lunes, 10 de febrero de 2020

La calificación jurídica del phising, smishing, vishing, pharming y spoofing como estafas informáticas

Los cuatro primeros anglicismos aparecen mencionados en una única resolución judicial: el didáctico auto 6431/2019, de 19 de julio, de la Audiencia Provincial de Barcelona. Se refiere a (…) una actividad ilícita enmarcada en lo que se denomina "phishing", técnica defraudatoria consistente en el envío masivo, fundamentalmente a usuarios de la banca on-line, bien de correos electrónicos, que es lo más habitual, bien de mensajes a través de SMS, –lo que se conoce como Smishing- o incluso a través de llamadas telefónicas -el denominado Vishing–, en que los autores, haciéndose pasar por empresas o fuentes fiables, especialmente entidades bancarias, y alegando supuestas razones de seguridad, les solicitan que faciliten aquellas contraseñas o datos confidenciales necesarias para operar telemáticamente en las webs bancarias, o bien les solicitan que pinchen en algún enlace que les redirecciona a una página idéntica a la oficial de dichas entidades o les introducen virus informáticos capaces de apoderase de sus claves, –el denominado Pharming que puede dirigirse a ordenadores concretos o directamente a los servidores DNS–, de suerte que cuando el usuario opera en dichas páginas clonadas introduciendo su claves de acceso, lo hace en la confianza de se trata de la página original de su entidad bancaria, facilitando de este modo a los autores, sin saberlo, sus claves confidenciales. Por dichos mecanismos los "Phishers" consiguen conocer las contraseñas y claves secretas de los usuarios, con las que posteriormente poder acceder a la verdadera web bancaria, suplantando la identidad de los verdaderos usuarios, y ordenando transferencias inconsentidas de sus activos.

Este singular auto barcelonés continúa refiriéndose a las tres fases que podemos distinguir en estas conductas delictivas: Dentro de dicha mecánica comisiva, y, formando parte de una estrategia única, cabe distinguir distintas fases o secuencias:
  1. Una fase inicial de descubrimiento de claves y contraseñas on-line por los distintos métodos antes expuestos,
  2. Una segunda fase consistente en el acceso a dichas cuentas utilizando dichas claves y ordenando transferencias de activos a otras cuentas,
  3. Y una fase final de apoderamiento efectivo de dichos activos, que de ordinario va unida (…) a su envío al extranjero, normalmente a países del Este (…).

(…) si bien en la primera fase de dicho operativo los autores no necesitan el auxilio de terceras personas, pudiendo realizar sus ataques informáticos desde cualquier terminal y desde cualquier país siendo lo más frecuente que operen desde el extranjero para no ser descubiertos; la práctica judicial evidencia que para concluir dicho proceso y lograr la efectiva disponibilidad del dinero, se valen de terceras personas denominados en el argot policial "muleros" –por analogía con lo que sucede en los delitos de tráfico de drogas–, los cuales de ordinario son captados previamente a través de correos electrónicos también masivos e indiscriminados, en los que se les envía una supuesta oferta laboral con la promesa de obtener una alta retribución económica, exigiéndoles a cambio la apertura de una cuenta bancaria, la recepción en ella de distintas transferencias de personas desconocidas, y finalmente la remisión inmediata de dichas sumas a terceras personas también desconocidas empleando para dichas transferencias los sistemas de envío de dinero antes mencionados, no sin antes detraer, para sí, de dichas sumas, una suculenta comisión que suele rondar entre el 5% y el 10% de dichos ingresos.


Teniendo en cuenta la abundante casuística con la que podemos encontrarnos, dentro de la voz phising –que encuadra (…) desde la simple petición de los datos hasta las maquinaciones y alteraciones informáticas a través de la red (sentencia 3666/2018, de 26 de octubre, del Tribunal Supremo)– ¿cómo se califican jurídicamente todas esas conductas delictivas?

El anterior auto también resume cuáles eran las tres posibilidades para encuadrar los supuestos de "phishing" en algún delito tipificado en el Código Penal:
  1. Un delito de estafa informática en la modalidad de cooperación necesaria conforme al Art. 248.2 CP;
  2. Un delito de blanqueo de capitales preferentemente en su modalidad imprudente del Art. 301.1 y 3 CP y
  3. O la comisión de un delito de receptación del Art. 298 CP.

La primera de las posibilidades, a saber, la comisión del delito de estafa informática, (…) es la acogida de forma preferente por nuestra doctrina y por nuestra jurisprudencia.

En ese mismo sentido se posicionó la exposición de motivos de la Ley Orgánica 5/2010, de 22 de junio, cuando dio nueva redacción al mencionado Art. 248 CP; justificando esta reforma del Código Penal español [Ley Orgánica 10/1995, de 23 de noviembre], de la siguiente manera: Entre las estafas descritas en el artículo 248 del Código Penal, cuyo catálogo en su momento ya se había acrecentado con los fraudes informáticos, ha sido preciso incorporar la cada vez más extendida modalidad consistente en defraudar utilizando las tarjetas ajenas o los datos obrantes en ellas, realizando con ello operaciones de cualquier clase en perjuicio de su titular o de un tercero.

En resumen, de acuerdo con la sentencia 3242/2016, de 8 de febrero, de la Audiencia Provincial de Madrid: Las estafas cometidas mediante la técnica pharming-phishing, son estafas realizadas mediante manipulaciones informáticas, y son susceptibles de ser incluidas en el Art. 248.2.a) del CP, donde se dice, que «también se consideran reos de estafa los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero».


Como curiosidad; etimológicamente “phising” procede del término anglosajón “fishing” (pescar) como metáfora de que los estafadores quieren echar el anzuelo y ver quién pica y cae en sus redes. A partir de ese concepto se derivó el “smishing” como “fishing” que utiliza mensajes SMS; el “vishing” que incluyó la letra “v” de “voice” (voz) por realizarse mediante llamadas telefónicas; y el “pharming” que trasladó la metáfora de pescar, en este caso, en una granja (“farm”).

A estas conductas podríamos añadir la técnica del spoofing: cuando un usuario recibe un correo apremiándole a actualizar datos personales [nombres de usuarios y contraseña de motivos de seguridad, mantenimiento, mejora en el servicio, etc, redirigiéndoles a una página que imita a la original (STS 3926/2009, de 16 de marzo)] de modo que otro sujeto pueda suplantar (“spoof” en inglés) su identidad. En los ataques de Spoofing, el atacante crea un contexto engañoso para así engañar a la víctima de forma que haga una decisión relacionada con la seguridad inapropiada (sentencia 55/2015, de 16 de enero, de la Audiencia Provincial de Valencia).

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...