Debemos aclarar,
en primer lugar, la nomenclatura que se va a utilizar:
Phishing: Es una de las actividades
delictivas más utilizadas por los ciberdelincuentes, consistente en obtener
información confidencial, de forma fraudulenta, de sus víctimas (persona
jurídica o individual). Esta información siempre estará relacionada con su
“identidad online” y con las credenciales de acceso de los distintos servicios
que la víctima utilice en la red, como claves de acceso a banca online, logins y passwords de usuarios de mensajerías instantáneas, de acceso a sus perfiles en
redes sociales o contraseñas de los correos electrónicos del atacado. Por norma
general el procedimiento utilizado para la obtención de estas credenciales es
mediante la emulación de páginas web
lícitas (bancarias, redes sociales, portales de acceso a correos webmail, etc.), o mediante spam, recurso con el que el infractor simula ser
otra persona o empresa para conseguir la información incluso empleando técnicas
de ingeniería social. Todo este procedimiento finaliza con la captura de las
credenciales online de la víctima, en la mayoría de los casos, aunque no
exclusivamente, para obtener un traspaso patrimonial no deseado por parte de la
víctima, habiéndose documentado casos de usurpación de estado civil.
Pharming: Técnica específica consistente
en redirigir el nombre de dominio de una entidad de confianza (el banco, una
compañía aérea, Ebay, Amazon, etc.) a una web idéntica o emulada, creada por el estafador o phisher al efecto de sustraerle los datos sensibles.
Phisher (a los efectos del phising): Persona que normalmente posee elevados
conocimientos informáticos mediante los que consigue que su identidad en la red
no pueda ser rastreada, y que, en ocasiones, puede llegar a comprometer
servidores informáticos ajenos con el fin de ser utilizados en el phishing (envíos de spam, ordenadores “zombi” para evitar que sean rastreadas las verdaderas
conexiones, etc.). Esta persona también es la encargada de emular la página web de una entidad, correo electrónico o servicio de
Internet específico para engañar a la víctima, y con el fin de que, por medio
del engaño, introduzca sus datos sensibles y privados de acceso. Una vez
conseguidas las credenciales, el phisher las vende las mismas en el “mercado negro del cibercrimen”, o los
utiliza directamente con fines fraudulentos para su propio beneficio o interés,
recayendo entonces en esta persona también la figura de estafador.
Mula: Adaptación/traducción del término anglosajón money
mule, y se puede definir como ‘una persona que transfiere dinero o
mercancías que han sido obtenidas de forma ilegal en un país (generalmente a
través de Internet), a otro país, donde suele residir el autor del fraude o estafa.
La mula, normalmente nacional y que mediante el engaño de un contrato
previo transfiere el dinero o activo financiero al estafador, se queda con un
pequeño porcentaje del dinero transferido como pago por sus servicios, dándose
casos en los que se han detectado verdaderas “mulas” que se dedican de forma
profesional y exclusiva a esta actividad ilícita. Sin embargo, en muchos casos
la mula es captada también merced a engaños y promesas de contratos laborales;
en estos contratos se establecen salarios por los trabajos realizados, como
ocurre en cualquier puesto de trabajo, con la diferencia de que en esta ocasión
el salario nunca llega.
Ejemplo de phishing: Ciudadano A recibe un correo
electrónico en el que se le avisa de que se le han cargado a su cuenta bancaria
unas cantidades por el uso de una página, por ejemplo Ebay. Acto seguido el
ciudadano pincha en el enlace del correo para cancelar ese pago, desplegándose
una página exactamente igual que la de Ebay, y al introducir sus datos
(credenciales), al ser una página copiada, el phisher obtiene los mismos.
Entre tanto, el Phisher simula ser, por ejemplo, empresario de Western Union
o cualquier empresa de traslado de capitales y contrata a Ciudadano B (la
“mula”), redactándole un contrato dudoso pero que firma, con una comisión del
5%, por ejemplo, de cada cantidad transferida.
El phisher-estafador, gracias a las credenciales obtenidas y
mediante manipulación informática, consigue un traslado inconsentido de dinero
de la cuenta del Ciudadano A, víctima, a otra de una cantidad, pongamos 4.000
€. Se le presenta aviso a Ciudadano B, la mula, para que transmita
inmediatamente esos 4.000 € por Western Union a la cuenta del phisher en el extranjero, quedándose la mula con el 5% de la
transacción y desapareciendo el resto en el extranjero para, normalmente, no
ser encontrado jamás.
En este caso,
debe partirse de que la fuerza policial habrá hecho constar, o de lo contrario
habría que pedir informe aclaratorio, si la “mula” estaba preordenada al
engaño, con lo que sería partícipe de la
estafa, o simplemente aprovechó el lucro, la comisión, a sabiendas o pudiendo saber que el contrato podía
encubrir un delito.
Cabe distinguir
entre sentencias: A) Que han considerado la participación de la “mula” como
participación en la estafa (art. 248. 2
a] Cp): STS
de 12-VI-2007, SAP
Alicante de 29-VI-2010 y SAP
Las Palmas de Gran Canaria de 26-VI-2012, aunque en todas ellas el abogado
de la defensa no planteó la alternativa de blanqueo de capitales, intentando
aplicar el error (art. 14. 1 Cp), que la Sala de segunda instancia desestima.
B) Otras como un
delito de blanqueo de capitales (art.
301. 1 y 3 Cp, usualmente por la vía imprudente): STS
de 25-X-2012, SAP
Palma de Mallorca de 11-X-2012,
SAP
Valladolid de 15-XI-2012 y SAP
Valladolid de 21-VI-2010.
C) Otras que
absuelven al no haber hecho calificación alternativa el Fiscal y/o la acusación particular, habiendo
sido acusado el mulero sólo por estafa SAP
Barcelona de 9-I-2012, SAP
Coruña de 4-X-2010 y SAP
Córdoba de 4-III-2011.
D) Finalmente,
otras que absuelven de toda condena al no estar acreditada la imprudencia
“grave” exigida en el art. 301. 3 Cp: SAP
Bilbao 13-II-2012, con cita al final de muchas sentencias en el mismo
sentido, SAP
Madrid de 29-VII-2010 y SAP
Soria de 27-II-2012.
Como se puede
observar, la tendencia actual va en la línea de absolver al mulero o condenarlo
por blanqueo de capitales por imprudencia. Es responsabilidad del Fiscal y de
la acusación particular, normalmente entidades bancarias, realizar una
calificación alternativa de estafa y blanqueo de capitales que, dicho sea de
paso, no prosperará si no se prueba que la mula haya llegado a tener algún beneficio
económico, todo ello sin perjuicio de que
la entidad bancaria ejercite acciones civiles contra el mulero ante la
jurisdicción que le es propia. Es significativo ver cómo los órganos de
enjuiciamiento consideran no “grave”, a los efectos del art. 301 Cp, que una
persona reciba informáticamente un contrato de trabajo de alguien a quien ni
conoce físicamente, ni de ningún otro modo hasta la fecha en cuestión, y no le
parezca bastante raro el que se le ofrezca traficar con cuantías de varios
miles de euros, dada esa falta de confianza previa. Estando así las cosas en el
ámbito jurisprudencial menor, ámbito de Audiencias Provinciales, sólo cabe
esperar a ver sobre lo que acuerde el Tribunal Supremo al respecto, sin
perjuicio de que la valoración sobre la gravedad es un elemento íntimamente
subjetivo y de ponderación, normalmente de forma exclusiva del órgano de la
primera instancia, a salvo de que el Poder Legislativo cree un tipo penal
específico o elimine la “gravedad” de la modalidad imprudente del blanqueo
(301. 3 Cp).
* Agradezco el apoyo técnico proporcionado por el
Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil
y al Blog de
Angelucho
No olvidéis pasar el antivirus
Si la materia es de vuestro interés, podéis seguir otros enlaces similares con las etiquetas que constan al final del post o usando el buscador que aparece en el lateral derecho. También, si es de vuestro gusto y deseáis estar informados al instante sobre las novedades de este blog, podéis seguirlo suscribiéndoos en el lateral derecho del blog, o en
o en
www.twitter.com/ como @EnOcasionesVeoR.
Hola, lo primero felicitarte por las viñetas y fotos que acompañan la entrada, son muy aclaratorias y divertidas :)
ResponderEliminarSobre el contenido, a pesar de que no tengo ni idea de leyes, comentarte que está perfectamente explicado y muy bien documentado, mencionando artículos y enlazando sentencias. Al leerte tengo la sensación de que es como una "extensión" ampliada de uno de los temas tratados en las jornadas X1RedMasSegura.
Sólo hay un término que no sé lo que es, "la calificación alternativa".
En vistas de que las Audiencias Provinciales parece que no llegan a un consenso, habrá que esperar a ver qué decisión adopta el Tribunal Supremo, y que se determine una línea de actuación muy clara a la hora de enjuiciar a los muleros.
Enhorabuena por el blog, veo que en menos de dos años, hay mucho contenido interesante.
Sólo un apunte pequeño (con todos mis respetos y buena intención), no veo por aquí el twitter y quizás subiría la parte de "Datos personales" y redes sociales arriba, para que se vea nada más entrar.
Un saludo cordial.
Buenos días Trinity:
ResponderEliminarLa "calificación alternativa" consiste en que el Fiscal y, si va a juicio, la acusación particular (el banco o perjudicado por el delito), deben acusar por estafa y alternativamente por blanqueo de capitales, porque si el tribunal considera que el delito concurrente es blanqueo y sólo se ha acusado por estafa, procede la absolución, al no tener que adivinar la defensa todas las posibles acusaciones existentes contra la misma y deber estar fijada antes de acabar el juicio.
Respecto al contenido, comparativamente hablando con las jornadas, este es un blog jurídico y el de Angelucho es de tipo informático, aunque ambos parten de la concienciación sobre los peligros de nuestras respectivas "redes".
Finalmente, el Blog de Angelucho y el mío se llevan una semana de diferencia en su aparición, cosas del destino. Arriba del todo ya figura el grupo de Facebook donde añadirse si uno lo desea y compartir contenidos a sus amigos.
Muchas gracias por leerlo y comentarlo; es gratificante saber que el trabajo desarrollado le sirve a alguien.
Buenos días En ocasiones veo reos, muchas gracias por la explicación sobre la "calificación alternativa", ahora ya lo he comprendido perfectamente.
EliminarTe decía que era como una extensión ampliada de UNO de los temas tratados en las jornadas X1RedMasSegura, el Phishing, no que tuvieras el mismo contenido que el blog de Angelucho, aunque como bien dices, ambos os preocupáis por concienciar sobre los peligros en la red.
Qué casualidad que emprendiérais la andadura bloguera casi a la vez :-)
Veo la dirección de facebook ahora porque me lo has indicado, pero no resulta intuitivo para el navegante, parece a simple vista que es la del propio blog. Se vería mejor en la barra lateral derecha, con la típica "F" azul de esa red social y un enlace donde pulsar, y te comentaba lo del twitter porque estoy comprobando que hoy en día hay un gran movimiento por allí.
También pondría visible un correo electrónico, hay personas que prefieren contactar así, y si no ven clara la forma de comunicarse con el autor, se van sin muchos miramientos. Ya te digo, son sólo apreciaciones personales con buenos deseos.
Y por supuesto que tu trabajo nos sirve, esta entrada es estupenda y he aprendido mucho. Ya iré viendo las otras que no me parezcan demasiado técnicas para mi "incultura" jurídica.
Gracias por tu respuesta, que tengas un buen día.
Saludos.
Yo soy el que está muy agradecido. Voy a ver cómo localizo los iconos para las páginas de Facebook y twitter. Un abrazo y, de verdad, muchas gracias.
Eliminar