El notable aumento de los delitos tecnológicos ha situado la ciberseguridad en el centro del debate jurídico actual, especialmente en lo relativo a la responsabilidad legal de empresas y usuarios. En las últimas semanas se ha detectado una nueva campaña de phishing de elevada sofisticación que suplanta a Google, coincidiendo con diversos informes que alertan sobre el uso generalizado de contraseñas extremadamente vulnerables. Esta combinación incrementa de forma exponencial el riesgo de accesos no autorizados, brechas de seguridad y responsabilidades legales.

El phishing: concepto y claves para su detección

El phishing es una técnica de fraude digital orientada a la obtención ilícita de información confidencial —como contraseñas o datos bancarios— mediante la suplantación de entidades de confianza, tales como entidades financieras, plataformas digitales o redes sociales. Habitualmente, los ciberdelincuentes utilizan correos electrónicos, mensajes SMS o comunicaciones a través de redes sociales que aparentan ser legítimas y urgentes, con el objetivo de inducir a la víctima a introducir sus datos en páginas web fraudulentas.

Entre las principales recomendaciones para identificar este tipo de ataques destacan:

• Analizar el contenido y el tono del mensaje, desconfiando de comunicaciones no personalizadas o con errores ortográficos o semánticos.
• Evitar responder a mensajes genéricos del tipo “Estimado cliente” o que soliciten actuaciones inmediatas.
• Verificar siempre la dirección real de los enlaces antes de hacer clic, situando el cursor sobre los mismos.
• Comprobar la identidad del remitente y, ante cualquier duda, contactar directamente con la entidad oficial por canales alternativos.
• Eliminar los mensajes sospechosos y advertir a los contactos de posibles intentos de fraude.

Phishing avanzado: la suplantación de grandes plataformas digitales

Especialistas en ciberseguridad han advertido recientemente sobre una campaña fraudulenta especialmente sofisticada que simula comunicaciones oficiales de Google. Estos correos redirigen inicialmente a dominios legítimos de la propia plataforma, lo que dificulta su detección y genera una falsa sensación de seguridad. No obstante, el proceso finaliza en una página de inicio de sesión falsa donde, al introducir las credenciales, estas quedan comprometidas y pueden ser utilizadas para acceder a cuentas personales o información sensible, con importantes consecuencias económicas y jurídicas.

Contraseñas débiles: un riesgo evitable con consecuencias legales

Los informes más recientes siguen revelando que, entre las contraseñas más utilizadas en 2025, continúan figurando combinaciones extremadamente simples como “123456” o “admin”. Este tipo de prácticas facilita los ataques automatizados y supone un riesgo significativo para la seguridad de la información. Desde una perspectiva jurídica, el uso de contraseñas débiles o reutilizadas puede ser considerado una medida de seguridad insuficiente. En caso de brecha de seguridad, esta circunstancia puede agravar la responsabilidad del responsable del tratamiento de datos personales ante la Agencia Española de Protección de Datos (AEPD).

Exigencias normativas y buenas prácticas en materia de contraseñas

La normativa vigente impone la obligación de adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de la información. El uso de contraseñas robustas resulta imprescindible: deben contar con al menos ocho caracteres, combinar mayúsculas y minúsculas, incluir números y caracteres especiales, renovarse periódicamente y no reutilizarse en distintos servicios.

Obligaciones jurídicas y prevención en las organizaciones

Las empresas y organizaciones deben, entre otras medidas:

• Implementar contraseñas robustas y únicas para cada sistema o servicio.
• Activar sistemas de autenticación multifactor.
• Establecer protocolos internos de verificación de correos electrónicos y de actuación ante incidentes de seguridad.
• Formar y concienciar a empleados y colaboradores en la detección de intentos de phishing.
• Revisar y actualizar periódicamente las políticas internas de seguridad digital.

Estas actuaciones no solo reducen el riesgo de sufrir ciberataques, sino que permiten acreditar diligencia y cumplimiento normativo ante la AEPD o ante eventuales procedimientos judiciales.

Consecuencias jurídicas de los ciberataques

La legislación europea y nacional obliga a notificar las violaciones de seguridad que afecten a datos personales en un plazo máximo de 72 horas. El incumplimiento de esta obligación puede dar lugar a sanciones económicas de elevada cuantía, reclamaciones por daños y perjuicios por parte de los afectados e incluso responsabilidad penal en supuestos de acceso o difusión ilícita de datos.

Jurisprudencia relevante

El Tribunal Supremo ha establecido que, en los supuestos de operaciones de pago no autorizadas derivadas de phishing, el régimen de responsabilidad de las entidades bancarias es cuasi objetivo, quedando exentas únicamente si acreditan la existencia de fraude o negligencia grave por parte del usuario. Asimismo, la AEPD viene sancionando de forma reiterada a aquellas empresas que no adoptan medidas de seguridad adecuadas para la protección de los datos personales de clientes y empleados.

Conclusión

El avance constante de las técnicas de fraude digital, unido a prácticas de seguridad deficientes, configura un escenario de elevado riesgo jurídico. La ciberseguridad no es solo una cuestión técnica, sino una obligación legal con consecuencias reales. Desde Bufete Iribarren Abogados recomendamos la adopción de un enfoque preventivo integral y, ante cualquier incidente de seguridad o ataque de phishing, contar con asesoramiento jurídico especializado que permita una adecuada gestión del incidente y la defensa de los derechos e intereses afectados.