No envíes tu DNI sin protegerlo: evita estafas

Hay gestos que hacemos casi sin pensar. Nos piden una foto del DNI para una compraventa, para reservar un alojamiento, para optar a un supuesto trabajo o para completar un trámite por internet, y la reacción más habitual es abrir WhatsApp, sacar una foto rápida y enviarla. Parece algo inofensivo. Al fin y al cabo, todos hemos tenido que identificarnos alguna vez. Pero ahí empieza el problema: una imagen limpia, en color y sin proteger de nuestro Documento Nacional de Identidad puede convertirse en una llave maestra para que otra persona actúe en nuestro nombre.

El vídeo de la Guardia Civil de Navarra alerta precisamente sobre esa costumbre. El mensaje es sencillo y contundente: una fotografía del DNI puede utilizarse para abrir una cuenta bancaria, solicitar un préstamo o aportar datos personales dentro de una estafa. La recomendación principal es clara: si no queda más remedio que enviarlo, debe hacerse en blanco y negro y pixelando elementos sensibles como el rostro, la firma o la fecha de validez.

El DNI no es “solo una foto”

El DNI concentra en pocos centímetros una cantidad enorme de información: nombre, apellidos, número de documento, fecha de nacimiento, fotografía, firma, fecha de validez y otros datos técnicos. Para una persona honrada, es una identificación. Para un estafador, puede ser una herramienta.

INCIBE advierte de que compartir documentos privados en línea sin medidas de protección puede exponernos a suplantación de identidad, pérdida de control de la información y uso indebido de nuestros datos personales. Además, recuerda que el envío de documentación por correo electrónico, WhatsApp, formularios o servicios en la nube es cada vez más común, pero no siempre seguro.

La trampa está en la normalidad. Hemos normalizado enviar documentos por mensajería instantánea igual que enviamos una foto de un recibo o una captura de pantalla. Sin embargo, una copia del DNI no desaparece cuando pulsamos “enviar”. Puede quedar almacenada en el móvil del receptor, en una conversación, en una copia de seguridad, en un correo reenviado o en un servidor mal protegido.

Cuándo pueden pedirte el DNI y cuándo no

Una de las ideas más importantes es que no siempre es necesario entregar una copia del DNI. La Agencia Española de Protección de Datos explica que, para realizar una contratación, generalmente no hace falta proporcionar una copia del documento: la identidad puede verificarse por otros medios, como la firma electrónica. Solo en determinados sectores, por ejemplo por normativa de prevención de blanqueo de capitales, puede exigirse una copia.

La AEPD también indica que, si alguien solicita una copia del DNI y no es estrictamente necesario presentar el documento completo, se pueden ocultar o proteger los datos que no sean necesarios para la identificación. Además, si la copia se facilita por medios electrónicos, recomienda evitar el correo electrónico y exige que el responsable del tratamiento proporcione medios seguros.

Esto cambia la pregunta. No deberíamos pensar: “¿Cómo envío mi DNI rápido?”. La pregunta correcta es: “¿De verdad tienen derecho a pedirme una copia completa?”. Y si la respuesta no está clara, conviene pedir explicación: para qué lo necesitan, durante cuánto tiempo lo conservarán, quién tendrá acceso y por qué no basta con una verificación visual, un formulario o un método de identificación menos invasivo.

El caso de los alojamientos: no todo vale

La advertencia es especialmente relevante en reservas de alojamientos turísticos, pisos vacacionales o alquileres temporales. Durante años se ha extendido la práctica de pedir fotos del DNI por WhatsApp para hacer el registro de huéspedes. Pero la AEPD aclaró en 2025 que la obligación de recoger determinados datos en hospedajes no autoriza a solicitar una copia del DNI o pasaporte, porque eso vulneraría el principio de minimización de datos y supondría un tratamiento excesivo.

La propia Agencia recuerda que documentos como el DNI contienen más información de la necesaria, como fotografía, fecha de caducidad o CAN, y que tratar esos datos aumenta el riesgo de suplantación de identidad. Para identificar a una persona, en muchos casos basta con recoger los datos exigidos mediante un formulario o verificar visualmente el documento en persona.

Por eso, si un alojamiento, una plataforma o un particular exige una foto completa del DNI sin explicar base legal ni medidas de seguridad, conviene desconfiar. La comodidad del receptor no debe pagarse con nuestra privacidad.

Cómo enviar el DNI de forma más segura

Hay situaciones en las que quizá no puedas evitar enviar una copia. En ese caso, el objetivo es que el documento sirva solo para el trámite concreto y no pueda reutilizarse fácilmente con otros fines.

La primera medida es convertir la imagen a blanco y negro. INCIBE recomienda hacerlo porque una copia en color puede parecer más auténtica y ser más fácil de reutilizar fraudulentamente.

La segunda medida es pixelar o tapar los datos que no sean imprescindibles. La Guardia Civil menciona el rostro, la firma y la fecha de validez. INCIBE también recomienda pixelar la foto y la firma para dificultar su uso fraudulento.

La tercera medida es añadir una marca de agua visible sobre el documento. Debe incluir el motivo exacto del envío, por ejemplo: “Copia válida solo para contrato de alquiler con [empresa] el [fecha]”. Esta frase debe cruzar la imagen, pero sin impedir leer los datos estrictamente necesarios. La marca de agua limita el valor del documento fuera de ese contexto y deja rastro del uso autorizado.

La cuarta medida es reducir la información. No envíes las dos caras del DNI si solo necesitan una. No envíes una imagen de alta resolución si no hace falta. No incluyas datos que no estén vinculados al trámite. Y, siempre que puedas, usa plataformas seguras en lugar de correo electrónico o WhatsApp.

La regla de oro: finalidad concreta

Un DNI protegido debe responder a una finalidad concreta. No es lo mismo entregar una copia para “verificación de identidad” que entregar una copia marcada con “válido solo para reserva en Hotel X, junio de 2026”. Cuanto más genérico sea el documento, más fácil será reutilizarlo.

La marca de agua funciona como una barrera psicológica y práctica. Si un delincuente intenta usar esa copia para abrir una cuenta, pedir un crédito o registrarse en una plataforma, el receptor verá que el documento estaba destinado a otro trámite. No es una protección perfecta, pero reduce mucho el riesgo.

El error más habitual es enviar una foto limpia “por si acaso”. Es decir, enviar más información de la necesaria para evitar una conversación incómoda. Pero cuando hablamos de identidad digital, la comodidad inmediata puede convertirse en un problema largo y difícil de resolver.

Señales de alerta antes de enviar tu DNI

Hay peticiones que deberían hacer saltar todas las alarmas. Por ejemplo, una supuesta oferta de trabajo que pide el DNI antes de una entrevista real. Una compraventa entre particulares en la que el comprador o vendedor insiste en recibir una foto del documento. Un alquiler demasiado barato que exige documentación antes de visitar la vivienda. O un mensaje urgente que presiona con frases como “si no lo envías ahora pierdes la reserva”.

También conviene desconfiar cuando el solicitante no se identifica con claridad, no aporta CIF o datos de empresa, usa un correo gratuito, evita llamadas, se niega a explicar el tratamiento de los datos o promete borrar la imagen “después” sin ninguna garantía.

Una entidad seria debe poder explicar por qué necesita tus datos, qué base legal tiene, cómo los protege y durante cuánto tiempo los conservará. Si la respuesta es vaga, la mejor defensa es no enviar nada o enviar una versión protegida.

Qué hacer si ya has enviado el DNI sin proteger

Lo primero es no entrar en pánico, pero tampoco ignorarlo. Guarda pruebas: conversación, número de teléfono, correo, perfil, anuncio, justificantes y cualquier dato de la persona o entidad que te pidió el documento.

Si sospechas que puede tratarse de una estafa, contacta con las Fuerzas y Cuerpos de Seguridad. En el caso recogido por medios sobre el aviso de la Guardia Civil de Navarra, la propia Guardia Civil recomendaba llamar al 062 o acudir a la oficina más cercana para informar de lo ocurrido.

También puedes revisar si se han solicitado préstamos o créditos a tu nombre. El Banco de España permite pedir un informe de riesgos en la Central de Información de Riesgos, donde aparecen préstamos, créditos, avales y otros riesgos declarados sobre una persona.

INCIBE recomienda, en casos de suplantación o sospecha, recopilar evidencias, revisar cuentas afectadas, denunciar si procede y adoptar medidas preventivas adicionales. Entre ellas menciona consultar CIRBE, renovar el DNI en determinados casos para poder demostrar que el documento anterior ya no está vigente y usar mecanismos de protección frente a registros fraudulentos.

Para el ámbito del juego online, existe el servicio Phishing Alert de la Dirección General de Ordenación del Juego, pensado para alertar de intentos de suplantación en operadores de juego online.

Empresas y particulares también tienen responsabilidad

La protección del DNI no depende solo del ciudadano. Empresas, alojamientos, inmobiliarias, academias, plataformas y profesionales deben aplicar el principio de minimización: pedir solo los datos necesarios, no conservar copias completas sin motivo y ofrecer canales seguros.

Solicitar un DNI “porque siempre se ha hecho así” ya no es una excusa suficiente. La AEPD insiste en que, por regla general, no es necesario facilitar una copia del DNI para ejercer derechos de protección de datos, salvo que existan dudas razonables sobre la identidad y se necesite información adicional.

La confianza digital no consiste en pedir más datos, sino en pedir los justos y protegerlos mejor. Cuantos más documentos acumula una empresa, mayor es el daño potencial si sufre una brecha de seguridad.

Un pequeño gesto que puede evitar un gran problema

La lección del vídeo es poderosa porque cabe en unos segundos: no envíes tu DNI tal cual. Hazlo en blanco y negro. Pixela lo que no sea necesario. Añade una marca de agua. Comprueba quién lo pide. Y, sobre todo, pregunta si realmente hace falta.

El DNI es una pieza central de nuestra identidad. No deberíamos tratarlo como una simple imagen adjunta. Cada vez que lo enviamos sin protección, estamos entregando una copia de nosotros mismos a alguien cuyo nivel de seguridad desconocemos.

Proteger el DNI no es paranoia. Es higiene digital básica. Igual que no dejaríamos las llaves de casa encima de una mesa en un bar, tampoco deberíamos dejar una copia perfecta de nuestra identidad circulando por chats, correos y formularios sin control.