Este protocolo es un documento vivo. La sección «Actualizaciones Normativas Pendientes» (al final del protocolo) recoge las normas en proceso de ratificación o transposición y el impacto concreto que tendrán sobre cada módulo cuando entren en vigor. Se recomienda revisión semestral por el responsable de la unidad especializada.

La fecha de publicación más relevante a vigilar: 18 de agosto de 2026, fecha de aplicación del Reglamento (UE) 2023/1543 (e-Evidence), que activará el sistema EPOC/EPOC-PR para proveedores establecidos en la UE y modificará sustancialmente los procedimientos de cooperación judicial del Módulo 2.

Destinatario: agente de la Policía Nacional, Guardia Civil o Policía Autonómica que recibe la denuncia presencial por ciberestafa. Esta ficha cubre las primeras 2 horas desde la presentación de la denuncia.

Destinatario: Brigada de Investigación Tecnológica (CNP), Grupo de Delitos Telemáticos (GC), UDEF o unidad autonómica equivalente, que recibe el caso del agente receptor o lo inicia por detección propia. Esta ficha cubre las primeras 24 horas.

Destinatario: Fiscal de guardia que recibe el atestado policial, o Fiscal especializado en criminalidad informática que asume la investigación. Esta ficha cubre las actuaciones desde la recepción del atestado hasta las primeras 72 horas.

Destinatario: Juez Instructor o Magistrado de Guardia que recibe la Exposición Razonada policial o el escrito del Ministerio Fiscal. Esta ficha sintetiza las resoluciones que deben adoptarse en las primeras 72 horas, indicando para cada una la base legal y el modelo documental aplicable.

El siguiente árbol sintetiza las decisiones clave que deben tomarse en las primeras 24 horas. Seguirlo en orden garantiza que ninguna ventana de actuación urgente quede sin cubrir.

La eficacia de la investigación de un ciberdelito depende críticamente de la coordinación entre los tres actores institucionales. El siguiente mapa describe qué comunica cada actor a los demás, en qué momento y con qué instrumento.

Artículos operativos clave para investigación urgente:

Segundo Protocolo Adicional al Convenio de Budapest (CETS n.º 224)

Los artículos más relevantes del Segundo Protocolo para la investigación urgente son:

Reglamento (UE) 2023/1543 — e-Evidence

El Reglamento establece dos instrumentos:

Prestadores de servicios cubiertos (art. 2.1 Reglamento 2023/1543):

• Proveedores de comunicaciones electrónicas: telefonía, correo electrónico, mensajería instantánea (WhatsApp, Telegram, Signal)
• Plataformas de redes sociales (Facebook/Meta, Instagram, Twitter/X, TikTok, LinkedIn)
• Servicios de almacenamiento en la nube (Google Drive, OneDrive, iCloud, Dropbox)
• Plataformas de comercio electrónico (condicionado)
• Proveedores de nombres de dominio e IP

EXCLUIDOS: Prestadores de servicios de pago regulados por PSD2; proveedores de servicios de inteligencia artificial sin función comunicativa; operadores de criptoactivos (cubiertos por MiCA y otros reglamentos sectoriales).

Directiva (UE) 2023/1544

Complementaria al Reglamento e-Evidence. Obliga a los prestadores de servicios establecidos fuera de la UE pero que ofrecen servicios en la UE a designar un representante legal en un Estado miembro. Plazo de transposición: 18 de febrero de 2026. Aplicación coordinada con el Reglamento desde el 18/08/2026.

El agente receptor debe cumplimentar este formulario en el primer contacto, sin omitir ningún campo. La calidad de la información recabada en este momento es determinante para el éxito de las diligencias posteriores.

BLOQUE A — DATOS DEL PERJUDICADO

BLOQUE B — TIPO DE CIBERDELITO PRESUMIDO

El agente debe identificar el tipo de fraude conforme a los patrones reconocibles del modus operandi:

BLOQUE C — DATOS TÉCNICOS DEL ATAQUE

BLOQUE D — DATOS BANCARIOS Y FINANCIEROS

BLOQUE E — EVIDENCIAS DIGITALES EN PODER DEL DENUNCIANTE

BLOQUE F — DATOS BANCARIOS DE LA VÍCTIMA

Este bloque recoge los datos de la entidad y cuentas propias del perjudicado, imprescindibles para documentar el perjuicio patrimonial, facilitar el recall bancario y acreditar la titularidad de los fondos defraudados ante el Juzgado.

BLOQUE G — CRONOLOGÍA EXACTA DE LOS HECHOS

A) CONGELACIÓN BANCARIA DE EMERGENCIA

BASE LEGAL: Arts. 585 y 588 octies LECrim; arts. 730 y ss. LEC (medidas cautelares); art. 16 Ley 10/2010 de Prevención del Blanqueo de Capitales; Protocolo SEPBLAC.

QUIEN LO SOLICITA: La propia víctima (acción más rápida); la Policía Judicial mediante contacto directo con la Unidad Antifraude del banco (para congelación provisional); el Juez Instructor mediante auto cautelar.

• PASO 1 — INMEDIATO (0-2 horas): La víctima debe contactar DIRECTAMENTE con su banco para solicitar la revocación de la transferencia (recall bancario SEPA). El banco receptor tiene obligación de colaborar ex art. 16 PSD2 (Dir. 2015/2366).
• PASO 2 — (0-4 horas): El agente policial contacta con la Unidad Antifraude del banco receptor, identificándose oficialmente, para solicitar la congelación provisional de la cuenta de destino, indicando los datos del art. 588 octies LECrim. Esta congelación policial tiene carácter provisional (máx. 24-48h) y debe ser confirmada por auto judicial.
• PASO 3 — (0-24 horas): Si los fondos ya se han movido al extranjero (UE), el agente activa el mecanismo de repatriación de activos a través de Eurojust / EJN (European Judicial Network), identificando el Estado miembro de destino y solicitando el congelamiento mediante OEI (Orden Europea de Investigación, Ley 23/2014).
• PASO 4 — PARALELO: Comunicar al SEPBLAC (Servicio Ejecutivo de Prevención del Blanqueo) si el importe supera los 10.000€ o existen indicios de blanqueo estructurado (transacciones fraccionadas — 'smurfing').
• PASO 5 — (0-6 horas): Solicitar al Juez auto de embargo preventivo / intervención de cuenta con carácter de urgencia, adjuntando atestado provisional y toda la documentación del denunciante.

CANALES DE CONTACTO CON UNIDADES ANTIFRAUDE BANCARIO (actualizar periódicamente):

B) SOLICITUD URGENTE DE CONSERVACIÓN DE DATOS (ART. 16 CONVENIO BUDAPEST / ART. 588 OCTIES LECrim)

La conservación cautelar de datos es la diligencia más urgente e inaplazable. NO requiere autorización judicial previa para el acto de CONSERVAR (art. 16 Budapest), pero la posterior REVELACIÓN de esos datos SÍ requiere auto judicial.

PLAZO LEGAL DE CONSERVACIÓN: 60 días prorrogables. La prórroga debe solicitarse ANTES de que expire el primer plazo.

CANALES DIRECTOS DE CONTACTO CON PROVEEDORES PARA SOLICITUDES DE CONSERVACIÓN URGENTE:

C) IDENTIFICACIÓN DE INFRAESTRUCTURA DEL ATACANTE

• Resolución de IPs: usar herramientas WHOIS (who.is, arin.net, ripe.net), consultar RIPE NCC (ripe.net/IPanalyse), solicitar al CNI-CCN (ccn-cert.cni.es) en casos de ciberataque a infraestructura crítica.
• Identificar el ISP/operador que gestiona el rango IP (AS Number). Contacto con el operador para conservación de logs de conexión.
• Para dominios fraudulentos: consulta a registrador vía WHOIS, solicitar conservación al registrador y al hosting provider. Si el dominio es .es, contactar con Red.es (dominios@red.es).
• Si el IP reside en el extranjero: activar la Red 24/7 del Convenio Budapest (art. 35). Punto de contacto designado por España: Comisaría General de Policía Judicial (CGPJ) del Cuerpo Nacional de Policía, Ministerio del Interior, operativa 24/7 a través del Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO); el dato de contacto telefónico actualizado debe consultarse en la Subdirección General de Cooperación Jurídica Internacional (Ministerio de Justicia) o en la propia CGPJ, por tratarse de información operativa sujeta a actualización periódica. Para países UE: Europol (EC3) vía punto de contacto nacional.
• Para prestadores en jurisdicciones opacas (Seychelles, Singapur, islas Caimán): ver Módulo 2.4 y los perfiles legales OctoCom del Consejo de Europa.

D) RASTREO DE CRIPTOACTIVOS

• Obtener: hash de transacción (TX ID / TXID), dirección(es) wallet de destino, nombre del exchange si los fondos se enviaron a una plataforma centralizada (VASP).
• Análisis de blockchain mediante herramientas de análisis forense: Chainalysis Reactor, Elliptic Investigator, Crystal Blockchain. Herramientas open-source: Blockchair, Etherscan (Ethereum), Blockchain.com Explorer. La Guardia Civil dispone de la unidad @Delphos (análisis de criptoactivos).
• Si los fondos están aún en un exchange centralizado identificado (KYC obligatorio desde AMLD5/6 y Reglamento MiCA): solicitar INMEDIATAMENTE al exchange el 'freeze' (congelación) de la cuenta de destino. Esta solicitud debe hacerse por el canal oficial de law enforcement del exchange (ver tabla proveedores supra). El freeze es voluntario por parte del exchange y generalmente requiere posterior orden judicial para la revelación de datos KYC.
• Solicitud de datos KYC (Know Your Customer) al exchange: nombre, DNI/passport, IBAN de retirada, email, IP de registro, historial de transacciones. Para exchanges en UE: vía oficio judicial + EPOC (desde 2026). Para exchanges en EEUU: vía MLAT España-EEUU (puede tardar 6-18 meses) o solicitud directa vía art. 18 Budapest si el exchange es cooperante.
• Para exchanges en Seychelles, Singapore u otras jurisdicciones: consultar perfiles OctoCom del Consejo de Europa. Singapore tiene marco jurídico sólido (MAS — Monetary Authority of Singapore) y responde a solicitudes internacionales bien documentadas. Seychelles tiene marco más limitado.
• Si los fondos se han convertido o mezclado (mixer/tumbler): documentar el flujo en blockchain mediante análisis de clustering. Esto puede requerir herramientas especializadas y perito informático forense.
• En casos de DeFi/contratos inteligentes o exchanges descentralizados (DEX): la recuperación directa de fondos es extremadamente difícil. Documentar el flujo y coordinar con Europol EC3.

E) INFORME POLICIAL INICIAL (ATESTADO PROVISIONAL)

El atestado de ciberdelito debe contener la siguiente estructura mínima:

• 1. ENCABEZAMIENTO: Unidad, número de atestado, fecha, instructor, secretario.
• 2. DENUNCIA: Reproducción íntegra o resumen de la denuncia formalizada.
• 3. DILIGENCIAS PRACTICADAS: Cada diligencia con su fecha, hora, base legal y resultado.
• 4. DESCRIPCIÓN DE EVIDENCIAS DIGITALES: Hash MD5 y SHA-256 de cada archivo digital obtenido, herramienta usada para la obtención, cadena de custodia.
• 5. CALIFICACIÓN JURÍDICA PROVISIONAL: Artículos del CP aplicables con justificación.
• 6. DILIGENCIAS URGENTES PENDIENTES: Qué diligencias se proponen al Juez y por qué son urgentes.
• 7. CONCLUSIONES Y PETICIÓN: Solicitud de incoación de diligencias previas y adopción de medidas cautelares urgentes.
• 8. ANEXOS: Volcados forenses, capturas de pantalla, documentos aportados por la víctima, oficios cursados a proveedores.

A) MAPA DEL FLUJO DE DINERO: CÓMO VIAJA EL DINERO DE LA VÍCTIMA AL ESTAFADOR

Antes de iniciar la investigación financiera, el agente instructor y el Juez deben tener clara la arquitectura del pago. El dinero nunca va directamente de la cuenta de la víctima a la del estafador: siempre pasa por intermediarios que conservan registros. Cada intermediario es un objetivo de investigación con sus propios instrumentos jurídicos y plazos de respuesta.

B) TRAZABILIDAD DE TRANSFERENCIAS BANCARIAS (SEPA Y SWIFT)

B.1 Transferencias SEPA (pagos en euros dentro del EEE)

La mayoría de estafas bancarias en España se ejecutan mediante transferencia SEPA. El sistema de compensación SEPA garantiza que cada transferencia tiene un identificador único (UETR — Unique End-to-End Transaction Reference) que permite seguir el dinero de principio a fin.

• PASO 1 — Requerir al banco emisor de la víctima mediante oficio judicial (art. 588 ter j LECrim): (a) IBAN del banco receptor; (b) BIC/SWIFT del banco receptor; (c) nombre del titular de la cuenta receptora; (d) referencia UETR de la transacción; (e) timestamp UTC exacto; (f) logs de autenticación SCA/3DS del momento del pago. Plazo de respuesta: 3-5 días hábiles.
• PASO 2 — Con el IBAN receptor, identificar el banco adquirente: los primeros 4 caracteres del IBAN (tras el código de país) identifican la entidad. Bases de datos públicas: iban.com, swift.com/bic-registrations. Si el banco receptor está en la UE, puede obtenerse vía BCE (Banco Central Europeo) en el Registro SEPA.
• PASO 3 — Emitir oficio judicial al banco receptor (si está en España) o activar la OEI/rogatoria urgente (si está en la UE o fuera de ella). El auto debe incluir: (a) datos de identificación del titular; (b) extracto íntegro de movimientos desde la fecha del ingreso; (c) IBAN y BIC de todos los destinos posteriores de los fondos. Solicitar simultáneamente el bloqueo cautelar urgente (auto art. 585 LECrim). Plazo congelación: 24-72h; datos: 3-7 días.
• PASO 4 — Rastrear los movimientos posteriores: si los fondos se han movido a cuentas mula encadenadas, el Juzgado debe emitir oficio judicial a cada banco intermedio de forma sucesiva, siguiendo la cadena hasta identificar la cuenta desde la que el estafador retira efectivo o convierte en criptoactivos. Cada auto debe ordenar simultáneamente el bloqueo cautelar para impedir nuevos movimientos.
• PASO 5 — Si los fondos han salido de la UE mediante transferencia SWIFT: ver sección B.2 infra.

B.2 Transferencias internacionales SWIFT (fuera del EEE)

Cuando los fondos salen de la zona SEPA hacia un banco extranjero (frecuente en estafas BEC/CEO Fraud y fraudes de inversión), el pago viaja a través del sistema SWIFT mediante mensajes estandarizados. El mensaje clave es el MT103 (Single Customer Credit Transfer), que cada banco corresponsal que interviene en la cadena debe conservar.

• PASO 1 — Solicitar al banco emisor (español) mediante oficio judicial: copia íntegra del mensaje MT103; resultado de la consulta SWIFT gpi (estado del pago, banco intermediario, banco beneficiario final, UETR).
• PASO 2 — Identificar el banco beneficiario final (BIC/SWIFT). Con ese BIC, identificar el país de la entidad bancaria receptora y su banco central o supervisor.
• PASO 3 — Activar la cooperación internacional hacia el país del banco receptor: si es UE → OEI (Ley 23/2014). Si es país Budapest → art. 29 Budapest (congelación urgente transfronteriza) + art. 31 (asistencia mutua para acceso a datos). Si es EEUU → MLAT España-EEUU + contacto con FBI (Internet Crime Complaint Center, IC3: ic3.gov). Si es otros países → MLAT bilateral o Interpol.
• PASO 4 — En paralelo: contactar con Egmont Group / FIU.NET (red de Unidades de Inteligencia Financiera). El SEPBLAC (España) puede contactar directamente con la FIU del país receptor para solicitar la congelación preventiva de los fondos, con mayor agilidad que la vía judicial clásica.
• PASO 5 — Si los fondos han llegado a un 'banco corresponsal' en un centro financiero offshore (Chipre, Malta, Luxemburgo, Islas Caimán, BVI): identificar el banco corresponsal de ese banco en un país con mejor cooperación (frecuentemente un banco americano o europeo) y dirigir la solicitud a ese banco corresponsal.

C) PASARELAS DE PAGO ONLINE, TPV VIRTUAL Y PROCESADORES DE PAGOS

Las estafas en comercio electrónico, marketplaces fraudulentos, plataformas de inversión falsas y sextorsión frecuentemente canalizan los pagos a través de pasarelas de pago online. El estafador se registra como 'comercio' (merchant) en la pasarela usando datos ficticios o robados, y recibe los pagos de las víctimas a través de esa cuenta merchant antes de retirar el dinero.

La diferencia clave respecto a una transferencia bancaria: la víctima no sabe a qué cuenta bancaria real está enviando el dinero — solo ve el nombre del comercio o plataforma. Por eso el primer objetivo es identificar quién es el titular de la cuenta merchant en la pasarela.

D) LAS CUENTAS MULA — EL ESLABÓN MÁS FRECUENTE EN LA CADENA

En la gran mayoría de estafas bancarias, el dinero de la víctima no llega directamente al estafador principal: pasa antes por una o varias 'cuentas mula' — cuentas bancarias de terceras personas (conscientes o no del fraude) que sirven para difuminar el rastro financiero. Identificar y bloquear la cuenta mula es el primer objetivo de la investigación financiera.

E) TABLA DE DECISIÓN: INSTRUMENTO JURÍDICO SEGÚN TIPO DE PAGO Y DESTINO

Regla general:

Será competente el Juez del lugar donde se cometió el delito o donde se produjo el resultado (art. 14.2 LECrim). En los ciberdelitos, el lugar de comisión puede ser múltiple; se aplica el fuero del lugar donde la víctima sufrió el perjuicio patrimonial (tribunal competente = domicilio de la víctima o lugar donde se realizó la transferencia bancaria fraudulenta).

Competencia de la Audiencia Nacional (Juzgados Centrales de Instrucción (AN)):

Será competente la Audiencia Nacional (arts. 65 LOPJ y 88 LECrim) cuando concurra:

• Delitos de terrorismo con componente cibernético (art. 65.1.a LOPJ).
• Delitos cometidos por grupos u organizaciones criminales de ámbito supranacional o cuando la actividad delictiva afecte a múltiples circunscripciones judiciales españolas (art. 65.1.b LOPJ — interpretación extensiva aplicada por la AN en cibercrimen organizado).
• Casos en que la complejidad o el ámbito territorial de la investigación aconsejen la centralización (criterio de prevención y economía procesal, doctrina TS).
• Delitos de ciberataque a infraestructuras críticas del Estado con afectación a la seguridad nacional.

Conflictos de competencia frecuentes en ciberdelitos:

DILIGENCIAS SOBRE DATOS DE TRÁFICO Y LOCALIZACIÓN (Art. 588 ter f LECrim)

Requieren SIEMPRE autorización judicial mediante auto motivado. No pueden ser acordadas unilateralmente por la policía.

• Volcado de logs de acceso a plataformas/servicios (IPs de acceso, fechas y horas, dispositivos usados).
• Registros de conexión (IPDR — IP Detail Records) del ISP: IP dinámica asignada a la conexión usada para cometer el delito, con timestamp preciso.
• Datos de tráfico de comunicaciones: identificadores de origen y destino, fechas y horas, volumen de datos, duración.
• Datos de localización de dispositivo (Cell-ID, triangulación de antenas, si procede en el momento de la comisión).

DILIGENCIAS SOBRE DATOS DE CONTENIDO (Art. 588 ter a LECrim — máxima restricción)

Solo procedentes cuando los delitos investigados estén dentro del catálogo del art. 579.1 LECrim (mínimo 3 años de prisión) o sean cometidos a través de instrumentos informáticos (art. 588 ter a, párr. 2.º LECrim). Requieren auto motivado con aplicación estricta del principio de proporcionalidad.

INTERVENCIÓN DE CUENTAS BANCARIAS Y ACTIVOS (Arts. 585, 588 octies LECrim)

• Bloqueo cautelar de cuenta bancaria: el Juez ordena al banco el congelamiento de los fondos existentes y los que se ingresen hasta nueva resolución.
• Embargo preventivo de fondos: inscripción del embargo en el Registro de Bienes Muebles / comunicación a la entidad bancaria.
• Inmovilización de criptoactivos: si los fondos están en exchange con sede en España o con representante legal en España, el Juez ordena directamente la inmovilización. Si el exchange está en el extranjero, se activa la cooperación internacional (Módulo 2.4). Guía específica: C-PROC Council of Europe, Guide on Seizing Cryptocurrencies (2021).

VERIFICACIÓN DE DERECHOS FUNDAMENTALES — MODELO E (Interceptación de comunicaciones)

VERIFICACIÓN PREVIA DE DERECHOS FUNDAMENTALES AFECTADOS

El Juez instructor, antes de firmar la presente resolución, verifica la afectación de cada derecho fundamental en juego, conforme al canon constitucional del art. 588 bis a LECrim (especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad) y a la doctrina del TEDH (art. 8 CEDH). Esta tabla forma parte de la motivación del auto.

Leyenda: ROJO = afectación de alta intensidad (exige motivación reforzada) | AZUL = afectación media | VERDE = no afectado o garantizado | AMARILLO = requiere verificación caso por caso

CRITERIOS COMPLEMENTARIOS — CIRCULAR FGE 2/2019 SOBRE INTERCEPTACIÓN DE COMUNICACIONES

La Circular 2/2019 de la Fiscalía General del Estado, complementaria de la Circular 1/2019, sintetiza la doctrina aplicable al Modelo E. A continuación se relacionan los criterios específicos para ciberdelitos:

VERIFICACIÓN DE DERECHOS FUNDAMENTALES — MODELO F (Intervención de activos)

VERIFICACIÓN PREVIA DE DERECHOS FUNDAMENTALES AFECTADOS

El Juez instructor, antes de firmar la presente resolución, verifica la afectación de cada derecho fundamental en juego, conforme al canon constitucional del art. 588 bis a LECrim (especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad) y a la doctrina del TEDH (art. 8 CEDH). Esta tabla forma parte de la motivación del auto.

Leyenda: ROJO = afectación de alta intensidad (exige motivación reforzada) | AZUL = afectación media | VERDE = no afectado o garantizado | AMARILLO = requiere verificación caso por caso

2.4.1 RÉGIMEN OBLIGATORIO DE COMUNICACIÓN A EUROJUST (INSTRUCCIÓN FGE 3/2011)

El art. 13 de la Decisión 2009/426/JAI del Consejo (refuerzo de Eurojust) y la Ley 16/2006 imponen un régimen OBLIGATORIO de comunicación a Eurojust en aquellos ciberdelitos en que concurran simultáneamente: (a) afectación de al menos tres Estados miembros de la UE; (b) tramitación de solicitudes de cooperación —incluidos instrumentos de reconocimiento mutuo— a un mínimo de dos Estados miembros; y (c) concurrencia de alguno de los siguientes presupuestos de gravedad: delito con pena privativa de libertad máxima ≥ 5 años incluido en la lista del art. 13.6.a) de la Decisión —entre los que figura expresamente «ataques contra los sistemas de información»—, indicios materiales de organización delictiva, o relevancia transfronteriza con repercusión a nivel UE.

2.4.2 CÉLULA DE COORDINACIÓN DE EMERGENCIAS DE EUROJUST — OCC (ON CALL COORDINATION)

Eurojust dispone de una Célula de Coordinación de Emergencias (CCE) operativa 24/7 mediante un teléfono denominado OCC (On Call Coordination), de uso exclusivo para Jueces, Fiscales y Policía Judicial. Permite contactar directamente en español en casos perentorios —típicamente: necesidad de congelación urgente transfronteriza de fondos defraudados, identificación acelerada de sujetos en múltiples Estados, solicitud de actuación simultánea en varias jurisdicciones—. El número del OCC ha sido distribuido por la Fiscalía General del Estado a través de la Unidad de Cooperación Internacional a todos los Fiscales Jefes y a la Red de Fiscales de Cooperación Internacional; debe consultarse a través de esos canales.

ADVERTENCIA TERMINOLÓGICA: no debe confundirse el OCC de Eurojust (On Call Coordination — teléfono 24/7 de la Célula de Emergencias de Eurojust) con la OCC del Ministerio del Interior (Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad), que aparece en el Módulo 5 del presente protocolo. Aunque comparten acrónimo, designan organismos completamente distintos con funciones, ámbitos territoriales y vías de contacto diferenciados.

2.4.3 OTROS SUPUESTOS DE COMUNICACIÓN OBLIGATORIA A EUROJUST (ART. 13.7 DECISIÓN 2009/426/JAI)

Más allá de la regla general del art. 13.6, la Decisión 2009/426/JAI exige también la comunicación a Eurojust en estos tres supuestos: (a) conflictos de jurisdicción entre Estados miembros que no hayan podido resolverse mediante contactos directos, conforme al art. 12 de la Decisión Marco 2009/948/JAI —de aplicación directa cuando el ciberdelito sea perseguible simultáneamente por varios Estados—; (b) entregas vigiladas que afecten al menos a tres Estados, de los que dos como mínimo sean Estados miembros, comunicación que corresponde al Estado solicitante; (c) dificultades o denegaciones reiteradas de ejecución de solicitudes de cooperación o de instrumentos de reconocimiento mutuo —OEI, ODE, EPOC—, lo que es especialmente relevante para detectar patrones de no-cooperación en jurisdicciones opacas frecuentes en ciberdelincuencia.

2.4.4 EXCEPCIONES A LA OBLIGACIÓN DE COMUNICACIÓN (ART. 13.8 DECISIÓN + ART. 15.2 LEY 16/2006)

La obligación de comunicar puede demorarse cuando concurran: (i) riesgo para la seguridad nacional; (ii) peligro para la seguridad de las personas; (iii) declaración de secreto de las actuaciones (art. 302 LECrim) o circunstancias análogas que, en interés de la investigación, desaconsejen el traslado de información a autoridades no estrictamente jurisdiccionales. En tales casos, la Instrucción FGE 3/2011 (conclusión 6ª) ordena: el Fiscal del asunto comunica la incidencia al Fiscal de la Red de Cooperación Internacional y al Fiscal Jefe; valorada por éste la necesidad de reserva, se traslada la decisión a la FGE por el conducto ordinario, valorándose la posibilidad de una comunicación PARCIAL que transmita datos neutros y reserve los sensibles (identidades, paraderos, vectores técnicos en curso de explotación).

En los ciberdelitos, la infraestructura del atacante reside frecuentemente en el extranjero, lo que exige conocer con precisión las vías de cooperación disponibles, su velocidad y sus limitaciones.

B.1 Modus operandi detallado — Anatomía del ataque en 5 fases

FASE 1 — Reconocimiento (días o semanas antes del ataque)

El atacante estudia a la empresa víctima mediante fuentes abiertas (OSINT): web corporativa, perfiles de LinkedIn de directivos y personal financiero, comunicados de prensa (que pueden revelar una adquisición o fusión en curso, contexto perfecto para el fraude), proveedores frecuentes identificados en facturas o contratos publicados. Esta fase no deja rastro directo en los sistemas de la víctima.

Evidencia disponible en esta fase: registros de acceso a perfiles LinkedIn de la empresa (solo con colaboración de LinkedIn), logs DNS de resolución del dominio corporativo desde IPs externas (indicios de reconocimiento de infraestructura).

FASE 2 — Compromiso o suplantación del email

FASE 3 — El email fraudulento: elementos que lo identifican

• URGENCIA ARTIFICIAL: «necesito que hagas esta transferencia HOY antes de las 14:00», «no puede esperar», «estoy en una reunión y no puedo hablar». La urgencia impide que el empleado consulte a otro superior.
• PETICIÓN DE SECRETO: «no lo comentes con nadie por ahora», «es una operación confidencial». Diseñada para impedir que el empleado verifique con un compañero.
• CAMBIO DE PROVEEDOR O CUENTA BANCARIA: «nuestro proveedor X ha cambiado de banco, usa a partir de ahora este nuevo IBAN para todos sus pagos». Este es el vector más frecuente: el atacante suplanta al proveedor, no al directivo.
• CONTEXTO VEROSÍMIL: el atacante usa información real de la empresa (nombre del directivo, nombre del proveedor, importes habituales) para que el email resulte creíble. Esta información la obtuvo en la Fase 1 de reconocimiento.
• IBAN DE DESTINO EXTRANJERO: frecuentemente en países como Reino Unido, Irlanda, Países Bajos, Alemania, Estonia, o fuera de la UE (Hong Kong, Dubai, EE.UU.). No siempre: también se usan cuentas en bancos españoles de mulas.

B.2 Calificación jurídica

B.3 Tabla de evidencias digitales por fuente y urgencia

B.4 Árbol de decisión operativa — Primeras 6 horas

B.5 Dificultades específicas y cómo superarlas

C.1 Línea de tiempo del ataque — Fases y ventana de actuación

C.2 Modus operandi detallado

FASE PREVIA — Recopilación de datos personales de la víctima

Antes del ataque, el atacante necesita conocer los datos personales de la víctima para suplantar su identidad ante el operador: nombre completo, DNI/NIE, número de teléfono, dirección, y en ocasiones el número de cliente del operador. Los obtiene mediante:

• Phishing o vishing previo: un email o llamada anterior mediante la que obtuvo los datos del denunciante.
• Filtración de bases de datos (dark web): los datos personales de millones de españoles están disponibles en mercados criminales online a bajo precio, procedentes de filtraciones de empresas, hospitales, administraciones, etc.
• OSINT: redes sociales, el propio perfil del operador de telefonía si tiene acceso a credenciales robadas, o información pública.
• Información obtenida de un conocido de la víctima (fraude con componente de ingeniería social interna).

FASE DEL ATAQUE — El duplicado de SIM: tres modalidades

C.3 Calificación jurídica

C.4 Actuaciones por destinatario — Protocolo de urgencia

AGENTE RECEPTOR — Ventana 0-30 minutos desde que la víctima pierde cobertura

• PASO 1 — Indicar a la víctima que llame INMEDIATAMENTE al operador de telefonía (número de atención al cliente) para reportar el posible duplicado fraudulento y solicitar el bloqueo de la nueva SIM y la reactivación de la SIM legítima. Esta es la única acción que puede detener el ataque en curso.
• PASO 2 — Indicar a la víctima que contacte al mismo tiempo con su banco (banca online u oficina) para bloquear cualquier operación de sus cuentas y alertar de accesos no autorizados.
• PASO 3 — Documentar la hora exacta en que la víctima perdió la cobertura: es el timestamp del inicio del ataque.
• PASO 4 — Solicitar conservación urgente al operador (Modelo A): IMSI de la SIM que solicitó el duplicado, IMEI del dispositivo que recibió la nueva SIM, IP de la solicitud si se realizó online, nombre y cargo del empleado que tramitó el duplicado en tienda (si aplica), grabación de llamada si fue telefónica.
• PASO 5 — Solicitar conservación urgente al banco o bancos afectados: logs de autenticación (IP de acceso, dispositivo, timestamp), todas las operaciones realizadas desde el momento de la pérdida de cobertura.

JUZGADO — Resoluciones urgentes en las primeras 24 horas

• Auto de bloqueo cautelar bancario (Modelo F): ordenar al banco que bloquee todas las operaciones realizadas tras el timestamp del duplicado de SIM. Solicitar extracto completo de movimientos y logs de autenticación.
• Oficio urgente al operador de telefonía (art. 588 ter j LECrim): datos completos del proceso de duplicado de SIM — identidad del solicitante, documentación presentada, canal utilizado (tienda/web/teléfono), IP, timestamp, IMSI e IMEI implicados.
• Auto de datos de tráfico al operador (art. 588 ter f LECrim): CDRs del número de la víctima durante el período del ataque y los días previos (para identificar patrones de llamadas sospechosas), localización de la nueva SIM durante el ataque (Cell-ID de las antenas a las que se conectó).
• Si hay indicios de organización criminal o múltiples víctimas: valorar interceptación de las comunicaciones de los terminales identificados como relacionados con el fraude (art. 588 ter a LECrim — requiere Modelo E con verificación DDFF).

C.5 La cuestión de la responsabilidad del operador de telefonía

C.6 Tabla de evidencias por fuente — SIM Swapping

Modus operandi:

El delincuente envía un correo electrónico (phishing), SMS (smishing) o realiza una llamada telefónica (vishing) suplantando la identidad de una entidad bancaria o administración pública. El objetivo es obtener las credenciales de acceso a la banca online de la víctima o inducirla a validar una operación fraudulenta mediante SMS de segundo factor (2FA).

Calificación jurídica:

Art. 248.2.a) CP (estafa informática — uso de medios informáticos para obtener transferencia de activos no consentida). Concurrencia posible con art. 197 bis CP (acceso ilícito a sistema informático) si se accede efectivamente a la cuenta bancaria. Agravante art. 250.1.5.ª CP si el importe supera 50.000€.

Indicadores de urgencia:

MUY ALTA. Los fondos se mueven en minutos tras la transferencia. El SMS de segundo factor se borra automáticamente. Los logs del operador para localización de IP tienen plazo de conservación variable.

Actuaciones prioritarias:

• 1.ª Congelación bancaria inmediata — protocolo art. 16 PSD2 con el banco receptor.
• 2.ª Conservación de logs de la sesión bancaria comprometida (IP de acceso, user-agent, timestamp).
• 3.ª Solicitud de conservación al operador de telefonía (SMS logs, IMSI, IMEI del dispositivo origen).
• 4.ª Si hay llamada (vishing): conservación de CDR (Call Detail Records) del número llamante al operador.

Proveedores clave a contactar:

Banco receptor (urgente). Operador telefónico (para SMS/llamada). Proveedor del hosting de la web falsa (para phishing). Registrador del dominio falso.

Dificultades específicas y cómo superarlas:

El phishing suele usar infraestructura efímera (dominios registrados horas antes del ataque, desactivados horas después). Es fundamental actuar en las primeras 2-4 horas. Los dominios falsos se registran frecuentemente en registradores extranjeros.

Modus operandi:

Pig butchering: el delincuente establece una relación de confianza (app de citas, red social, WhatsApp) y convence a la víctima de invertir en una plataforma cripto falsa. Inicialmente permite retiradas pequeñas para generar confianza; luego incrementa la inversión y desaparece. Rug pull: proyecto cripto aparentemente legítimo que retira la liquidez de golpe. Exchange fraudulento: plataforma que simula ser un exchange real pero no permite retiradas.

Calificación jurídica:

Art. 248 CP (estafa). Art. 248.2.a) CP (estafa informática). Si hay captación de inversores sin registro: art. 282 bis CP (delito societario) + normativa CNMV. Art. 301 CP (blanqueo) para los flujos de los fondos.

Indicadores de urgencia:

ALTA pero diferente: los fondos ya se han transferido en cripto. El reto es seguir la cadena blockchain y congelar en algún exchange intermedio.

Actuaciones prioritarias:

• 1.ª Obtener: dirección wallet completa de destino, TX ID/hash, nombre de la plataforma presuntamente fraudulenta.
• 2.ª Análisis blockchain inmediato (Chainalysis/Elliptic) para rastrear los fondos y determinar si han llegado a algún exchange centralizado (donde puede haber KYC y posibilidad de freeze).
• 3.ª Solicitud de freeze al exchange si los fondos están aún allí.
• 4.ª Denuncia a CNMV si hay indicios de captación de inversores sin licencia.

Proveedores clave a contactar:

Exchanges centralizados identificados en la cadena blockchain. CNMV (notificación). Europol EC3 para análisis transnacional.

Dificultades específicas y cómo superarlas:

Los fondos suelen pasar por mixers (Tornado Cash, etc.) que dificultan el rastreo. Las plataformas fraudulentas suelen estar alojadas en jurisdicciones opacas (Seychelles, islas Caimán, BVI).

Modus operandi:

El malware cifra los archivos de la víctima (empresa u organismo) y exfiltra datos sensibles previamente. Los delincuentes exigen rescate en criptomonedas a cambio de la clave de descifrado y la no publicación de los datos exfiltrados (doble extorsión).

Calificación jurídica:

Arts. 264 y 264 bis CP (daños informáticos, sabotaje). Art. 264 quater CP (distribución de malware). Art. 197.2 CP (acceso ilícito a datos). Art. 490 CP si la víctima es administración pública. Obligaciones de notificación: art. 33 RGPD (brecha de datos personales — notificación AEPD en 72h) + art. 19 Directiva NIS2 (incidente de ciberseguridad en operador de servicios esenciales — notificación CCN-CERT/INCIBE).

Indicadores de urgencia:

ALTA para contención del incidente. Los datos ya están comprometidos; la urgencia investigativa está en la identificación del vector de entrada y del grupo de ransomware.

Actuaciones prioritarias:

• 1.ª Preservación inmediata de evidencias del sistema infectado: memoria RAM, logs de sistema, imágenes forenses de discos antes de cualquier restauración.
• 2.ª NO PAGAR el rescate sin consulta experta (el pago no garantiza la recuperación y puede constituir financiación de organización criminal).
• 3.ª Notificación inmediata a CCN-CERT (si es administración pública) o INCIBE (si es empresa privada).
• 4.ª Análisis de la wallet de rescate mediante herramientas de análisis blockchain.

Proveedores clave a contactar:

Proveedor de email (vector de entrada más frecuente: phishing). ISP (para identificar C&C — servidores de comando y control). CCN-CERT / INCIBE-CERT (apoyo técnico). Europol EC3 (para grupos ransomware conocidos).

Dificultades específicas y cómo superarlas:

Grupos de ransomware operan desde jurisdicciones fuera del alcance de la cooperación occidental (Rusia, Corea del Norte). La identificación de los operadores requiere investigaciones prolongadas coordinadas con Europol.

Modus operandi:

El delincuente crea un perfil ficticio en app de citas o red social, establece una relación afectiva prolongada con la víctima y eventualmente solicita dinero (para emergencia médica, viaje, inversión compartida, gastos legales). Las solicitudes escaladas de dinero pueden extenderse durante meses.

Calificación jurídica:

Art. 248 CP (estafa). Art. 248.2.a) CP si hay componente de manipulación informática. Si deriva a pig butchering: ver tipología D. Art. 197 bis CP si se accede a dispositivos de la víctima.

Indicadores de urgencia:

MEDIA-ALTA: raramente hay urgencia de tipo bancario, pero las transferencias a cuentas mula deben bloquearse lo antes posible.

Actuaciones prioritarias:

• 1.ª Preservar el perfil del delincuente en la plataforma (app de citas, red social): capturas de pantalla con URL y timestamp, antes de bloquearlo.
• 2.ª Solicitud de conservación de datos del perfil al proveedor de la plataforma.
• 3.ª Rastrear las cuentas bancarias receptoras (cuentas mula) e iniciar proceso de congelación.

Proveedores clave a contactar:

Plataformas de dating (Tinder, Badoo, Meetic, OkCupid — canales LE). Meta/Instagram/WhatsApp. Entidades bancarias receptoras.

Dificultades específicas y cómo superarlas:

Los perfiles suelen ser completamente ficticios y construidos con identidades robadas. La víctima frecuentemente se resiste a creer que fue engañada, dificultando la obtención de evidencias.

Modus operandi:

Vendedor fraudulento que cobra y no entrega el producto, o comprador fraudulento que alega no haber recibido el producto para obtener un reembolso fraudulento. También: anuncios de alquiler vacacional falsos, venta de entradas falsas, etc.

Calificación jurídica:

Art. 248 CP (estafa). Art. 248.2.a) CP (estafa informática si hay manipulación del sistema). Art. 249 CP (estafa agravada por importe). Art. 264 CP si se manipuló el sistema de la plataforma.

Indicadores de urgencia:

MEDIA: los importes suelen ser menores. Urgencia en la conservación del perfil fraudulento y datos del vendedor/comprador.

Actuaciones prioritarias:

• 1.ª Preservar toda la comunicación con el vendedor/comprador fraudulento (mensajería de la plataforma, emails).
• 2.ª Conservación del perfil del vendedor en la plataforma (datos de registro, IP, método de pago).
• 3.ª Si se pagó mediante PayPal, Bizum o tarjeta: solicitar al proveedor de pago conservación y bloqueo del importe.

Proveedores clave a contactar:

Wallapop, Vinted, Milanuncios, Amazon, eBay — canales LE. PayPal (law enforcement requests). Entidad bancaria del comprador (chargeback).

Dificultades específicas y cómo superarlas:

Muchos casos son de escasa cuantía y no justifican investigaciones complejas. Se recomienda acumular denuncias para identificar patrones y una misma persona detrás de múltiples fraudes.

Modus operandi:

El delincuente amenaza a la víctima con difundir imágenes o vídeos íntimos reales (obtenidos por hackeo, relación previa o robo) o generados mediante deepfake (IA generativa), a menos que pague un rescate generalmente en Bitcoin. A veces la amenaza incluye acceso a la lista de contactos de la víctima.

Calificación jurídica:

Art. 171 CP (amenazas condicionales). Art. 172 CP (coacciones). Art. 197.7 CP (difusión de imágenes íntimas sin consentimiento — 'revenge porn'). Art. 197.2 CP si hubo acceso ilícito al dispositivo. Si hay componente de organización criminal: art. 570 bis CP. Si la víctima es menor: art. 183 CP (child grooming) — ATENCIÓN ESPECIAL.

Indicadores de urgencia:

MUY ALTA si la víctima es menor. ALTA en todos los casos para preservar evidencias antes de que el delincuente actúe.

Actuaciones prioritarias:

• 1.ª NUNCA aconsejar a la víctima que pague (no garantiza cese de amenazas y financia la actividad criminal).
• 2.ª Preservación urgente de todas las comunicaciones con el extorsionador.
• 3.ª Solicitud de conservación a la plataforma donde se realizó el contacto.
• 4.ª Si la víctima es menor: activar protocolo específico de protección de menores e informar a la Fiscalía de Menores.

Proveedores clave a contactar:

Plataformas de mensajería (Telegram, WhatsApp, Instagram DMs). NCMEC (National Center for Missing & Exploited Children) si hay material de abuso a menores. IWF (Internet Watch Foundation) para bloqueo del material.

Dificultades específicas y cómo superarlas:

Víctimas frecuentemente no denuncian por vergüenza. El material deepfake generado por IA es difícil de identificar como falso sin análisis forense especializado.

NORMATIVA TÉCNICA APLICABLE A LA CADENA DE CUSTODIA Y ANÁLISIS FORENSE DIGITAL:

• UNE 71506:2013 — Metodología para el análisis forense de las evidencias electrónicas (norma española — AENOR).
• ISO/IEC 27037:2012 — Guidelines for identification, collection, acquisition and preservation of digital evidence.
• RFC 3227 — Guidelines for Evidence Collection and Archiving.
• NIST SP 800-86 — Guide to Integrating Forensic Techniques into Incident Response.

En el momento de recibir la denuncia, el agente receptor debe informar al denunciante de las siguientes instrucciones de preservación. Las evidencias aportadas por el propio perjudicado tienen menor valor probatorio que las obtenidas por autoridad pública, pero son complementarias y con frecuencia permiten identificar el vector de ataque antes de que el Juzgado emita los primeros oficios. El agente debe hacer constar en el atestado que estas instrucciones fueron comunicadas.

• NO BORRAR nada: el denunciante no debe eliminar ningún email, mensaje, captura, perfil del atacante ni archivo vinculado a los hechos hasta que la Policía Judicial haya realizado el volcado forense.
• CONSERVAR EL EMAIL COMPLETO CON CABECERAS: los headers del email (obtenibles en Gmail: menú ⋮ → 'Mostrar original'; en Outlook: Archivo → Propiedades → Encabezados de internet) contienen la IP del servidor remitente, que es el dato técnico clave para identificar al atacante o su proveedor de servicios.
• NO BLOQUEAR AL ATACANTE en redes sociales ni en mensajería hasta que se hayan preservado su perfil y el historial completo de conversaciones. El bloqueo puede impedir el acceso al perfil antes de que el Juzgado ordene la conservación al proveedor.
• CONSERVAR LOS DISPOSITIVOS: no resetear, actualizar ni reparar ningún dispositivo empleado durante los hechos hasta que el agente forense realice el volcado. Una actualización del sistema operativo puede sobrescribir datos relevantes.
• NO CONTACTAR CON EL ATACANTE: cualquier comunicación posterior podría alertar al delincuente y acelerar la destrucción de evidencias o la fuga de fondos.
• ACCIÓN BANCARIA URGENTE: el denunciante debe contactar CON CARÁCTER INMEDIATO con su entidad bancaria para solicitar la revocación de la transferencia (recall SEPA) y comunicar el fraude. El agente debe registrar en el atestado si esta gestión ya se realizó y su resultado.
• PRECONSTITUCIÓN NOTARIAL: en casos de alta cuantía o cuando exista riesgo de que el contenido digital sea alterado antes de la intervención judicial, puede recomendarse la preconstitución de la prueba ante notario mediante acta notarial de presencia (Guía C-PROC Consejo de Europa, 2013, sec. 4.4.8). El notario genera un documento con plena fe pública sobre el contenido digital visualizado en el momento del acta.

Herramientas forenses admitidas en España:

Proceso de adquisición forense — pasos obligatorios:

• IDENTIFICACIÓN: descripción completa del dispositivo (marca, modelo, número de serie, IMEI si es móvil, estado físico).
• FOTOGRAFÍA: fotografía del dispositivo antes de manipulación, con escala y referencia temporal.
• WRITE-BLOCKING: conectar el dispositivo a través de un write-blocker (Tableau, Wiebetech o equivalente) para garantizar que no se modifica ningún dato durante la adquisición.
• ADQUISICIÓN: crear imagen forense del dispositivo (copia bit a bit). Documentar: herramienta usada, versión, fecha, hora, operador.
• HASH DE INTEGRIDAD: calcular MD5 y SHA-256 de la imagen forense en el momento de su obtención. Registrar ambos valores en el acta.
• VERIFICACIÓN: calcular de nuevo el hash de la imagen obtenida para verificar que coincide con el original. Cualquier discrepancia invalida la evidencia.
• ETIQUETADO Y EMBALAJE: etiquetar el dispositivo original con número de evidencia, número de atestado, fecha y hora. Embalar en bolsa antiestática con precinto oficial.
• ACTA DE VOLCADO FORENSE: cumplimentar el Modelo K adjunto.
• ANÁLISIS: el análisis forense se realiza SIEMPRE sobre la copia, nunca sobre el original.
• INFORME PERICIAL: el perito documenta los hallazgos, metodología, herramientas y conclusiones en el dictamen pericial.

El Juez instructor y la Policía Judicial deben anticipar, desde la obtención de la evidencia, los motivos de nulidad que la defensa podrá invocar en el juicio oral. Una evidencia digital obtenida sin respetar las garantías formales puede ser declarada nula de pleno derecho conforme al art. 11.1 LOPJ, con independencia de su valor probatorio intrínseco. La siguiente tabla identifica los motivos de nulidad más frecuentes en evidencia digital y las medidas preventivas obligatorias.

La Ley 4/2015 del Estatuto de la Víctima del Delito (BOE 28/04/2015), en transposición de la Directiva 2012/29/UE, reconoce un amplio catálogo de derechos a la víctima de ciberdelitos:

• Derecho a entender y ser entendida (art. 4): información desde el primer contacto policial, en lenguaje comprensible.
• Derecho a recibir información sobre el procedimiento (art. 5): estado de las diligencias, resoluciones relevantes.
• Derecho a la protección (art. 19 y ss.): adopción de medidas de protección frente al victimario, especialmente en casos de acoso o sextorsión.
• Derecho a la asistencia jurídica gratuita (art. 9): si cumple los requisitos de la Ley 1/1996, el ofendido puede ejercer la acusación particular con abogado de oficio.
• Derecho a la reparación del daño: el Ministerio Fiscal debe solicitar la responsabilidad civil derivada del delito (art. 100 LECrim). La víctima puede ejercerla simultáneamente.
• Derecho a ser notificada de la excarcelación o fuga del acusado (art. 13): relevante en casos de criminalidad organizada.
• Derecho a impugnar el sobreseimiento (art. 11): la víctima puede recurrir la decisión de no continuar la investigación.

El Ministerio Fiscal y el Juez instructor deben tener en cuenta el marco de responsabilidad civil de las entidades bancarias, tanto para la correcta determinación de la responsabilidad civil derivada del delito (art. 100 LECrim), como para identificar a los posibles responsables civiles que deben ser llamados al proceso. La jurisprudencia del Tribunal Supremo ha consolidado los siguientes criterios:

• Arts. 36 y 37 del Real Decreto-ley 19/2018 de servicios de pago (transposición de la PSD2 — Directiva (UE) 2015/2366): responsabilidad del proveedor de servicios de pago por operaciones no autorizadas, salvo negligencia grave de la víctima.
• El Banco de España puede recibir reclamaciones de consumidores (Servicio de Reclamaciones del BdE) cuando el banco no devuelve el importe de la operación no autorizada.
• STS, Sala 1.ª (Civil), 15 de febrero de 2023: el banco es responsable de devolver el importe defraudado en casos de phishing si no acredita que la víctima actuó con negligencia grave o fraude.
• Criterio CNMV: en supuestos de fraude en plataformas de inversión no autorizadas (chiringuitos financieros), el Fiscal o el Juzgado debe dar traslado a la CNMV para que ejerza sus competencias sancionadoras sobre la entidad. La CNMV puede actuar en paralelo al proceso penal.

Antes de declarar conclusa la instrucción, el Juez y el Fiscal deben verificar que todas las diligencias esenciales han sido efectivamente practicadas y sus resultados incorporados al procedimiento. Una diligencia pendiente de resultado en el momento del cierre puede obligar a reabrirlo posteriormente.

El cierre de la instrucción es el momento de revisar la calificación jurídica provisional con los resultados completos de la investigación. Los ciberdelitos frecuentemente presentan concursos de delitos y agravantes que pueden haber variado desde la incoación.

La especificidad de la prueba digital en el juicio oral exige una preparación diferente a la de los delitos convencionales. El tribunal de enjuiciamiento puede tener dificultades para valorar evidencias técnicas complejas sin una presentación estructurada.