sábado, 11 de mayo de 2013

La responsabilidad penal de las “mulas” en el delito de phishing






Debemos aclarar, en primer lugar, la nomenclatura que se va a utilizar:
Phishing: Es una de las actividades delictivas más utilizadas por los ciberdelincuentes, consistente en obtener información confidencial, de forma fraudulenta, de sus víctimas (persona jurídica o individual). Esta información siempre estará relacionada con su “identidad online” y con las credenciales de acceso de los distintos servicios que la víctima utilice en la red, como claves de acceso a banca online, logins y passwords de usuarios de mensajerías instantáneas, de acceso a sus perfiles en redes sociales o contraseñas de los correos electrónicos del atacado. Por norma general el procedimiento utilizado para la obtención de estas credenciales es mediante la emulación de páginas web lícitas (bancarias, redes sociales, portales de acceso a correos webmail, etc.), o mediante spam, recurso con el que el  infractor simula ser otra persona o empresa para conseguir la información incluso empleando técnicas de ingeniería social. Todo este procedimiento finaliza con la captura de las credenciales online de la víctima, en la mayoría de los casos, aunque no exclusivamente, para obtener un traspaso patrimonial no deseado por parte de la víctima, habiéndose documentado casos de usurpación de estado civil.
Pharming: Técnica específica consistente en redirigir el nombre de dominio de una entidad de confianza (el banco, una compañía aérea, Ebay, Amazon, etc.) a una web idéntica o emulada, creada por el estafador o phisher al efecto de sustraerle los datos sensibles.
Phisher (a los efectos del phising): Persona que normalmente posee elevados conocimientos informáticos mediante los que consigue que su identidad en la red no pueda ser rastreada, y que, en ocasiones, puede llegar a comprometer servidores informáticos ajenos con el fin de ser utilizados en el phishing (envíos de spam, ordenadores “zombi” para evitar que sean rastreadas las verdaderas conexiones, etc.). Esta persona también es la encargada de emular la página web de una entidad, correo electrónico o servicio de Internet específico para engañar a la víctima, y con el fin de que, por medio del engaño,  introduzca sus datos sensibles y privados de acceso. Una vez conseguidas las credenciales, el phisher las vende las mismas en el “mercado negro del cibercrimen”, o los utiliza directamente con fines fraudulentos para su propio beneficio o interés, recayendo entonces en esta persona también la figura de estafador.
Mula: Adaptación/traducción del término anglosajón money mule, y se puede definir como ‘una persona que transfiere dinero o mercancías que han sido obtenidas de forma ilegal en un país (generalmente a través de Internet), a otro país, donde suele residir el autor del fraude o estafa. La mula, normalmente nacional y que mediante el engaño de un contrato previo transfiere el dinero o activo financiero al estafador, se queda con un pequeño porcentaje del dinero transferido como pago por sus servicios, dándose casos en los que se han detectado verdaderas “mulas” que se dedican de forma profesional y exclusiva a esta actividad ilícita. Sin embargo, en muchos casos la mula es captada también merced a engaños y promesas de contratos laborales; en estos contratos se establecen salarios por los trabajos realizados, como ocurre en cualquier puesto de trabajo, con la diferencia de que en esta ocasión el salario nunca llega.



Ejemplo de phishing: Ciudadano A recibe un correo electrónico en el que se le avisa de que se le han cargado a su cuenta bancaria unas cantidades por el uso de una página, por ejemplo Ebay. Acto seguido el ciudadano pincha en el enlace del correo para cancelar ese pago, desplegándose una página exactamente igual que la de Ebay, y al introducir sus datos (credenciales), al ser una página copiada, el phisher obtiene los mismos.
Entre tanto, el Phisher simula ser, por ejemplo, empresario de Western Union o cualquier empresa de traslado de capitales y contrata a Ciudadano B (la “mula”), redactándole un contrato dudoso pero que firma, con una comisión del 5%, por ejemplo, de cada cantidad transferida.
El phisher-estafador, gracias a las credenciales obtenidas y mediante manipulación informática, consigue un traslado inconsentido de dinero de la cuenta del Ciudadano A, víctima, a otra de una cantidad, pongamos 4.000 €. Se le presenta aviso a Ciudadano B, la mula, para que transmita inmediatamente esos 4.000 € por Western Union a la cuenta del phisher en el extranjero, quedándose la mula con el 5% de la transacción y desapareciendo el resto en el extranjero para, normalmente, no ser encontrado jamás.

En este caso, debe partirse de que la fuerza policial habrá hecho constar, o de lo contrario habría que pedir informe aclaratorio, si la “mula” estaba preordenada al engaño, con lo que sería partícipe de la estafa, o simplemente aprovechó el lucro, la comisión, a sabiendas o pudiendo saber que el contrato podía encubrir un delito.

Cabe distinguir entre sentencias: A) Que han considerado la participación de la “mula” como participación en la estafa (art. 248. 2 a] Cp): STS de 12-VI-2007, SAP Alicante de 29-VI-2010 y SAP Las Palmas de Gran Canaria de 26-VI-2012, aunque en todas ellas el abogado de la defensa no planteó la alternativa de blanqueo de capitales, intentando aplicar el error (art. 14. 1 Cp), que la Sala de segunda instancia desestima.
B) Otras como un delito de blanqueo de capitales (art. 301. 1 y 3 Cp, usualmente por la vía imprudente): STS de 25-X-2012, SAP Palma de Mallorca de 11-X-2012,  SAP Valladolid de 15-XI-2012 y SAP Valladolid de 21-VI-2010.
C) Otras que absuelven al no haber hecho calificación alternativa el Fiscal y/o la acusación particular, habiendo sido acusado el mulero sólo por estafa SAP Barcelona de 9-I-2012, SAP Coruña de 4-X-2010 y SAP Córdoba de 4-III-2011.
D) Finalmente, otras que absuelven de toda condena al no estar acreditada la imprudencia “grave” exigida en el art. 301. 3 Cp: SAP Bilbao 13-II-2012, con cita al final de muchas sentencias en el mismo sentido, SAP Madrid de 29-VII-2010 y SAP Soria de 27-II-2012.

Como se puede observar, la tendencia actual va en la línea de absolver al mulero o condenarlo por blanqueo de capitales por imprudencia. Es responsabilidad del Fiscal y de la acusación particular, normalmente entidades bancarias, realizar una calificación alternativa de estafa y blanqueo de capitales que, dicho sea de paso, no prosperará si no se prueba que la mula haya llegado a tener algún beneficio económico, todo ello sin perjuicio de que la entidad bancaria ejercite acciones civiles contra el mulero ante la jurisdicción que le es propia. Es significativo ver cómo los órganos de enjuiciamiento consideran no “grave”, a los efectos del art. 301 Cp, que una persona reciba informáticamente un contrato de trabajo de alguien a quien ni conoce físicamente, ni de ningún otro modo hasta la fecha en cuestión, y no le parezca bastante raro el que se le ofrezca traficar con cuantías de varios miles de euros, dada esa falta de confianza previa. Estando así las cosas en el ámbito jurisprudencial menor, ámbito de Audiencias Provinciales, sólo cabe esperar a ver sobre lo que acuerde el Tribunal Supremo al respecto, sin perjuicio de que la valoración sobre la gravedad es un elemento íntimamente subjetivo y de ponderación, normalmente de forma exclusiva del órgano de la primera instancia, a salvo de que el Poder Legislativo cree un tipo penal específico o elimine la “gravedad” de la modalidad imprudente del blanqueo (301. 3 Cp).

* Agradezco el apoyo técnico proporcionado por el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil y al Blog de Angelucho




No olvidéis pasar el antivirus



Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en
o en
www.twitter.com/ como @EnOcasionesVeoR.



4 comentarios:

  1. Hola, lo primero felicitarte por las viñetas y fotos que acompañan la entrada, son muy aclaratorias y divertidas :)

    Sobre el contenido, a pesar de que no tengo ni idea de leyes, comentarte que está perfectamente explicado y muy bien documentado, mencionando artículos y enlazando sentencias. Al leerte tengo la sensación de que es como una "extensión" ampliada de uno de los temas tratados en las jornadas X1RedMasSegura.

    Sólo hay un término que no sé lo que es, "la calificación alternativa".
    En vistas de que las Audiencias Provinciales parece que no llegan a un consenso, habrá que esperar a ver qué decisión adopta el Tribunal Supremo, y que se determine una línea de actuación muy clara a la hora de enjuiciar a los muleros.

    Enhorabuena por el blog, veo que en menos de dos años, hay mucho contenido interesante.
    Sólo un apunte pequeño (con todos mis respetos y buena intención), no veo por aquí el twitter y quizás subiría la parte de "Datos personales" y redes sociales arriba, para que se vea nada más entrar.

    Un saludo cordial.

    ResponderEliminar
  2. Buenos días Trinity:

    La "calificación alternativa" consiste en que el Fiscal y, si va a juicio, la acusación particular (el banco o perjudicado por el delito), deben acusar por estafa y alternativamente por blanqueo de capitales, porque si el tribunal considera que el delito concurrente es blanqueo y sólo se ha acusado por estafa, procede la absolución, al no tener que adivinar la defensa todas las posibles acusaciones existentes contra la misma y deber estar fijada antes de acabar el juicio.

    Respecto al contenido, comparativamente hablando con las jornadas, este es un blog jurídico y el de Angelucho es de tipo informático, aunque ambos parten de la concienciación sobre los peligros de nuestras respectivas "redes".

    Finalmente, el Blog de Angelucho y el mío se llevan una semana de diferencia en su aparición, cosas del destino. Arriba del todo ya figura el grupo de Facebook donde añadirse si uno lo desea y compartir contenidos a sus amigos.

    Muchas gracias por leerlo y comentarlo; es gratificante saber que el trabajo desarrollado le sirve a alguien.

    ResponderEliminar
    Respuestas
    1. Buenos días En ocasiones veo reos, muchas gracias por la explicación sobre la "calificación alternativa", ahora ya lo he comprendido perfectamente.

      Te decía que era como una extensión ampliada de UNO de los temas tratados en las jornadas X1RedMasSegura, el Phishing, no que tuvieras el mismo contenido que el blog de Angelucho, aunque como bien dices, ambos os preocupáis por concienciar sobre los peligros en la red.

      Qué casualidad que emprendiérais la andadura bloguera casi a la vez :-)

      Veo la dirección de facebook ahora porque me lo has indicado, pero no resulta intuitivo para el navegante, parece a simple vista que es la del propio blog. Se vería mejor en la barra lateral derecha, con la típica "F" azul de esa red social y un enlace donde pulsar, y te comentaba lo del twitter porque estoy comprobando que hoy en día hay un gran movimiento por allí.
      También pondría visible un correo electrónico, hay personas que prefieren contactar así, y si no ven clara la forma de comunicarse con el autor, se van sin muchos miramientos. Ya te digo, son sólo apreciaciones personales con buenos deseos.

      Y por supuesto que tu trabajo nos sirve, esta entrada es estupenda y he aprendido mucho. Ya iré viendo las otras que no me parezcan demasiado técnicas para mi "incultura" jurídica.

      Gracias por tu respuesta, que tengas un buen día.
      Saludos.

      Eliminar
    2. Yo soy el que está muy agradecido. Voy a ver cómo localizo los iconos para las páginas de Facebook y twitter. Un abrazo y, de verdad, muchas gracias.

      Eliminar