectadas y alimentar la inteligencia policial, pero no constituye una denuncia legal ni inicia un procedimiento para recuperar fondos o perseguir al culpable de forma individual.
Guardia Civil: denuncia telemática completa
La Guardia Civil permite presentar denuncias de forma completamente telemática a través de su sede electrónica, con la ventaja de que no requiere ratificación posterior física en ningún cuartel, siempre que el usuario se identifique mediante Certificado Digital o sistema Cl@ve. Esta opción es especialmente eficiente para usuarios digitales que buscan una respuesta rápida y sin desplazamientos, permitiendo que el Grupo de Delitos Telemáticos reciba e investigue el caso de forma directa e inmediata tras el envío del formulario firmado electrónicamente.
El proceso es accesible las 24 horas del día y está disponible desde cualquier dispositivo. El Grupo de Delitos Telemáticos es la unidad especializada que recibe e investiga esas denuncias.
Para quienes prefieren la vía presencial o tienen dudas sobre el procedimiento, el teléfono 900 101 062 ofrece información y orientación sobre cómo presentar la denuncia.
INCIBE: orientación y reporte de incidentes
El Instituto Nacional de Ciberseguridad (INCIBE) no tramita denuncias penales, pero ofrece dos servicios muy útiles. El primero es la línea de asistencia gratuita 017, disponible para ciudadanos y empresas que necesiten orientación sobre qué hacer después de un incidente, qué organismo es el más adecuado para su caso concreto o cómo gestionar las consecuencias técnicas del ataque.
El segundo es el buzón incidencias@incibe-cert.es, donde se puede reportar cualquier tipo de fraude digital detectado (correos de suplantación de identidad, tiendas falsas, páginas que distribuyen programas maliciosos) aunque no se haya producido perjuicio económico directo. Esa información alimenta las alertas públicas del organismo y puede proteger a otros usuarios.
Aplicación AlertCops
El Ministerio del Interior ofrece la aplicación AlertCops, disponible para dispositivos móviles, que permite reportar incidentes de seguridad a la Policía Nacional y la Guardia Civil de forma rápida y directa. Es especialmente útil para situaciones donde la urgencia es un factor o cuando se prefiere reportar desde el móvil sin acceder a una web.
Si hay datos personales afectados
Cuando un incidente implica el acceso no autorizado o la filtración de datos personales (contraseñas, datos bancarios, documentos de identidad, historial médico), puede ser relevante presentar también una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica. Esta vía es fundamental para los particulares cuando el ciberdelito ha sido posible gracias a una falta de diligencia de un tercero, como ocurre en casos de SIM swapping donde una operadora entrega un duplicado de tarjeta sin verificar la identidad, permitiendo al criminal acceder a las cuentas bancarias de la víctima.
Si no se recupera el dinero, ¿merece la pena igualmente?
Esta es la pregunta que más frena la decisión de denunciar. Y la respuesta directa es sí, aunque con matices.
La recuperación del dinero depende de la rapidez con la que se informe al banco para bloquear la operación. En las primeras horas después de una transferencia fraudulenta, el banco puede, en algunos casos, bloquear o redirigir la operación si se le notifica con suficiente rapidez y se activa el procedimiento correcto. Eso requiere llamar al banco de inmediato, antes incluso de ir a denunciar, y pedir el bloqueo urgente de la trasferencia.
En este punto, es importante señalar que la normativa vigente en España y la UE (concretamente la Directiva de Servicios de Pago PSD2, información que añado para su verificación externa ya que no figura explícitamente en las fuentes) regula la responsabilidad de las entidades ante operaciones no autorizadas. La denuncia policial es el documento indispensable para que el ciudadano pueda ejercer sus derechos bajo este marco legal, permitiendo acreditar el daño ante seguros o en procedimientos civiles posteriores para intentar recuperar lo perdido.
Pasadas las primeras horas, la recuperación directa del dinero se complica mucho. Pero la denuncia sigue teniendo valor: permite abrir un expediente judicial que puede ser relevante para reclamaciones de seguros o para acreditar el daño en procedimientos civiles posteriores. Además, contribuye al rastreo de patrones que puede, a medio plazo, derivar en la identificación y detención de los autores.
En 2024, las detenciones e investigaciones por ciberdelitos aumentaron un 14% respecto al año anterior, y el número de casos esclarecidos creció un 6,4%. Esos resultados no se producen sin denuncias.
La vergüenza no es de quien fue víctima
Hay algo que conviene decir sin rodeos: caer en un fraude digital no es señal de ingenuidad ni de falta de preparación. Los ataques de ingeniería social están diseñados por profesionales que dedican tiempo y recursos a identificar el momento exacto en que cualquier persona, independientemente de su formación o experiencia, puede bajar la guardia.
Los directivos de grandes empresas, los responsables de departamentos de informática, los expertos en ciberseguridad, los jueces y los policías han sido víctimas de estas técnicas. No porque sean menos listos. Porque estaban en el momento equivocado con la atención dividida, bajo presión o enfrentando una situación que activó una respuesta automática antes de que el análisis crítico pudiera intervenir.
Reconocer que se ha sido víctima y denunciarlo no es exponerse al ridículo. Es exactamente lo contrario: es la respuesta madura y responsable ante un delito que afecta a millones de personas y que solo puede combatirse si quienes lo sufren dejan de cargarlo en silencio.
El precio del silencio no lo paga solo quien calla. Lo pagamos todos.
#Ciberseguridad #Ransomware #SeguridadEmpresarial #FraudeDigital #Directivos #RRHH #Pymes #TransformaciónDigital