La responsabilidad penal del denominado mulero o phisher-mule en los fraudes de banca electrónica

AutorFátima Flores Mendoza
CargoProfesora Titular de Derecho Penal. Departamento de Disciplinas Jurídicas Básicas. Universidad de La Laguna
Páginas155-187

Este trabajo se ha realizado en el marco del proyecto de investigación DER2008-00954/JURI "Delincuencia económica. Nuevos instrumentos jurídicos y tecnológicos", concedido por el Ministerio de Educación y Ciencia.

Page 156

I Aproximación al objeto de estudio: el phishing de la banca electrónica

Entre los atentados al patrimonio mediante el uso de las nuevas tecnologías contamos con los ataques contra redes y sistemas informáticos (sabotaje), atentados contra los derechos de autor y similares, como la reproducción no consentida de creaciones intelectuales o industriales (piratería), y con las defraudaciones, que son numerosas y de diversos tipos1. Las más simples utilizan la red para el envío de correos masivos con los que engañar a sus víctimas ofreciéndoles premios, productos, trabajo, servicios, etc., previo desembolso de una cantidad económica, dando lugar a estafas comunes. También son frecuentes en las operaciones de subastas o comercio electrónico, tanto por parte del vendedor, que entrega un producto que no se corresponde con el ofertado, o que simplemente no envía tras haber recibido el pago anticipado, como del comprador, que no abona el producto. Otro de los supuestos consiste en la descarga no consentida de programas de conexión telefónica a redes con tarifación adicional de altísimo coste (dialer). Y en los últimos años nos enfrentamos a una nueva modalidad en la banca electrónica que utiliza ilícitamente las claves de acceso y firma electrónica de cuentas bancarias para realizar traspasos patrimoniales en perjuicio de terceros a través de la red.

Todos estos ataques se han visto favorecidos, entre otros factores, por el desconcierto inicial, la limitada experiencia y el escaso conocimiento de usuarios y administradores, junto a una débil percepción de riesgo de algunos usuarios, pero también por la falta de denuncia de muchos de

Page 157

estos atentados con el propósito de evitar la publicidad negativa y ocultar la vulnerabilidad del sistema2.

En este trabajo me ocuparé de los supuestos de fraude en la banca electrónica, a los que se ha denominado phishing. Sin embargo, a este término responde realmente tan sólo una de las modalidades de la prime-ra fase de la ejecución de estos fraudes.

La compleja ejecución de estas conductas se desarrolla en tres fases, realizadas por sujetos de diferentes nacionalidades, previamente concertados y organizados, que actúan en diferentes estados, lo que dificulta su persecución3. La primera fase tiene por objetivo la obtención ilícita de datos confidenciales para el control de las cuentas bancarias de las víctimas a través de la red y mediante diversas modalidades. Entre las más frecuentes se encuentra el phishing o pesca de datos. Esta modalidad consiste en el envío masivo e indiscriminado de correos electrónicos a usuarios de la red solicitando las claves y números secretos de cuentas bancarias, tarjetas, etc., aparentando proceder de bancos, cajas de ahorro u organismos oficiales, y alegando motivos de seguridad, mantenimiento, mejora del servicio, y últimamente, ofreciendo premios4 - 5. Una modalidad similar es la del pharming, basada en la redirección electrónica de la víctima a páginas falsas. Aquí se utiliza la red para acceder a un servidor

Page 158

DNS (Domain Name Server) o al archivo hosts del sistema informático de un tercero y cambiar las direcciones electrónicas o IPs de bancos, cajas de ahorro, etc., a los que accede habitualmente la víctima, lo que permite conducirla a páginas electrónicas falsas, creadas expresamente por los delincuentes (spoofing), en las que aquélla dejara constancia de sus claves de acceso y firma electrónica6. Otra de las técnicas últimamente detectada es la utilización de programas o códigos maliciosos (malware), introducidos a través de la red en el sistema informático de la víctima mediante programas de intercambio, mensajería instantánea, correos electrónicos, que modifican la configuración del sistema informático para captar la información personal ya mencionada de las operaciones bancarias en línea. Estos programas espía (spyware), que pueden permanecer ocultos durante mucho tiempo en el sistema, se activan cuando el usuario accede a las páginas de bancos u otras entidades, quedando registradas las claves de acceso que el usuario haya tecleado mediante programas de captura de teclas (keyloggers), fotografiando las pantallas de acceso virtual al banco o interceptando la comunicación entre el terminal del usuario y la página visitada (man in the middle) en el momento en el que acceden a la banca en línea7.

En la segunda fase se realizan traspasos patrimoniales en línea a otras cuentas bancarias situadas en el extranjero, previamente abiertas por otros miembros de la organización, mediante la utilización no consentida de dichas claves8. Y, finalmente, en la tercera, las cantidades patrimoniales transferidas de forma no consentida son retiradas rápidamente de la cuenta bancaria y enviadas por correo postal o empresas de envío de dinero a otros miembros de la organización, situados en países de la Europa del Este como Rusia, Ucrania, Estonia, Moldavia, República Checa, etc., y últimamente también en los países bálticos.

Esta forma de criminalidad surgió en Estados Unidos en el año 2003, causando un perjuicio económico que ascendió a 2.400 millones de dó-

Page 159

lares. Dos años más tarde, en el periodo de abril a diciembre de 2005, se detectaron 1500 variantes de phishing, 8 millones de correos electrónicos enviados diariamente y alrededor 7000 páginas electrónicas falsas, en las que "picaron" el 5% de los destinatarios de los correos9 - 10. Rápidamente se extendió por otros países.

Estas bandas constituyen verdaderas organizaciones criminales, formadas por un número considerable de personas, dotadas de una estructura jerarquizada y de reparto bien delimitado de tareas entre sus miembros, y cuentan con una elevada cualificación tecnológica11, lo que permite hablar de delincuencia organizada, cualificada tecnológicamente e internacional12. Siendo Internet el medio a través del cual se realiza esta nueva forma de criminalidad, el perjuicio patrimonial presenta un alcance global, internacional, puesto que los ataques son masivos y las numerosas víctimas se encuentran repartidas por todo el mundo. El carácter transnacional de estas conductas también responde a su propia ejecución, ya que las diferentes fases se realizan en estados diferentes para dificultar su descubrimiento y persecución13. Por otro lado, el hecho de que se lleven a cabo no de forma aislada, sino median-te de ataques masivos con un elevado perjuicio económico permite configurarlos a efectos penológicos como delitos masa.

Page 160

II La respuesta penal al phishing

La mera participación en estas organizaciones criminales supondría de entrada la comisión de los nuevos tipos del art. 570 bis CP, introducido por la LO 5/2010, de 22 de junio, por la que se modifica el Código Penal14. Y ello con independencia de que la organización se haya constituido, esté asentada o desarrolle su actividad en el extranjero, siempre que lleve a cabo cualquier acto penalmente relevante en nuestro país (art. 570 quater 3 CP).

Asimismo habría que añadir la responsabilidad penal por los atentados contra el patrimonio, la intimidad, y en su caso la fe pública. En efecto, en la primera fase las modalidades de programas espía (spyware) y de redirección (pharming) podrían suponer un delito contra la intimidad del art. 197 del Código Penal, y las últimas (pharming) más las de pesca de datos (phishing) podrían representar un atentado contra la fe pública por falsificación documental, siempre que éstos respondan al concepto de documento del art. 26 del Código Penal15.

La segunda fase, consistente en la realización de transferencias bancarias en línea en perjuicio de terceros mediante la utilización no consentida de claves personales de acceso y firma electrónicas, puede castigarse adecuadamente a través de la estafa informática prevista en el art. 248.2 a) CP, dado que la utilización no consentida de estos datos constituye la manipulación informática o, al menos, el artificio semejante a aquélla, exigidos en el tipo de lo injusto16. Y puesto que el Código Penal no ha definido tales términos y que nos enfrentamos a una nueva forma de criminalidad en expansión, se ha de partir de un concepto más amplio del que hasta ahora ha venido defendiendo la doctrina y jurisprudencia17.

Por manipulación informática o artificio semejante se debe entender toda maquinación o maniobra, truco o ardid sobre un sistema informático o mecánico que permita un traspaso patrimonial no consentido. Tales

Page 161

conceptos se encuentran apoyados tanto en la interpretación gramatical como teleológica del precepto, además de corresponderse con las definiciones contenidas en los tratados internacionales sobre la materia18.

Por otro lado, ésta es asimismo la posición que mantienen actualmente el Tribunal Supremo y el resto de tribunales inferiores en las escasas sentencias que hay sobre la cuestión19, y que defiende un sector de nuestra doctrina20. Y además se corresponde con el tratamiento jurídico penal que está recibiendo en otros países de nuestro entorno como Alemania21.

Finalmente, se presenta como la única y más adecuada solución para el tratamiento de estos supuestos, dado que el resto de modalidades de defraudación no son de aplicación.

La estafa común tan sólo sería teóricamente apreciable en los casos de phishing, siempre que partiésemos de una unidad de acción entre las

Page 162

dos primeras fases de estas conductas. Sólo en esta modalidad contaríamos con el engaño psicológico propio...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR