¿Qué es el delito de estafa por phishing?

¿Qué es el delito de estafa por phishing?

1.- La estafa por phishing

La estafa por phishing es un mecanismo utilizado por los delincuentes informáticos para poder utilizar el dinero de los legítimos titulares de las cuentas corrientes y transferirlo a otras cuentas corrientes de su titularidad. Phishing es la contracción de password harvesting fishing que significa cosecha y pesca de contraseñas; por lo que consiste en obtener mediante el engaño las credenciales de seguridad de las cuentas. Como describe perfectamente la Sentencia de la Audiencia Provincial de Madrid, Sala de lo Penal, número 166/2020, de 2 de junio:

“La conducta de todos los acusados que resultaron condenados en la sentencia del Juzgado de lo Penal se enmarca en una técnica delictiva defraudatoria, consecuencia del desarrollo de las tecnologías y del manejo de la banca y del comercio electrónico, conocida con el nombre phishing y que consiste: o bien en el envio masivo a los usuarios de mensajes de correo electrónico, SMS ( smishing) o llamadas telefónicas ( vishing) en los que los autores, haciéndose pasar por empresas o fuentes fiables, especialmente por entidades bancarias, y alegando supuestas razones de seguridad, solicitan de tales usuarios las contraseñas o datos confidenciales necesarios para operar telemáticamente en las webs bancarias, o les solicitan que pinchen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades donde los usuarios introducen tales datos; o bien les introducen virus informáticos capaces de apoderarse de tales claves ( pharming). En definitiva, por todas estas vías los autores de la defraudación o estafa informática consiguen conocer las contraseñas y claves secretas de acceso de los usuarios a sus cuentas corrientes, y, por lo tanto, acceder ellos mismos a las cuentas, suplantando la identidad de su titular, y ordenar transferencias de sus activos que luego tienen que ser redirigidos para evitar su seguimiento y localización.”

Es posible distinguir tres fases o secuencias del delito cometido por la estafa por phishing: una primera, de descubrimiento de las claves y contraseñas; una segunda, de acceso a las cuentas y la realización de transferencias de activos; y una tercera, que consiste en el apoderamiento efectivo de los activos y en el desarrollo de una sistema que impida su localización mediante plataformas que dificultan el rastreo del dinero.

 2.- Consumación del delito de estafa por phishing

2.1.- Descubrimiento de las credenciales

La conducta de los delincuentes reside en el envío masivo de mensajes de correo electrónico, servicios de mensajes cortos (sms) o llamadas telefónicas haciéndose pasar por empresas de reconocido prestigio y fiabilidad, mayoritariamente entidades financieras. En el caso de los mensajes acostumbra a introducirse un link en el que se redirige a los usuarios a una página web aparentemente igual o muy similar a la página web oficial de la empresa.

A los receptores de los mensajes o las llamadas telefónicas se les solicitan las credenciales de seguridad de las cuentas bancarias o tarjetas de crédito o débito por supuestas razones de seguridad. Se requiere directamente el envío de los datos de seguridad o se hostiga al receptor para que inicie sesión en la pàgina web creada por los delincuentes. O bien también, por otro lado, les introducen un virus informático capaz de apoderarse de las claves privadas de los usuarios conocido con el nombre de pharming.

2.2.- Acceso a las cuentas y apoderamiento de los activos

Obtenidas las credenciales de seguridad, los autores acceden a las cuentas corrientes suplantando la identidad del titular y ordenan transferencias o pagos a cuentas controladas por ellos. Es en este momento cuando entran a participar los llamados muleros que, en muchos casos, desconocen la actividad delictiva. Su actuación consiste, a cambio de una comisión e incluso un salario, en ser el titular de las cuentas de recepción de las transferencias o pagos y reenviar el dinero a las cuentas de los delincuentes. Con esta intermediación se consigue evitar el reintegro o regreso del dinero a las cuentas de origen. Como define la citada Sentencia de la Audiencia Provincial del Madrid:

“Es en esta última fase del iter delicitvo donde se precisa de la colaboración de terceras personas (conocidas en el argot policial como muleros por analogía a lo que sucede en los delitos de tráfico de drogas) que, como en el caso presente, suelen ser captados mediante correos electrónicos también masivos e indiscriminados, en los que se les realiza una supuesta oferta laboral con la promesa de obtener una alta retribución económica, exigiéndoles a cambio la apertura de una cuenta bancaria, la recepción en ella de distintas transferencias de personas desconocidas y, finalmente, la remisión inmediata de dichas cantidades a terceras personas, también desconocidas, empleando para ello los sistemas de envío de dinero antes mencionados, previa detracción de una comisión porcentual de los ingresos.”

Además, los muleros utilizan mecanismos de transferencia de dinero internacional que utilizan códigos alfanuméricos que hacen muy difícil su localización. Las transferencias suelen ir destinadas a cuentas extranjeras originarias mayoritariamente de países de Europa del Este o de Russia. Es en este momento cuando se ha consumado la estafa por phishing y es necesario saber como actuar en estos casos.

3.- Responsabilidad criminal

La responsabilidad criminal de los delincuentes del delito de estafa por phishing debe distinguirse entre los autores y los muleros.

3.1.- Responsabilidad criminal de los autores

Los autores de los delitos de estafa por phishing deben someterse a la responsabilidad penal de la estafa en uso de manipulación informática (artículo 248.2.a del Código Penal). Se trata de un delito contra el patrimonio y el orden socioeconómico penado con privación de libertad entre seis meses a tres años (artículo 248.2.a del Código Penal). Los requisitos legales para la subsunción del delito de estafa mediante mecanismos electrónico y/o informáticos reside en los básicos de cualquier delito de estafa como son: a) la existencia previa de engaño o error inducido a la víctima; b) que el engaño se de suficiente entidad o grave; c) que se produzca una disposición o desplazamiento patrimonial en perjuicio de la víctima; d) relación de causalidad entre el engaño y la disposición patrimonial; y, e) ánimo de lucro.

Dado que muy probablemente se trate de un delito continuado de estafa cuando los afectados son más de una persona, cuando se ejecuten las acciones típicas delictivas durante un tiempo prolongado y cuando que el fraude total alcance más de 50.000.- euros o afecte a un elevado número de personas, entonces se le impondría al autor una pena privativa de libertad de uno a seis años en función de la gravedad de los hechos (artículo 250.1.5º del Código Penal). Si como ocurre en la mayoría de los casos, la actividad delictiva se desarrolla a través de una organización criminal (artículo 570.ter.1.b del Código Penal), la pena de los delincuentes podría ascender a un año y medio a ocho años de prisión (artículo 73 del Código Penal). Todo esto sin perjuicio de la responsabilidad civil derivada del delito a los afectados o las víctimas (artículo 109.1 del Código Penal).

3.2.- Responsabilidad criminal de los muleros

Existen dos clases de los denominados muleros que realizan las funciones. Los que pueden pertenecer a la organización criminal propiamente dicha y los que son ajenos al conocimiento de la actividad delictiva. Los muleros que forman parte de la organización criminal o no formando parte de ella conocen la actividad delictiva de los autores responden como autores del delito en el primer caso o como cooperadores necesarios en el segundo, con las penas que para los autores se contemplan. Respecto a los muleros como cooperadores necesarios, la Sentencia de la Audiencia Nacional, Sala de lo Penal, 7/2020, de 25 de marzo, dispone:

“Dicha calificación parte de la base de considerar que dichos intermediarios, no son autores directos sino cooperadores necesarios en el delito de estafa, al entender que realizan un aporte esencial o básico a la ejecución de un hecho ajeno (el iniciado por el “phisher”), cual es la aportación de una cuenta bancaria donde recibir las transferencias inconsentidas, y el envío del dinero al extranjero de forma inmediata, siguiendo las instrucciones que a dicho fin les imparten los autores. La determinación del carácter necesario de la colaboración como es sabido se realiza conforme a la teoría de los bienes escasos, según la cual el aporte es esencial cuando la participación en el hecho concreto tiene capacidad para frustrar el plan del autor en el caso de ser retirada. Asimismo, para calificar su conducta conforme a dicho tipo penal se exige acreditar que dicha contribución sea jurídicamente desaprobada, pues sólo lo socialmente inadecuado puede ser típico.”

Por otro lado, los muleros que desconocen la existencia de la actividad delictiva, la reciente doctrina judicial califica su conducta como delito de blanqueo de capitales en su modalidad imprudente con pena de prisión de seis meses a dos años (artículo 301.3 del Código Penal). Ello debido a que dada su posición debían poder conocer aplicando una diligencia media que el origen del dinero era ilícito (Sentencia de la Audiencia Provincial de Madrid 166/2020, de 2 de junio).

4.- Conclusiones

El Phishing bancario es una modalidad de estafa que consiste en el envío de un enlace, normalmente de una entidad bancaria, al correo electrónico o al teléfono móvil, de manera que cuando el receptor pincha sobre el mismo, cree estar en la página oficial por lo que, al poner las claves personales de acceso, las mismas son extraídas y utilizadas con posterioridad para realizar transferencias no consentidas (Sentencia Audiencia Nacional, Sala de lo Penal, nº 7/2020, de 25 de marzo).

La normativa bancaria sectorial obliga a las entidades de servicios de pago a disponer de mecanismos de seguridad adecuados para proteger a sus clientes. La doctrina judicial, además, exige una mayor diligencia a las entidades financieras en los servicios de pago prestados a través de internet o dispositivos a distancia. El incumplimiento de las obligaciones de seguridad conlleva la responsabilidad de las entidades financieras.

RECLAMACIÓN DENTIX

¡Reclame su dinero!

Haga como otros afectados y reclame el dinero abonado de más por el tratamiento que no ha recibido por la entidad DENTIX.

Saber más.

¿Soy afectado del cártel de fabricantes de coches

¡Reclame su dinero!

Súmase a otros afectados por el cártel de los fabricantes de automóvil y reclame la indemnización que le corresponde.

Saber más.