Aún en épocas como las que estamos viviendo, la criminalidad organizada no descansa y utiliza nuestras debilidades para lograr sus fines: infectar equipos informáticos y smartphones, suplantaciones de identidad e incluso estafas.
El equipo del Centro Criptológico Nacional, CCN-CERT, alerta de la apariencia de un repunte importante de las campañas de malware las cuales emplean temáticas relacionadas con el COVID-19 para infectar organizaciones de todo el mundo con un nivel de peligrosidad “muy alto”.
Así, en palabras literales explican: “En estos momentos, existen registrados más de 24.000 dominios en Internet que contienen los términos: “coronavirus”, “corona-virus”, “covid19” y “covid-19”. De ellos, más de la mitad, 16.000, han sido creados en este mes de marzo (10.000 en la última semana). Algunos de ellos tienen fines legítimos y otros están dedicados a realizar campañas de spam, spear-phishing o como servidores de mando y control, C2”.
Sólo a modo de ejemplo, se han detectado casos de phising tan llamativos como el de ofrecer subscripciones gratuitas durante 5 años a plataformas de música digital, suplantaciones a instituciones como UNICEF o la propia Organización Mundial de la Salud, todas ellas solicitando nuestros datos personales con motivo de alguna campaña relacionada con el Coronavirus.
De la misma manera, también se han detectado casos de intentos de estafa a farmacias y empresas relacionadas con el sector que ofrecen grandes cantidades de mascarillas y productos similares muy demandados a consecuencia de esta crisis sanitaria.
Contenido de la página
Pero, ¿sabemos que es el phising?
Se conoce como ‘phishing’ (del inglés fishing, pescar) a la suplantación de identidad (en Internet, pero también por otras vías) que persigue apropiarse de datos confidenciales de los usuarios para, en base a ellos, conseguir menoscabar patrimonios ajenos.
El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se efectúa habitualmente a través de mensajes de correo electrónico o de ventanas emergentes.
Se trata de un delito que se encuadra en el marco de las estafas y que, a su vez, se traduce en una táctica telemática mediante la cual el usuario es conducido a una página web con apariencia que es la de su entidad financiera y se caracteriza por adquirir información confidencial de forma fraudulenta.
Así, la averiguación de la titularidad del correo electrónico del remitente o de la página web fraudulenta no siempre es posible, lo cual dificulta en gran medida el descubrimiento de la identidad del phisher.
A propósito de la explicación del phising, también es necesario explicar el “corona smishing” el cual tiene lugar por medio de SMS que está siendo uno de los fraudes más comunes.
El ejemplo más reiterativo de este tipo de conductas es la recepción de un mensaje haciendo creer a la víctima, por ejemplo, que quien lo envía es el Ministerio de Trabajo en concreto, como si fuese el Servicio Público de Empleo Estatal quien está contactando para solicitar una serie de datos personales, que aparentemente serán necesarios para tramitar una solicitud de ERTE (es necesario recordar que los trabajadores no tienen que hacer ninguna gestión al respecto de sus ERTES ya que son sus propias empresas quien gestionarán todas las actuaciones necesarias tendentes a aportar toda la documentación al respecto).
¿CÓMO SE REGULA EN EL CÓDIGO PENAL ESPAÑOL?
El art. 248 del Código Penal en su regulación actual tras la reforma introducida por la LO 5/2010, de 22 de junio, dispone lo siguiente:
«1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.»
Entonces, ¿cuáles son los elementos del tipo del phising para que sea tipificado como una conducta antijurídica?
1.- ENGAÑO: Se trata de la manipulación informática o un artificio fraudulento semejante, que son los que dan lugar al desplazamiento patrimonial que no ha consentido su titular. No es requisito imprescindible la concurrencia del engaño personal por parte del estafador porque el hecho de realizar una manipulación informática actúa como automatismo en perjuicio de un tercero precisamente dada la existencia de tal manipulación.
2.- ERROR: al igual que ocurre con el engaño, tampoco se exige el error porque el desplazamiento patrimonial se produce en realidad por manipulación informática. Ello quiere decir que la acción no se dirige contra un sujeto que pueda ser inducido a error sino que directamente al programa informático que actúa en ausencia de tal elemento.
3.- ÁNIMO DE LUCRO.
4.- DOLO.
5.- MANIPULACIÓN INFORMÁTICA: ya que es la modalidad comisiva mediante la que se hace que la máquina actúe.
6.- ACTO DE DISPOSICIÓN ECONÓMICA: siempre en perjuicio de un tercero que se concreta en una TRANSFERENCIA no consentida.
Además, en esta explicación es necesario traer a colación la figura que se crea ex novo en este tipo de delitos: los “muleros” del phising.
Los muleros o cibermuleros son un elemento esencial del entramado defraudatorio del «phishing», que empieza con los que definen el plan de ataque, los que redactan el «spam», quienes envían los correos de «phishing», quienes diseñan las webs falsas, los que se ocupan de lograr la transferencia patrimonial y, finalmente, los cibermuleros, que reciben en sus cuentas el dinero y se encargan de transmitirlo por canales seguros a los jefes de la organización.
El mulero en muchos casos desconoce gran parte de la dinámica comisiva del hecho conjunto del que forma parte, si bien conoce el origen ilícito del dinero que recibe e, incluso, se le puede atribuir, en algunos casos, un mayor conocimiento.
Por tanto, la conducta del cibermulero no puede encuadrarse dentro del blanqueo de capitales, esencialmente porque el mulero no actúa «para ocultar o encubrir el origen ilícito del dinero», ni «para ayudar a la persona que haya participado en la infracción a eludir las consecuencias legales de sus actos», sino para favorecer la comisión del delito que, sin su intervención, no puede llevarse a cabo: El Tribunal Supremo ha entendido que los cibermuleros del «phishing» pueden ser considerados cooperadores necesarios (dolosos) de una estafa informática.
Por lo tanto, diferenciamos tres posibles sujetos en este entramado:
- Phiser: persona que afectúa el ingreso del dinero de las víctimas.
- Mulero: persona que abre o “presta” su cuenta corriente para que el phiser haga el ingreso del dinero de las víctimas, normalmente mediante un reparto del botín, bien por una cantidad a tanto alzado o mediante una cuota o porcentaje. No es impune y se calificará, en función de los casos, o como un delito de estafa informática del art. 248.2 del CP o, como un delito de blanqueo de capitales del art. 301 del CP, atendiendo a las circunstancias concurrentes, singularmente al origen del dinero.
- Víctima: persona que efectúa la disposición de dinero o transferencia bancaria de forma inocente.
¿Qué sucede con la transferencia “no consentida” de la víctima?
Como es de entender, en muchos casos la víctima “coopera” involuntariamente al delito de estafa de forma inocente los datos que proporcionan con posterioridad las extracciones fraudulentas.
A este respecto explica el Tribunal Supremo en la Sentencia 845/2014 de 2 de diciembre que la jurisprudencia ha aceptado excepcionalmente en algunos casos la atipicidad de la conducta cuando el engaño es tan burdo, tan fácilmente perceptible, que hubiera podido ser evitado por cualquier sujeto pasivo con una mínima reacción defensiva, o, al menos, por un sujeto pasivo cualificado obligado a ciertas cautelas.
Ahora bien, el Tribunal Supremo rechaza que pueda culpabilizarse a la víctima ni oponerse un deber de autoprotección frente a un ataque fraudulento como el que representa la dinámica delictiva de este delito.
Es por este motivo por el cual, en la mayoría de los casos la entidad bancaria ha restaurado la integridad de los fondos depositados por el titular de la cuenta, teniendo en cuenta que el art. 31 de la Ley 16/2009 de 13 noviembre, de Servicios de Pago, dispone que en los casos de operaciones de pago no autorizadas por el titular de la cuenta la obligación del Banco es «devolver de inmediato el importe de la operación no autorizada y, en su caso, restablecer en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada».
¿Qué penas contempla para la estafa el Codigo Penal?
La estafa acarrea unas penas para aquellos que son declarados culpables de entre seis meses y tres años de cárcel si el importe supera los 400 euros (en caso contrario, el delito leve de estafa se castiga con multa de uno a tres meses con una cuota diaria que oscila entre los dos y los cuatrocientos euros diarios).
Sin embargo, este es un supuesto general ya que, en función de la cantidad que haya sido estafada, la pena de prisión puede verse aumentada o agravada. Por ejemplo, en el artículo 250 del Codigo Penal se establece que si el delito ha supuesto más de 50 000 € o 250 000 €, según la tipología, el rango de penas oscilará entre los doce meses y los seis años de cárcel.
Creación:
Fátima Amboage Santos: ver más.