LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 18:23:17

LegalToday

Por y para profesionales del Derecho

La responsabilidad penal de las “mulas” en el delito de phishing

Un ratón cogido por un anzuelo

Debemos aclarar, en primer lugar, la nomenclatura que se va a utilizar:

Phishing: Es una de las actividades delictivas más utilizadas por los ciberdelincuentes, consistente en obtener información confidencial, de forma fraudulenta, de sus víctimas (persona jurídica o individual). Esta información siempre estará relacionada con su "identidad online" y con las credenciales de acceso de los distintos servicios que la víctima utilice en la red, como claves de acceso a banca online, logins y passwords de usuarios de mensajerías instantáneas, de acceso a sus perfiles en redes sociales o contraseñas de los correos electrónicos del atacado. Por norma general el procedimiento utilizado para la obtención de estas credenciales es mediante la emulación de páginas web lícitas (bancarias, redes sociales, portales de acceso a correos webmail, etc.), o mediante spam, recurso con el que el  infractor simula ser otra persona o empresa para conseguir la información incluso empleando técnicas de ingeniería social. Todo este procedimiento finaliza con la captura de las credenciales online de la víctima, en la mayoría de los casos, aunque no exclusivamente, para obtener un traspaso patrimonial no deseado por parte de la víctima, habiéndose documentado casos de usurpación de estado civil.

Pharming: Técnica específica consistente en redirigir el nombre de dominio de una entidad de confianza (el banco, una compañía aérea, Ebay, Amazon, etc.) a una web idéntica o emulada, creada por el estafador o phisher al efecto de sustraerle los datos sensibles.

Phisher (a los efectos del phising): Persona que normalmente posee elevados conocimientos informáticos mediante los que consigue que su identidad en la red no pueda ser rastreada, y que, en ocasiones, puede llegar a comprometer servidores informáticos ajenos con el fin de ser utilizados en el phishing (envíos de spam, ordenadores "zombi" para evitar que sean rastreadas las verdaderas conexiones, etc.). Esta persona también es la encargada de emular la página web de una entidad, correo electrónico o servicio de Internet específico para engañar a la víctima, y con el fin de que, por medio del engaño,  introduzca sus datos sensibles y privados de acceso. Una vez conseguidas las credenciales, el phisher las vende las mismas en el "mercado negro del cibercrimen", o los utiliza directamente con fines fraudulentos para su propio beneficio o interés, recayendo entonces en esta persona también la figura de estafador.

Mula: Adaptación/traducción del término anglosajón money mule, y se puede definir como ‘una persona que transfiere dinero o mercancías que han sido obtenidas de forma ilegal en un país (generalmente a través de Internet), a otro país, donde suele residir el autor del fraude o estafa. La mula, normalmente nacional y que mediante el engaño de un contrato previo transfiere el dinero o activo financiero al estafador, se queda con un pequeño porcentaje del dinero transferido como pago por sus servicios, dándose casos en los que se han detectado verdaderas "mulas" que se dedican de forma profesional y exclusiva a esta actividad ilícita. Sin embargo, en muchos casos la mula es captada también merced a engaños y promesas de contratos laborales; en estos contratos se establecen salarios por los trabajos realizados, como ocurre en cualquier puesto de trabajo, con la diferencia de que en esta ocasión el salario nunca llega.

Ejemplo de phishing: Ciudadano A recibe un correo electrónico en el que se le avisa de que se le han cargado a su cuenta bancaria unas cantidades por el uso de una página, por ejemplo Ebay. Acto seguido el ciudadano pincha en el enlace del correo para cancelar ese pago, desplegándose una página exactamente igual que la de Ebay, y al introducir sus datos (credenciales), al ser una página copiada, el phisher obtiene los mismos.

Entre tanto, el Phisher simula ser, por ejemplo, empresario de Western Union o cualquier empresa de traslado de capitales y contrata a Ciudadano B (la "mula"), redactándole un contrato dudoso pero que firma, con una comisión del 5%, por ejemplo, de cada cantidad transferida.

El phisher-estafador, gracias a las credenciales obtenidas y mediante manipulación informática, consigue un traslado inconsentido de dinero de la cuenta del Ciudadano A, víctima, a otra de una cantidad, pongamos 4.000 €. Se le presenta aviso a Ciudadano B, la mula, para que transmita inmediatamente esos 4.000 € por Western Union a la cuenta del phisher en el extranjero, quedándose la mula con el 5% de la transacción y desapareciendo el resto en el extranjero para, normalmente, no ser encontrado jamás.

En este caso, debe partirse de que la fuerza policial habrá hecho constar, o de lo contrario habría que pedir informe aclaratorio, si la "mula" estaba preordenada al engaño, con lo que sería partícipe de la estafa, o simplemente aprovechó el lucro, la comisión, a sabiendas o pudiendo saber que el contrato podía encubrir un delito.

Cabe distinguir entre sentencias: A) Que han considerado la participación de la "mula" como participación en la estafa (art. 248. 2 a] Cp): STS de 12-VI-2007, SAP Alicante de 29-VI-2010 y SAP Las Palmas de Gran Canaria de 26-VI-2012, aunque en todas ellas el abogado de la defensa no planteó la alternativa de blanqueo de capitales, intentando aplicar el error (art. 14. 1 Cp), que la Sala de segunda instancia desestima.

B) Otras como un delito de blanqueo de capitales (art. 301. 1 y 3 Cp, usualmente por la vía imprudente): STS de 25-X-2012, SAP Palma de Mallorca de 11-X-2012SAP Valladolid de 15-XI-2012 y SAP Valladolid de 21-VI-2010.

C) Otras que absuelven al no haber hecho calificación alternativa el Fiscal y/o la acusación particular, habiendo sido acusado el mulero sólo por estafa SAP Barcelona de 9-I-2012, SAP Coruña de 4-X-2010 y SAP Córdoba de 4-III-2011.

D) Finalmente, otras que absuelven de toda condena al no estar acreditada la imprudencia "grave" exigida en el art. 301. 3 Cp: SAP Bilbao 13-II-2012, con cita al final de muchas sentencias en el mismo sentido, SAP Madrid de 29-VII-2010 y SAP Soria de 27-II-2012.

Como se puede observar, la tendencia actual va en la línea de absolver al mulero o condenarlo por blanqueo de capitales por imprudencia. Es responsabilidad del Fiscal y de la acusación particular, normalmente entidades bancarias, realizar una calificación alternativa de estafa y blanqueo de capitales que, dicho sea de paso, no prosperará si no se prueba que la mula haya llegado a tener algún beneficio económico, todo ello sin perjuicio de que la entidad bancaria ejercite acciones civiles contra el mulero ante la jurisdicción que le es propia. Es significativo ver cómo los órganos de enjuiciamiento consideran no "grave", a los efectos del art. 301 Cp, que una persona reciba informáticamente un contrato de trabajo de alguien a quien ni conoce físicamente, ni de ningún otro modo hasta la fecha en cuestión, y no le parezca bastante raro el que se le ofrezca traficar con cuantías de varios miles de euros, dada esa falta de confianza previa. Estando así las cosas en el ámbito jurisprudencial menor, ámbito de Audiencias Provinciales, sólo cabe esperar a ver sobre lo que acuerde el Tribunal Supremo al respecto, sin perjuicio de que la valoración sobre la gravedad es un elemento íntimamente subjetivo y de ponderación, normalmente de forma exclusiva del órgano de la primera instancia, a salvo de que el Poder Legislativo cree un tipo penal específico o elimine la "gravedad" de la modalidad imprudente del blanqueo (301. 3 Cp).

* Agradezco el apoyo técnico proporcionado por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil y al Blog de Angelucho

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.