¿Qué hago si alguien suplanta mi identidad en internet?

Suplantación de identidad en internet: qué es, qué dice la ley y cómo actuar

La suplantación de identidad digital —denominada en inglés identity fraud o identity spoofing— ocurre cuando un tercero usa sin autorización los datos personales, imagen, nombre o credenciales de otra persona para hacerse pasar por ella en medios electrónicos, redes sociales, correo electrónico o cualquier plataforma en línea. El daño puede ser reputacional, económico o incluso penal, y su atención requiere actuar en paralelo en tres frentes: técnico, plataforma y jurídico.

¿Qué constituye una suplantación? Distinción conceptual

Conviene distinguir tres figuras que suelen confundirse:

• Suplantación de identidad (identity fraud): uso indebido de los datos de una persona real para engañar a terceros o cometer ilícitos.
• Usurpación de nombre: empleo del nombre ajeno sin necesariamente usar más datos personales; puede configurar responsabilidad civil independiente.
• Phishing: técnica de ingeniería social orientada a obtener credenciales de acceso mediante páginas o mensajes que imitan a una entidad legítima; es un vector frecuente para iniciar una suplantación.

Identificar cuál conducta ocurrió determina qué acciones son procedentes y ante qué autoridades.

Marco legal aplicable en México

México no cuenta con un tipo penal federal exclusivo titulado "suplantación de identidad", pero varias normas convergen sobre la conducta:

• Código Penal Federal: el uso fraudulento de datos ajenos para obtener un beneficio o causar perjuicio puede encuadrar en fraude informático o en las disposiciones relativas al uso indebido de información confidencial, conforme a la legislación vigente.
• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): regula el tratamiento de datos personales por entidades privadas. Cuando la suplantación implica que un tercero recopiló, trató o difundió ilegalmente tus datos, puedes ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) ante el responsable del tratamiento. La ley también establece la obligación del responsable de proteger los datos con medidas de seguridad adecuadas; su incumplimiento activa la competencia del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
• Ley Federal de Telecomunicaciones y Radiodifusión: contempla la confidencialidad de las comunicaciones y habilita rutas para solicitar información de registro a proveedores de servicios, conforme a la legislación vigente.
• Código Civil Federal y códigos civiles locales: la suplantación puede generar responsabilidad civil extracontractual por daño moral, cuya reparación puede exigirse ante tribunales civiles.

En el ámbito local, varias entidades federativas —entre ellas la Ciudad de México— han tipificado la suplantación de identidad como delito autónomo en sus códigos penales, con sanciones que incluyen prisión y multa. Si el hecho ocurrió en territorio de una entidad que ya lo tipifica, la denuncia ante la fiscalía local es la ruta más directa.

Pasos inmediatos: contención técnica

Antes de actuar jurídicamente, es imprescindible contener el daño y preservar evidencia digital, requisito indispensable para cualquier denuncia formal:

• Capturas de pantalla con metadatos: usa herramientas que registren la URL y la fecha/hora (p. ej., extensiones de navegador con sello temporal). Un screenshot ordinario puede ser rechazado como prueba por no acreditar autenticidad.
• Preservación de URL exacta: copia la dirección completa del perfil o página falsa; las plataformas pueden eliminarla antes de que concluya tu denuncia.
• Archivado en servicios de terceros: servicios como web.archive.org (Wayback Machine) permiten archivar una página y generar un registro independiente con fecha certificada.
• Cadena de custodia digital: guarda los archivos en un medio íntegro y no los modifiques; la alteración involuntaria puede invalidarlos como evidencia.
• Cambio de credenciales: si la suplantación derivó de un acceso no autorizado a tus cuentas, cambia contraseñas, activa la autenticación multifactor (MFA) y revisa las sesiones activas en todos los servicios.

Reporte ante la plataforma

Todas las grandes plataformas (Meta, X, LinkedIn, Google, TikTok) ofrecen un mecanismo de reporte por suplantación de identidad distinto al reporte por contenido ofensivo genérico. Usa el flujo específico de impersonation o identity theft; esto acelera la revisión y deja registro formal. Guarda el número de ticket o confirmación del reporte: acredita que notificaste a la plataforma en caso de que la situación escale judicialmente.

Denuncia ante autoridades competentes

Con la evidencia preservada, procede a la denuncia formal:

• Fiscalía General de la República (FGR) o fiscalía local: presenta denuncia por el delito que corresponda según la entidad. La Unidad de Policía Cibernética de la Secretaría de Seguridad y Protección Ciudadana también recibe reportes en línea y puede orientar sobre el tipo penal aplicable.
• INAI: si la suplantación involucra tratamiento ilegal de datos personales por parte de una empresa o particular, interpón una queja o denuncia. El instituto puede imponer sanciones administrativas al responsable del tratamiento.
• Juzgados civiles: para la reclamación de daño moral, es necesario iniciar un juicio civil ordinario con el patrocinio de un abogado; la evidencia digital recolectada será el pilar de la demanda.

Acciones preventivas de largo plazo

La higiene de identidad digital —conjunto de prácticas sistemáticas para reducir la superficie de exposición de los datos personales— es la mejor defensa estructural:

• Configura alertas de Google con tu nombre completo para detectar publicaciones no autorizadas.
• Activa MFA en todos los servicios que lo permitan; prioriza los basados en aplicación (TOTP) sobre los de SMS, más vulnerables a SIM swapping (técnica mediante la cual un atacante transfiere tu número de teléfono a una SIM que él controla).
• Limita la información personal pública en redes sociales; el principio de minimización de datos que recoge la LFPDPPP aplica también a lo que tú mismo publicas.
• Registra proactivamente tus perfiles en plataformas relevantes, aunque no las uses activamente, para evitar que un tercero lo haga en tu nombre.

Glosario

• Suplantación de identidad digital (identity fraud): uso no autorizado de los datos, imagen o credenciales de una persona para hacerse pasar por ella en medios electrónicos.
• Derechos ARCO: conjunto de derechos reconocidos por la LFPDPPP que permiten a un titular Acceder, Rectificar, Cancelar y Oponerse al tratamiento de sus datos personales.
• Autenticación multifactor (MFA): mecanismo de seguridad que requiere dos o más factores de verificación independientes para acreditar la identidad de un usuario.
• SIM swapping: ataque por el cual un tercero convence a la operadora para transferir el número telefónico de la víctima a una SIM bajo su control, permitiéndole interceptar códigos de autenticación por SMS.
• Phishing: técnica de ingeniería social que usa comunicaciones o sitios fraudulentos que imitan a entidades legítimas para obtener credenciales u otros datos sensibles.
• Cadena de custodia digital: conjunto de procedimientos que garantizan la integridad e inalterabilidad de la evidencia digital desde su obtención hasta su presentación ante la autoridad.
• Higiene de identidad digital: conjunto de prácticas sistemáticas orientadas a reducir la exposición de los datos personales y minimizar el riesgo de suplantación o acceso no autorizado.
• Minimización de datos: principio que establece que solo deben recabarse y tratarse los datos estrictamente necesarios para la finalidad declarada; recogido en la LFPDPPP.

Referencias

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010). Diario Oficial de la Federación, 5 de julio de 2010. México: Congreso General de los Estados Unidos Mexicanos.
• Código Penal Federal. (1931, con reformas). Diario Oficial de la Federación. México: Congreso General de los Estados Unidos Mexicanos.
• Ley Federal de Telecomunicaciones y Radiodifusión. (2014). Diario Oficial de la Federación, 14 de julio de 2014. México: Congreso General de los Estados Unidos Mexicanos.
• Código Civil Federal. (1928, con reformas). Diario Oficial de la Federación. México: Congreso General de los Estados Unidos Mexicanos.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guía para el ejercicio de los derechos ARCO. Recuperado de inai.org.mx
• Secretaría de Seguridad y Protección Ciudadana. (s.f.). Unidad de Policía Cibernética: reporte de delitos informáticos. Gobierno de México.