Los actos preparatorios del «phishing»
Dentro de los actos de preparación está el «spoofing», que es el robo o suplantación de la personalidad de una persona física o, más usualmente, jurídica, con intención maliciosa. Suele ser el primer paso de la dinámica comisiva en unión con el «spam», que es el correo que se envía a la potencial víctima, y donde el cibercriminal suele suplantar la personalidad de, en este caso, la empresa, entidad bancaria o ente público por el que se hace pasar el sujeto activo, con la intención de que el sujeto pasivo entregue directamente las claves, o entre en una página web ficticia en la que, bien el sujeto es infectado de un «malware», o bien es obligado por la falsa entidad bancaria a revelar sus datos.
Tal suplantación de personalidad es, sin duda, un hecho ilícito que, sin embargo, tiene difícil acomodo en los tipos penales existentes, pues no parece posible sancionar la conducta como delito de usurpación del estado civil. La práctica judicial suele rechazar esta posibilidad, al entenderse implícitamente que tal usurpación exige cierta continuidad en la suplantación de personalidad.
Un supuesto distinto es si se usurpa la personalidad de una institución pública, como puede ser la Agencia Tributaria, en el conocido «spam» en el que se insta a un sujeto a poner determinados datos, generalmente de información bancaria, en una web falsa que aparenta ser de Hacienda, pues aquí podría haber un delito de usurpación de funciones públicas si el sujeto, además de atribuirse carácter oficial, ejerce actos propios de una autoridad o funcionario público, lo que no será habitual.
Por otra parte, tampoco es posible la condena por medio del art. 274 CP por la utilización de marcas y signos distintivos de entidades bancarias, pues el tipo exige actuar con fines industriales o comerciales, que en este tipo de conductas no están presentes, y también que se actúe para distinguir los mismos o similares servicios, y aquí no se está prestando ningún servicio realmente, por lo que la aplicación del tipo no cabría aun cuando se use la marca de un banco o caja, etc.
En cambio sí es claramente sancionable el comportamiento que se lleva a cabo en determinadas conductas de «phishing» y «pharming» cuando el hacker aprovecha alguna «backdoor» con la que se ha infectado previamente el sistema para entrar en él y tratar de adquirir la información privada. Este comportamiento es un delito de acceso informático ilícito del art. 197 bis CP.
No obstante, la mejor opción de incriminación de los comportamientos preparatorios de algunas de las modalidades de «phishing» parece el delito del art. 248.2 b) CP, que sanciona la fabricación, introducción, posesión o facilitación de programas de ordenador destinados a la comisión de estafas.
Calificación jurídica del «phishing»
Existe el «phishing» tradicional, en el que se utiliza la imagen corporativa de una entidad bancaria o de una institución, para solicitar a la víctima por medio de correo electrónico que envíe a una dirección de correo que simula ser de tal entidad, los datos bancarios requeridos.
Esta forma de «phishing» ha comenzado a ser sustituida por otras más elaboradas en las que el sujeto ni siquiera sabe que está enviando las claves, que son aquéllas en las que el correo electrónico enviado lleva un archivo que utiliza, o bien «spyware», del estilo de los programas «keylogger» o «sniffer», para localizar los datos bancarios, o bien «malware» para lograr un acceso ilícito y descubrir los datos queridos;
Otra modalidad es cuando el sujeto piensa que está tecleando las claves en su entidad bancaria, que son aquellas otras en las que el correo electrónico de la supuesta entidad bancaria incluye un enlace que redirige al sujeto, aparentemente, a una página web de la entidad que, en realidad, no es tal y que permite al atacante conocer los datos bancarios de su víctima.
La doctrina ha tratado de encuadrar estas modalidades de «phishing», bien en la estafa común o bien en la estafa informática.
Respecto a la estafa común, la dinámica de este delito no concuerda con el «phishing» pues, para que se dé tal tipo penal, es necesario que sea el sujeto engañado el que realice el acto de disposición patrimonial en perjuicio propio o de tercero. En el «phishing» es el defraudador el que transfiere el dinero ajeno en su propio favor o el de un tercero, y no el engañado el que lo hace.
Sí cabe el «phishing» en el tipo penal de la estafa informática del art. 248.2 a) CP, aunque parte de la doctrina duda de que pueda afirmarse que en todos los casos de «phishing» exista una manipulación informática. Esto es consecuencia, generalmente, de la idea de que la manipulación informática debe entenderse en un sentido equiparable al engaño en la estafa.
Los llamados «muleros» del «phishing»: Penalidad
Los muleros o cibermuleros son un elemento esencial del entramado defraudatorio del «phishing», que empieza con los que definen el plan de ataque, los que redactan el «spam», quienes envían los correos de «phishing», quienes diseñan las webs falsas, los que se ocupan de lograr la transferencia patrimonial y, finalmente, los cibermuleros, que reciben en sus cuentas el dinero y se encargan de transmitirlo por canales seguros a los jefes de la organización.
Es importante destacar que no actúa propiamente como un mulero el sujeto que realiza las transferencias por medio de internet, puesto que la forma de lograr el éxito del delito exige realizar la transferencia personalmente, sacando el dinero de la cuenta bancaria y enviándolo por algunos de los sistemas de transmisión económica no electrónicos.
Resulta difícil situar su conducta en el ámbito de injusto de la estafa común, dado que el mulero no realiza engaño alguno, o en el de la estafa informática, pues no parece haber por su parte, siguiendo una interpretación estricta de tal elemento, ninguna manipulación informática.
El mulero en muchos casos desconoce gran parte de la dinámica comisiva del hecho conjunto del que forma parte, si bien conoce el origen ilícito del dinero que recibe e, incluso, se le puede atribuir, en algunos casos, un mayor conocimiento.
Por tanto, la conducta del cibermulero no puede encuadrarse dentro del blanqueo de capitales, esencialmente porque el mulero no actúa «para ocultar o encubrir el origen ilícito del dinero», ni «para ayudar a la persona que haya participado en la infracción a eludir las consecuencias legales de sus actos», sino para favorecer la comisión del delito que, sin su intervención, no puede llevarse a cabo.
No obstante lo anterior, la estafa informática es la calificación más usual de este comportamiento por los tribunales españoles, si bien el problema es entonces la determinación de la intervención delictiva. El Tribunal Supremo ha entendido que los cibermuleros del «phishing» pueden ser considerados cooperadores necesarios (dolosos) de una estafa informática. Resulta imprescindible, en todo caso, desarrollar los argumentos utilizados para la posible atribución de responsabilidad en aras a que la fundamentación sirva para cualquier caso encuadrable en la tipología de conductas de los cibermuleros del «phishing».
En las conductas de los cibermuleros, el sujeto se integra, se suma, a un proyecto delictivo, a un injusto que era de otro y que con sus actos, pasa a serle también propio. El mulero, que recibe importantes ingresos y los transfiere por los medios que le han ordenado, realiza un comportamiento cuyo único sentido social es, a todas luces, hacer posible a otros sujetos, determinados o indeterminados, la consumación final del delito.
La intervención del mulero es casi insustituible como forma de lograr el perjuicio patrimonial por medio de la estafa informática, puesto que si bien con la transferencia patrimonial ya se entiende producido el perjuicio, no ocurre lo mismo con el éxito del ataque para el cibercriminal que lo protagoniza y que le obliga a contar con muleros sin los cuales no obtiene las ganancias y, por tanto, no llevaría a cabo el ataque.
El conocimiento necesario va a ser el elemento probatorio determinante para la posible atribución de responsabilidad al cibermulero. Para afirmar este conocimiento, se apoya el Supremo en la tesis de la ignorancia deliberada, al afirmar que supieran, no quisieran saber, o les fuera indiferente el origen del dinero que recibían, tienen «un conocimiento necesario para prestar su colaboración, y la ignorancia del resto del operativo no borra ni disminuye su culpabilidad, porque fueron conscientes de la antijuridicidad de su conducta». En realidad, más que ignorancia deliberada, las conductas de los muleros del «phishing» que resultan punibles son aquéllas en las que se actúa sin conocimiento del concreto hecho en el que se participa, pero con un conocimiento suficiente para la responsabilidad por la participación necesaria en el injusto de otro.
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.