La crisis económica agudiza el ingenio, sobre todo de los delincuentes. Por eso, desde una mala experiencia personal vivida en enero de 2010, iniciamos en el mes de marzo la publicación en este blog de una serie de artículos sobre los fraudes de la Ingenieria Social y Técnica en internet. Dicha serie comenzó con el artículo "Ingenieria Social y Técnica por internet: I+D+i aplicada con fines delictivos".
Ahora continuamos con el 2º artículo sobre la "responsabilidad penal", desde mi propia experiencia personal de haber denunciado mi caso de "pharming" ante la Policía Nacional a finales de enero e incluso ampliando con posterioridad toda una serie de antecedentes delictivos que pudieran ayudar a esclarecer mejor los hechos y los presuntos responsbales criminales de los mismos.
En cuanto a las obligaciones internacionales asumidas por España a raíz de la adopción de la Decisión marco 2001/413/JAI del Consejo, de 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, implican en relación con lo que dispone el art. 4 de esta Decisión, sobre “delitos relacionados con dispositivos especialmente adaptados”, que “cada Estado miembro adoptará las medidas necesarias para garantizar que las siguientes conductas sean delitos penales cuando se produzcan de forma deliberada: La fabricación, el recibo, la obtención, la venta y la transferencia fraudulentos a un tercero o la posesión de:
– instrumentos, objetos, programas informáticos y cualquier otro medio destinado por su naturaleza a la comisión de alguno de los delitos descritos en la letra b) del artículo 2,
– programas informáticos con la finalidad de cometer cualquiera de los delitos descritos en el artículo 3”.
La explicación que se ofrece en el considerando octavo de la decisión es la siguiente: “Es necesario que la descripción de las diversas conductas que deben tipificarse en relación con el fraude y la falsificación de medios de pago distintos del efectivo abarque toda la gama de actividades que en conjunto constituyen la amenaza del crimen organizado en este ámbito”.
En tal sentido, la LO 15/2003, de 25 de noviembre, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, introdujo un párrafo tercero en el art. 248 CP con el siguiente tenor: “La misma pena (de la estafa) se aplicará a los que fabricaren, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo”.
A ello se añade que para la fijación de la pena se hace remisión indirectamente a los arts. 249 y 250 CP. En concreto, el art. 249 CP contempla un marco penal de prisión de seis meses a dos años cuando “la cuantía de lo defraudado excediere de 400 euros”.
Todo ello es lo que ocurre, con los programas empleados para llevar a cabo el “phishing”, que consiste, como ya vimos hce unas semanas en el anterior artículo de este blog, en la recogida fraudulenta de datos que proporciona voluntariamente, a consecuencia del engaño, el propio titular, y cuya modalidad más frecuente, pero no única, supone suplantar la identidad de una entidad bancaria para obtener las claves y datos de acceso a cuentas bancarias a través del envío de correos electrónicos que aparentemente provienen de la propia entidad, solicitando su confirmación por razones de seguridad, en ocasiones incluyendo un enlace para acceder a la web de la entidad, que en realidad ha sido sustituida por otra por los delincuentes (“web spoofing”). Lo mismo cabe decir del “software” malicioso empleado para realizar el “pharming”. Una vez que tienen los datos, los delincuentes los utilizan en el comercio electrónico para adquirir bienes y/ o servicios o para realizar transferencias de fondos no consentidas por el titular.
En todo caso, aunque se las denomine vulgarmente (por influencia de la traducción del inglés) fraudes informáticos, las acciones delincuenciales descritas bajo la denominación de phishing o pharming, son algo más que meras estafas, cada una de un párrafo del art. 248 del CP (LA LEY 3996/1995).Su íter críminis engloba tres acciones delictivas seguidas distintas, y configura un tipo delictivo complejo. Para entendernos, y hablando en estrictos términos (no jurídicos por ahora) de calle, tanto el phishing, como el pharming suponen:
• Un inicial «robo» de identidad
• para cometer un «robo» de datos
• para acabar cometiendo un «robo» de dinero.
Por ello, las acciones precedentes al apoderamiento patrimonial no son meros actos preparatorios impunes o simplemente integrantes de elementos de una sola estafa, en el caso del phishing, sociológica del art. 248.1 del CP (LA LEY 3996/1995), y en el del pharming, maquinal del art. 248.2 del CP (LA LEY 3996/1995), sino que son claras acciones ilícitas de un complejo delictivo.
Desde el punto de vista de los scammers (que suelen actuar en banda de personas procedentes de países del Este de Europa y en las que, quien realiza las web falsas —webproofing— suelen ser antiguos empleados informáticos al servicio de sus extintos regímenes políticos), la sofisticación de conocimientos técnicos y lo masivo de sus ataques les hace muy diferentes del mero defraudador solitario que estafa sin apenas conocimientos informáticos y mediante artesanales ataques víctima a víctima.
Por eso, el «robo de identidad» que supone suplantar la identidad de una Entidad bancaria (o de otra empresa) simulando su página web, ya sea en web específica falsa, ya en enlace a la misma a través del correo-e, «troyano», etc. o redireccionando las señas correctas a través de manipulaciones en el DNS que llevan a la web réplica, constituye un auténtico delito de falsedad en documento mercantil .
Por eso, el «robo de datos» constituye contra quienes «piquen» un delito de descubrimiento de datos informáticos secretos, previsto en el art. 197.2 del CP (LA LEY 3996/1995) pues se ataca el derecho a mantenerlos reservados, que forma parte de su esfera de la privacidad (o protección de datos del art. 18.4 de la CE (LA LEY 2500/1978)), lo que permitiría al cedente «a pesar de su no consentimiento», procesalmente, personarse como Acusador particular.
Finalmente, si los datos obtenidos mediante estas vías torticeras se usan y a su través se consiguen «robos de dinero», apoderamientos patrimoniales inconsentidos o ilícitos (dinero, objetos), los scammers cometen un delito de estafa informática previsto en el art. 248 del CP (LA LEY 3996/1995).
Como complejos delictivos que son el phishing y el pharming («robo de identidad, para robo de datos, para robo de dinero»), su caracterización en conjunto sirve para apreciar un mayor plazo a su prescripción, y ayuda a la aplicación de agravantes específicas como la referente al valor de la defraudación a que se contrae el art. 250.6 del CP (LA LEY 3996/1995), y se pena conforme a las normas del concurso de delitos del art. 77 del CP (LA LEY 3996/1995).
Sin embargo, la dinámica comisiva de estas modalidades de fraude en la Red en la vida real se complica porque las bandas organizadas de scammers de la Europa del Este (Rusia, Bielorrusia, Ucrania, Estonia, etc.) que suelen realizarlos, no practican ataques informáticos aislados, sino masivos, y por ello la emisión de correos-e o «troyanos» con enlaces a la página web falsa sobre la que se pretende generar el error que lleve a las múltiples víctimas a ceder inconsentidamente sus datos informáticos secretos, constituye, además, una continuidad delictiva (muy difícil de probar) que debe penarse conforme a la regla prevenida en el art. 74 del CP (LA LEY 3996/1995), debiendo la pena llegar a alcanzar la mitad superior de la infracción más grave, e incluso pudiendo llegar al grado inferior de la pena superior.
Ello si no concurriera la actuación criminal en concurso con el delito de asociación ilícita del art. 515 del CP (LA LEY 3996/1995), pues las pocas bandas desarticuladas policialmente en la práctica (debido a la complicación derivada de la transnacionalidad de su actuación delictiva) han demostrado estar muy estructuradas, bien jerarquizadas y tener un sofisticado reparto de las tareas criminales: el informático, los distribuidores de correos-e, los recaudadores de los ingresos, el organizador, etc. En el fenómeno del phishing y del pharming la figura que más se ha puesto en evidencia es el llamado «phisher-mule» o «mulero», cuya implicación en la trama delictiva es estadísticamente más frecuente, dado el mayor número de ellos que están siendo detenidos por los Cuerpos y Fuerzas policiales.
Los scammers, una vez lanzan sus ataques masivos a la «pesca» de víctimas, paralelamente usan el llamado «teletrabajo» informático para buscar colaboradores que desde España les ayuden a transportar (de ahí la expresión «mulero») de regreso a su país de origen el producto económico de sus ilícitas actividades. Para ello, de forma paralela, a través de las ofertas de trabajo por Internet, requieren de quienes estén dispuestos a trabajar desde casa o simplemente a tiempo parcial, sus servicios y, a cambio tan sólo de abrir una cuenta bancaria en España, recibir varias transferencias económicas y enviarlas a las señas en Europa del Este que se les irá comunicando a través de empresas de paquetería postal, se les autoriza a que descuenten un porcentaje económico (entre el 5 y el 10%), que será la remuneración por su «trabajo».
Ni que decir tiene que la cuenta corriente bancaria que abre el «mulero» (llamada cuenta «puente» o cuenta «nido») no es sino la que recoge todos los ilícitos ingresos obtenidos de las múltiples masivas víctimas del phishing o del pharming que día a día van «picando» y entregando sin querer sus datos bancarios reservados. De esta forma, el «mulero», en la cuenta «nido» bancaria que abre, recoge sin saber, gota a gota y día a día, el total de las múltiples transferencias fraudulentas que los scammers hacen (a quienes éste desconoce, y que suelen usar varios «muleros» distintos a la vez para minimizar sus pérdidas y diversificar riesgos), y les envía por paquetería postal Express un 95 % de sus «ganancias» (a identidades falsas en sus países de origen), propiciando con su conducta la impunidad de los atacantes extranjeros, que así cierran y agotan el apoderamiento delictivo fraudulento.
Es decir, que la actitud del «mulero» se puede incardinar en el dolo eventual y le es de aplicación la jurisprudencia sobre quien se sitúa en lo que el Tribunal Supremo ha venido llamando "posición de ignorancia deliberada".
Sin embargo, la acción de los «muleros», descartada su participación como encubridores del art. 451 CP (LA LEY 3996/1995), dado su ánimo de lucro propio, puede tener un tratamiento penal autónomo y diferente de la de los autores del complejo delictivo triple que es el phishing y el pharming, pues, lejos de atacar los bienes jurídicos que se protegen castigando a los scammers, la actitud del «mulero» trasluce más conductas cercanas a las propias de los receptadores.
Pena el art. 298 del CP (LA LEY 3996/1995) como reo de receptación a quien con ánimo de lucro, y con conocimiento de la acción de un delito contra el patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera u oculte tales efectos.
Ahora bien, como lo que recepta el «mulero» es más dinero que objetos, parecería penalmente más específica la clasificación de su conducta como la propia de un blanqueador de capitales, pues en todo cumple los requisitos previstos en el art. 301 del CP (LA LEY 3996/1995). Sin embargo, y pese a haber enormes dificultades dogmáticas para diferenciar el blanqueo de capitales de la receptación, aplicando el beneficio pro reo y la doctrina de la sentencia del Tribunal Supremo de 19 de diciembre de 2003, parece la acción del «mulero» más incardinable en la de receptación.
En fin, el próximo mes de mayo preveo que aparecerá publicado en este mismo blog la 3ª Parte de esta serie de artículos sobre la "Responsabilidad Civil en los fraudes de la Ingenieria Social y Técnica". Simultáneamente, en mayo comenzará una larga caminata de reclamaciones civiles contra la entidad Barclays ante el Banco de España... De dicha experiencia aprenderemos lo suficiente como para ir pensando en el proyecto de publicar algo más en el futuro que complete toda la serie: "La Responsabilidad Social Corporativa de las Entidades Financieras y el Riesgo Reputacional ante los fraudes bancarios"... TO BE CONTINUED
Ahora continuamos con el 2º artículo sobre la "responsabilidad penal", desde mi propia experiencia personal de haber denunciado mi caso de "pharming" ante la Policía Nacional a finales de enero e incluso ampliando con posterioridad toda una serie de antecedentes delictivos que pudieran ayudar a esclarecer mejor los hechos y los presuntos responsbales criminales de los mismos.
En cuanto a las obligaciones internacionales asumidas por España a raíz de la adopción de la Decisión marco 2001/413/JAI del Consejo, de 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, implican en relación con lo que dispone el art. 4 de esta Decisión, sobre “delitos relacionados con dispositivos especialmente adaptados”, que “cada Estado miembro adoptará las medidas necesarias para garantizar que las siguientes conductas sean delitos penales cuando se produzcan de forma deliberada: La fabricación, el recibo, la obtención, la venta y la transferencia fraudulentos a un tercero o la posesión de:
– instrumentos, objetos, programas informáticos y cualquier otro medio destinado por su naturaleza a la comisión de alguno de los delitos descritos en la letra b) del artículo 2,
– programas informáticos con la finalidad de cometer cualquiera de los delitos descritos en el artículo 3”.
La explicación que se ofrece en el considerando octavo de la decisión es la siguiente: “Es necesario que la descripción de las diversas conductas que deben tipificarse en relación con el fraude y la falsificación de medios de pago distintos del efectivo abarque toda la gama de actividades que en conjunto constituyen la amenaza del crimen organizado en este ámbito”.
En tal sentido, la LO 15/2003, de 25 de noviembre, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, introdujo un párrafo tercero en el art. 248 CP con el siguiente tenor: “La misma pena (de la estafa) se aplicará a los que fabricaren, introdujeren, poseyeren o facilitaren programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo”.
A ello se añade que para la fijación de la pena se hace remisión indirectamente a los arts. 249 y 250 CP. En concreto, el art. 249 CP contempla un marco penal de prisión de seis meses a dos años cuando “la cuantía de lo defraudado excediere de 400 euros”.
Todo ello es lo que ocurre, con los programas empleados para llevar a cabo el “phishing”, que consiste, como ya vimos hce unas semanas en el anterior artículo de este blog, en la recogida fraudulenta de datos que proporciona voluntariamente, a consecuencia del engaño, el propio titular, y cuya modalidad más frecuente, pero no única, supone suplantar la identidad de una entidad bancaria para obtener las claves y datos de acceso a cuentas bancarias a través del envío de correos electrónicos que aparentemente provienen de la propia entidad, solicitando su confirmación por razones de seguridad, en ocasiones incluyendo un enlace para acceder a la web de la entidad, que en realidad ha sido sustituida por otra por los delincuentes (“web spoofing”). Lo mismo cabe decir del “software” malicioso empleado para realizar el “pharming”. Una vez que tienen los datos, los delincuentes los utilizan en el comercio electrónico para adquirir bienes y/ o servicios o para realizar transferencias de fondos no consentidas por el titular.
En todo caso, aunque se las denomine vulgarmente (por influencia de la traducción del inglés) fraudes informáticos, las acciones delincuenciales descritas bajo la denominación de phishing o pharming, son algo más que meras estafas, cada una de un párrafo del art. 248 del CP (LA LEY 3996/1995).Su íter críminis engloba tres acciones delictivas seguidas distintas, y configura un tipo delictivo complejo. Para entendernos, y hablando en estrictos términos (no jurídicos por ahora) de calle, tanto el phishing, como el pharming suponen:
• Un inicial «robo» de identidad
• para cometer un «robo» de datos
• para acabar cometiendo un «robo» de dinero.
Por ello, las acciones precedentes al apoderamiento patrimonial no son meros actos preparatorios impunes o simplemente integrantes de elementos de una sola estafa, en el caso del phishing, sociológica del art. 248.1 del CP (LA LEY 3996/1995), y en el del pharming, maquinal del art. 248.2 del CP (LA LEY 3996/1995), sino que son claras acciones ilícitas de un complejo delictivo.
Desde el punto de vista de los scammers (que suelen actuar en banda de personas procedentes de países del Este de Europa y en las que, quien realiza las web falsas —webproofing— suelen ser antiguos empleados informáticos al servicio de sus extintos regímenes políticos), la sofisticación de conocimientos técnicos y lo masivo de sus ataques les hace muy diferentes del mero defraudador solitario que estafa sin apenas conocimientos informáticos y mediante artesanales ataques víctima a víctima.
Por eso, el «robo de identidad» que supone suplantar la identidad de una Entidad bancaria (o de otra empresa) simulando su página web, ya sea en web específica falsa, ya en enlace a la misma a través del correo-e, «troyano», etc. o redireccionando las señas correctas a través de manipulaciones en el DNS que llevan a la web réplica, constituye un auténtico delito de falsedad en documento mercantil .
Por eso, el «robo de datos» constituye contra quienes «piquen» un delito de descubrimiento de datos informáticos secretos, previsto en el art. 197.2 del CP (LA LEY 3996/1995) pues se ataca el derecho a mantenerlos reservados, que forma parte de su esfera de la privacidad (o protección de datos del art. 18.4 de la CE (LA LEY 2500/1978)), lo que permitiría al cedente «a pesar de su no consentimiento», procesalmente, personarse como Acusador particular.
Finalmente, si los datos obtenidos mediante estas vías torticeras se usan y a su través se consiguen «robos de dinero», apoderamientos patrimoniales inconsentidos o ilícitos (dinero, objetos), los scammers cometen un delito de estafa informática previsto en el art. 248 del CP (LA LEY 3996/1995).
Como complejos delictivos que son el phishing y el pharming («robo de identidad, para robo de datos, para robo de dinero»), su caracterización en conjunto sirve para apreciar un mayor plazo a su prescripción, y ayuda a la aplicación de agravantes específicas como la referente al valor de la defraudación a que se contrae el art. 250.6 del CP (LA LEY 3996/1995), y se pena conforme a las normas del concurso de delitos del art. 77 del CP (LA LEY 3996/1995).
Sin embargo, la dinámica comisiva de estas modalidades de fraude en la Red en la vida real se complica porque las bandas organizadas de scammers de la Europa del Este (Rusia, Bielorrusia, Ucrania, Estonia, etc.) que suelen realizarlos, no practican ataques informáticos aislados, sino masivos, y por ello la emisión de correos-e o «troyanos» con enlaces a la página web falsa sobre la que se pretende generar el error que lleve a las múltiples víctimas a ceder inconsentidamente sus datos informáticos secretos, constituye, además, una continuidad delictiva (muy difícil de probar) que debe penarse conforme a la regla prevenida en el art. 74 del CP (LA LEY 3996/1995), debiendo la pena llegar a alcanzar la mitad superior de la infracción más grave, e incluso pudiendo llegar al grado inferior de la pena superior.
Ello si no concurriera la actuación criminal en concurso con el delito de asociación ilícita del art. 515 del CP (LA LEY 3996/1995), pues las pocas bandas desarticuladas policialmente en la práctica (debido a la complicación derivada de la transnacionalidad de su actuación delictiva) han demostrado estar muy estructuradas, bien jerarquizadas y tener un sofisticado reparto de las tareas criminales: el informático, los distribuidores de correos-e, los recaudadores de los ingresos, el organizador, etc. En el fenómeno del phishing y del pharming la figura que más se ha puesto en evidencia es el llamado «phisher-mule» o «mulero», cuya implicación en la trama delictiva es estadísticamente más frecuente, dado el mayor número de ellos que están siendo detenidos por los Cuerpos y Fuerzas policiales.
Los scammers, una vez lanzan sus ataques masivos a la «pesca» de víctimas, paralelamente usan el llamado «teletrabajo» informático para buscar colaboradores que desde España les ayuden a transportar (de ahí la expresión «mulero») de regreso a su país de origen el producto económico de sus ilícitas actividades. Para ello, de forma paralela, a través de las ofertas de trabajo por Internet, requieren de quienes estén dispuestos a trabajar desde casa o simplemente a tiempo parcial, sus servicios y, a cambio tan sólo de abrir una cuenta bancaria en España, recibir varias transferencias económicas y enviarlas a las señas en Europa del Este que se les irá comunicando a través de empresas de paquetería postal, se les autoriza a que descuenten un porcentaje económico (entre el 5 y el 10%), que será la remuneración por su «trabajo».
Ni que decir tiene que la cuenta corriente bancaria que abre el «mulero» (llamada cuenta «puente» o cuenta «nido») no es sino la que recoge todos los ilícitos ingresos obtenidos de las múltiples masivas víctimas del phishing o del pharming que día a día van «picando» y entregando sin querer sus datos bancarios reservados. De esta forma, el «mulero», en la cuenta «nido» bancaria que abre, recoge sin saber, gota a gota y día a día, el total de las múltiples transferencias fraudulentas que los scammers hacen (a quienes éste desconoce, y que suelen usar varios «muleros» distintos a la vez para minimizar sus pérdidas y diversificar riesgos), y les envía por paquetería postal Express un 95 % de sus «ganancias» (a identidades falsas en sus países de origen), propiciando con su conducta la impunidad de los atacantes extranjeros, que así cierran y agotan el apoderamiento delictivo fraudulento.
Es decir, que la actitud del «mulero» se puede incardinar en el dolo eventual y le es de aplicación la jurisprudencia sobre quien se sitúa en lo que el Tribunal Supremo ha venido llamando "posición de ignorancia deliberada".
Sin embargo, la acción de los «muleros», descartada su participación como encubridores del art. 451 CP (LA LEY 3996/1995), dado su ánimo de lucro propio, puede tener un tratamiento penal autónomo y diferente de la de los autores del complejo delictivo triple que es el phishing y el pharming, pues, lejos de atacar los bienes jurídicos que se protegen castigando a los scammers, la actitud del «mulero» trasluce más conductas cercanas a las propias de los receptadores.
Pena el art. 298 del CP (LA LEY 3996/1995) como reo de receptación a quien con ánimo de lucro, y con conocimiento de la acción de un delito contra el patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera u oculte tales efectos.
Ahora bien, como lo que recepta el «mulero» es más dinero que objetos, parecería penalmente más específica la clasificación de su conducta como la propia de un blanqueador de capitales, pues en todo cumple los requisitos previstos en el art. 301 del CP (LA LEY 3996/1995). Sin embargo, y pese a haber enormes dificultades dogmáticas para diferenciar el blanqueo de capitales de la receptación, aplicando el beneficio pro reo y la doctrina de la sentencia del Tribunal Supremo de 19 de diciembre de 2003, parece la acción del «mulero» más incardinable en la de receptación.
En fin, el próximo mes de mayo preveo que aparecerá publicado en este mismo blog la 3ª Parte de esta serie de artículos sobre la "Responsabilidad Civil en los fraudes de la Ingenieria Social y Técnica". Simultáneamente, en mayo comenzará una larga caminata de reclamaciones civiles contra la entidad Barclays ante el Banco de España... De dicha experiencia aprenderemos lo suficiente como para ir pensando en el proyecto de publicar algo más en el futuro que complete toda la serie: "La Responsabilidad Social Corporativa de las Entidades Financieras y el Riesgo Reputacional ante los fraudes bancarios"... TO BE CONTINUED
.JPG)