Phishing

¿Qué es el phishing?

Abogado Phishing

El phishing es un tipo de estafa a través de medios informáticos que persigue la obtención de información personal de las víctimas, como números de tarjetas de crédito, claves de acceso, firma de cuentas bancarias o información contable, etc. para ser usados posteriormente de forma fraudulenta.

En el siguiente artículo explicaremos los tipos de phishing más habituales y la responsabilidad penal de los autores y cooperadores necesarios.

abogado phishing. Esteban Abogados Penalistas
Índice de Contenidos

Tipos de phishing

En nuestro despacho de Abogados Especialistas en Phishing, encontrará la seriedad y el profesionalismo que su caso necesita

Las técnicas de phishing que se utilizan actualmente son muy variadas y cada vez más sofisticadas, aunque el tipo de phishing al que más nos hemos enfrentado los abogados penales es el phishing bancario.

El phishing bancario

El phishing bancario es la modalidad de phishing más común y consiste en que los delincuentes mandan un correo electrónico o un SMS al móvil de la víctima en los que se imita el lenguaje, formato e imagen de la entidad bancaria o financiera, urgiendo a la víctima a conectarse a la página web (que ha sido previamente clonada) por diferentes motivos entre los que se encuentran: cambios en la política de seguridad; problemas técnicos; participación en concursos, premios o regalos etc. La víctima, creyendo estar en la página web oficial, introduce sus claves personales de acceso. En ese momento, los delincuentes se apoderan de las mismas y las utilizan posteriormente para realizar transferencias a otras cuentas.

Con el avance de internet y de la programación, se han ido sofisticando las técnicas de engaño consiguiendo que las víctimas descarguen en sus ordenadores programas diseñados para monitorizar el teclado o el ratón (keyloggers) o las pantallas (screenlogers). Este tipo de malware graba en un fichero las pulsaciones de teclas en el teclado o en el ratón, o los movimientos de la pantalla, para acto seguido remitirlas a un tercero. O spyware, programas espías que se autoinstan en un ordenador y se ejecutan cada vez que se enciende. El spyware graba todos los movimientos que el usuario hace en internet y los envía a un tercero.

Evil twins (malvado gemelo)

En esta técnica de phishing, el estafador crea una red inalámbrica falsa, similar a las que se pueden encontrar en hoteles, cafeterías o aeropuertos. En el momento en el que alguien inicia sesión en esta red, los delincuentes intentan capturar sus contraseñas y/o información de tarjetas de crédito.

Spear phising (phising con arpón)

Esta es una técnica más elaborada en la que los estafadores realizan un estudio previo de las víctimas, buscando determinados perfiles a los que se les envían emails con muchos datos personales con el objetivo de que la víctima no desconfíe e introduzca la información solicitada.

Uno de los tipo de spear-phishing más conocidos es el denominado fraude del CEO en el que se manda a un trabajador, generalmente del departamento de administración, un correo electrónico suplantando a uno de los directivos de la empresa en el que se solicita, con urgencia y discreción, una transferencia bancaria para realizar una supuesta transacción confidencial.

Distributed dos –DdoS– (denegación de servicios distribuida)

En un ataque DDoS, o ataque de denegación de servicios distribuida, los hackers, valiéndose de equipos informáticos que previamente han infectado y están bajo su control, mandan peticiones de conexión de forma compulsiva a los servidores de su objetivo haciendo que suba exponencialmente el tráfico de red. El servidor del objetivo se desborda y se queda inoperativo, lo que se conoce comúnmente como «caída del servidor». Los hackers extorsionan a la víctima con el pago de una cantidad económica para cesar el ataque.

Business services phishing

En este tipo de phishing el objetivo son los empleados de entidades bancarias que utilizan servicios como Google AdWords o Yahoo.

Whaling

En la técnica de whaling, el delincuente se centra en un pequeño grupo de personas de alto nivel de una organización concreta e intenta robar sus credenciales.

¿Cómo se mueve el dinero conseguido a través del phishing?

La jurisprudencia española considera que el delito de phishing consta de dos fases:

  1. La obtención de forma engañosa de las claves y la transferencia de fondos no consentida por el titular de la cuenta, con las técnicas arriba analizadas o similares.

  2. La recepción de los fondos obtenidos de forma fraudulenta en una cuenta nacional abierta con una identidad falsa, una cuenta en el extranjero, o una cuenta ‘mula’ y la posterior retirada de los mismos.

Gracias a esta segunda fase, las organizaciones criminales consiguen mover el dinero sin ser descubiertos. En la mayoría de las ocasiones, reclutan intermediarios, los denominados «muleros bancarios», quienes aceptan dinero de procedencia desconocida en su cuenta para después transferirlo a otra persona en el extranjero, o enviarlo en forma de dinero efectivo por algún medio postal, como Western Union o MoneyGram, cobrando una suma de dinero a cambio (entre el 8 y el 10%), por cada operación.

Otra modalidad de mulero bancario es el reenviador, el cual envía paquetes de bienes comprados por internet por medio de las cuentas corrientes hackeadas.

El phishing en el Código Penal

En un delito de phishing surgen dos tipos de responsabilidad:

  1. La responsabilidad penal de los autores del delito de estafa informática y del mulero bancario.

  2. La responsabilidad civil de la entidad bancaria si no adoptó las suficientes medidas tecnológicas para garantizar la integridad y confidencialidad de los datos de su cliente.

Responsabilidad penal del autor del delito de estafa informática

El delito de phishing no está tipificado como tal en el Código Penal, pero su conducta se recoge en el delito de estafa del artículo 249 y se castiga con pena de prisión de 6 meses hasta 3 años. Además, los autores del delito de estafa deberán responder solidariamente del perjuicio total causado, de acuerdo con lo dispuesto en el artículo 116.1 y 2 del Código Penal.

Responsabilidad penal del mulero bancario

Mientras que el verdadero artífice de la estafa se suele quedar en el anonimato, el mulero bancario suele ser detenido y juzgado al ser la cabeza visible del fraude. El conocimiento o desconocimiento de los hechos delictivos que han tenido lugar para conseguir el dinero, determinará la calificación jurídica del delito por el que será acusado.

1) En el caso de que el mulero supiera y quisiera colaborar en el delito (dolo directo) se le acusaría de coautor o cooperador necesario en un delito de estafa y se le podría imponer la misma pena que al autor de la estafa informática, es decir, pena de prisión de 6 meses a 3 años y responder solidariamente del perjuicio total causado.

2) En el caso de que el mulero no participara en el delito inicial, pero se imaginara que está colaborando en un delito de estafa y se mantuviera en la posición de no querer saber el origen del dinero que recibe (ignorancia deliberada), se le acusaría de un delito de blanqueo de capitales en modalidad dolosa, castigado con una pena de 6 meses a 2 años de prisión.

3) En el caso de que el mulero se imaginara que colabora en un delito de estafa, pero no observa la diligencia o deber de cuidado que es exigible a una persona media (imprudencia) se le acusaría de un delito de blanqueo de capitales en modalidad imprudente, tipificado en el artículo 301.3 del código penal y castigado con pena de prisión de seis meses a dos años y multa del tanto al triplo.

Responsabilidad civil de la entidad bancaria en un ataque de phishing

Los ataques de phishing generan en ocasiones litigios entre la víctima y la entidad bancaria, ya que la primera considera que el banco debe devolverle el dinero estafado al ser responsable de la seguridad, mientras que el banco se suele negar argumentando que la víctima no ha sido suficientemente cuidadosa al dar sus claves y datos personales a los estafadores.

En estos casos, los juzgados examinan las circunstancias concretas del caso y las pruebas existentes para determinar si hubo o no negligencia de la víctima en su obligación de custodia de sus credenciales, o bien, si el banco no adoptó las suficientes medidas tecnológicas para garantizar la integridad y confidencialidad de los datos.

Si se demuestra que la víctima de phishing actuó con negligencia grave, lo que no suele ocurrir dado la creciente sofisticación de los medios utilizados por los estafadores, el banco estaría exento de devolver los fondos estafados, en caso contrario, el banco sería condenado a abonar a su cliente la cantidad estafada más los intereses legales.

¿Necesita un abogado penalista en Barcelona? En nuestro despacho, nos especializamos en el derecho penal y hemos logrado numerosos casos de éxito. Si está enfrentando cargos penales, llámenos ahora para hablar sobre cómo podemos ayudarle.

Jurisprudencia

Falsificación de tarjetas de crédito del artículo 399 del código penal

Sentencia SAP B-10 848/19

«La sentencia del TS de 12/06/2007 que cita la Juzgadora se refiere a un al estafa informática del art. 248.2 del CP, en la modalidad de fishing que se describía como aquella acción que consistía en que por personas desconocidas, que eran los autores de la estafa informática, puesto que eran los mediante una ardid informático se apropiaban de las claves de acceso a cuentas bancarias del perjudicado. Cuando los desconocidos, y en todo caso autores de la estafa obtenían dichas cantidades, entonces contactaban con un tercero, que no tenía ninguna intervención en este hecho, y le enviaban una oferta de tele trabajo a una cuenta de correo electrónico, diciéndole que podía obtener una comisión, si abría una cuenta corriente, a la que le iban a llegar unas cantidades. Una vez le llegaba el dinero tenía que enviar dicha cantidad terceros desconocidos. Esta última parte de la secuencia, es decir la responsabilidad de la persona que abría la cuenta corriente y recibía la transferencia para enviarla a terceros es la que fue objeto de amplios debates jurisprudenciales. Se debatía la responsabilidad penal del denominado colaborador. La STS 12 de junio de 2007 consideraba que la responsabilidad del colaborador era de autor del delito de estafa informática. La conducta de las personas desconocidas, consistente en realizar una transferencia bancaria a la cuenta del intermediario, colaborador o mulero, encaja en la denominada estafa informática, si bien cosa distinta es la calificación jurídica que haya de darse a la conducta de recibir una cantidad de dinero en una cuenta bancaria, sin saber cuál es el origen de la misma, y sacarla para enviarla a otras personas, quedándose un tanto por ciento de esa cantidad como retribución. La sentencia TS 506/2015 de 27 de julio explica los tipos claramente citando otras sentencias anteriores así la STS 834/2012, de 25 de octubre , esta doble secuencia forma parte de una estrategia delictiva única. Se trata de obtener dinero mediante el fraudulento acceso a las claves bancarias de confiados usuarios de Internet y, a partir de ahí, buscar una fórmula que permita colocar esos remanentes dinerarios en un país seguro, a nombre de personas de difícil identificación por los agentes de policía del Estado en cuyo territorio se efectúa el acceso inconsentido a las cuentas de la víctima y las transferencias a terceros países. Es una actuación fraudulenta que tiene como destinatarios a usuarios de la banca informática cuyas claves personales se obtienen engañosamente, técnica denominada » phishing», porque parte de una acción de pesca de las claves que permiten el libre acceso a las cuentas del perjudicado.»

Los cooperadores necesarios en el delito de phising

“Como recordaba nuestra Sentencia de 23-12-13 : En el “phising” hay que separar dos fases, por un lado, la obtención de forma engañosa de claves de Internet y la realización de la transferencia no consentida por el titular de la cuenta ordenante y la segunda, que consiste en el ofrecimiento de una cuenta “mula” a la que se transfieren las cantidades fraudulentamente obtenidas y posterior retirada de las mismas. La conducta del acusado en esta segunda etapa es absolutamente necesaria puesto que sin la intervención de la cuenta destinataria no se perfeccionaría la estafa. Como indica la acusación particular de nada le sirve a las bandas organizadas obtener las claves de los usuarios de banca electrónica, sin que alguien se preste en España a ofrecer su cuenta y ayudar a sacar el dinero del país, por lo que es lógico que los primeros en lugar de utilizar una cuenta que serviría para identificarles lo hagan a través de una persona que a cambio de un precio asuma el riesgo facilitando la cuenta bancaria y preste la ayuda para sacar ese dinero del País. En un caso similar al presente el Tribunal Supremo, en su sentencia de 12-6-07 declaró: “Se está ante un caso de delincuencia económica de tipo informático de naturaleza internacional en el que los recurrentes ocupan un nivel inferior y sólo tienen un conocimiento necesario para prestar su colaboración, la ignorancia del resto del operativo no borra ni disminuye su culpabilidad porque fueron conscientes de la antijuridicidad de su conducta, prestando su conformidad con un evidente ánimo de enriquecimiento, ya supieran, no quisieran saber -ignorancia deliberada-, o les fuera indiferente el origen del dinero que en cantidad tan relevante recibieron.

Lo relevante es que se beneficiaron con todo, o, más probablemente, en parte como “pago” de sus servicios, es obvio que prestaron su colaboración eficiente y causalmente relevante en una actividad antijurídica con pleno conocimiento y cobrando por ello no pueden ignorar indefensión alguna, por su parte la “explicación” que dieron de que no pensaban que efectuaban algo ilícito es de un angelismo que se desmorona por sí sólo. En la sociedad actual el acervo de conocimientos de cualquier persona de nivel cultural medio conoce y sabe de la ilicitud de una colaboración que se le pueda pedir del tipo de la que se observa en esta causa, y al respecto, hay que recordar que los recurrentes vivían en Madrid y no consta en los autos nada que pudiera ser sugestivo de un desconocimiento de la ilicitud de la colaboración que se le pedía, máxime cuando no se trataba de una colaboración gratuita sino que llevaba aneja un claro enriquecimiento personal. No hay por tanto ninguna posibilidad de derivar a ningún supuesto de error la acción de los recurrentes”. En parecido sentido la SAP Madrid, Sección 6, 503-13 dice que en cuanto a la concurrencia del dolo debe señalarse que acertadamente la Juez a quo sostiene que el acusado tenía perfecto conocimiento de la ilicitud de su conducta y que de manera voluntaria prestó su colaboración, pues no se trata de una persona con un nivel cultural bajo, sino que es una persona que utiliza de manera frecuente Internet y correos electrónicos, por lo que es un persona conocedora de la red y de un nivel cultural medio o elevado.

Y una persona con estas características tiene que saber, o por lo menos sospechar necesariamente, de la ilicitud de la operación que estaba realizando, pues recibía una importante comisión por un simple traspaso de dinero que recibía en su cuenta corriente y que transfería a otra cuenta en un país extranjero. No resulta lógico ni razonable que se perciba una elevada cantidad de dinero por realizar una simple transferencia bancaria. Considera el Tribunal Supremo que en estos casos se está ante un caso de ciberdelincuencia económica de tipo informático, en el que las personas, que como el acusado, se prestan a poner a disposición de personas desconocidas sus cuentas bancarias, ocupan un nivel inferior y sólo tienen un conocimiento necesario para prestar su colaboración, sin que la ignorancia del resto del operativo borre o disminuya su culpabilidad en el delito de estafa cometido.”

Esteban Abogados Penalistas es un despacho dedicado exclusivamente al derecho penal. Nuestro equipo de abogados penales tienen una amplia experiencia en casos de fraudes y estafas. Defendemos a nuestros clientes en todo el territorio nacional. Llámenos hoy para hablar sobre su caso.