calificación jurídica del mulero en el phising
TRANSCRIPT
Calificación jurídica más apropiada para los muleros en comportamientos
de Phising: estafa o blanqueo ¿doloso o imprudente?
Concepto y algunos tipos de Phising
Los avances en las nuevas tecnologías han posibilitado la evolución de la banca hacia lo
que hoy día se conoce como banca online o electrónica. Estos progresos además de
implicar numerosas ventajas para los actores implicados en las transacciones también
han introducido un gran número de incertidumbres debidas a la falta de seguridad y de
conocimiento sobre el e-banking. Igualmente han surgido nuevas técnicas delictivas
cuyo objetivo es la transferencia de fondos desde una cuenta bancaria sin la autorización
del titular de la misma.
Entre las nuevas modalidades delictivas podemos encontrar el Phising,se trata de una
técnica delictiva que busca la obtención de forma engañosa y fraudulenta de los códigos
de usuario y contraseña de los clientes de banca online. Una vez obtenidos los códigos,
los delincuentes realizan transferencias económicas no consentidas por el titular a una
cuenta creada por un tercero, normalmente ajeno a la trama, que a su vez recibe los
fondos y los transfiere a un país que asegure la impunidad del desapoderamiento por no
contar con mecanismos jurídicos de cooperación judicial. La participación de dichos
terceros, denominados mulas o muleros, permite a la trama extraer los fondos
transferidos sin autorización del titular original sin levantar o suscitar sospechas de la
entidad bancaria de recepción de los mismos.
Formas de conseguir los códigos de usuario y contraseña: phising y pharming
Phising: la técnica de phising más conocida es el envío por parte de los delincuentes de
un mail a un cliente de banca online, en el correo aparece una imitación de la cabecera
del mensaje como si fuera la entidad bancaria del usuario, incluso utiliza mismos logos
y símbolos, en el mismo se pide al usuario que renueve sus claves de acceso
introduciéndolas en los apartados dispuestos para ello. Una vez introducida la
información los delincuentes aprovechan para realizar transferencias no autorizadas. La
finalidad de esta técnica es la obtención del login, password y firma electrónica del
usuario para posteriormente hacerse pasar por él ante la entidad bancaria online.
Otra técnica de phising muy utilizada es la instalación de troyanos, los autores del ilícito
acceden al ordenador de las víctimas con un programa o software aparentemente
inofensivo pero que al ejecutarlo instala en el ordenador un segundo programa, el
llamado troyano, éste permite realizar intrusiones o ataques contra el ordenador
afectado. El delincuente puede capturar todos los textos que el usuario introduzca
mediante el teclado o incluso mediante un teclado virtual (técnica de seguridad utilizada
en la banca electrónica que ya está superada por los delincuentes mediante el estudio del
movimiento del ratón) permitiendo a los infractores registrar las contraseñas
introducidas por el cliente del banco online. En muchas ocasiones se utilizan trojan
proxy, este tipo de troyano proporciona anonimato a los delincuentes ya que acceden a
internet y realizan las órdenes de transferencia desde el equipo de la víctima, dejando el
rastro de la dirección IP del equipo manipulado y no la original del delincuente.
Pharming: utilizan una página web casi idéntica a la de una entidad bancaria (web
spoofing) y la conectan a un servidor para que los usuarios del banco la utilicen como si
fuera la original, los clientes engañados y confiados introducen sus datos secretos que
son obtenidos por los delincuentes. Se trata de una modificación técnica de las
direcciones DNS del servidor informático o del archivo de host, tras esto quien solicita
una página web, normalmente de un banco online, ya sea mediante el tecleo de la
dirección, desde un buscador o desde favoritos, no accede a la web solicitada sino que
es redireccionada a la imitación de la web del banco, entregando voluntariamente las
claves de acceso al autor del ilícito.
La jurisprudencia ha llegado a un acuerdo unánime valorando esta modalidad delictiva
como estafa informática, art. 248.2 CP. A este respecto hay autores que sostienen que es
difícil considerar el phising como estafa informática, de acuerdo con el profesor Óscar
Morales García, la manipulación informática tiene que tener la finalidad de conseguir la
transferencia no consentida de activos patrimoniales, objeto que no se da en el phising
puesto que la manipulación busca la obtención de las claves de la cuenta, la
transferencia es posterior a dicha manipulación y podrá o no llegar a realizarse. La única
forma de incluir el phising como estafa informática es la interpretación analógica de
manipulación informática o artificio semejante. En todo caso, la manipulación se
produce en una etapa anterior a la transferencia no consentida de activos patrimoniales y
el resultado de la técnica suele ser la obtención de los códigos de usuario y contraseña.
Calificación Jurídica del mulero
El denominado mulero es la persona que controla la cuenta corriente a través de la que
circula el activo patrimonial transferido por parte de los delincuentes sin consentimiento
de su titular.
Normalmente el mulero no forma parte de la trama delictiva. La práctica consiste en
enviar una oferta de teletrabajo a la cuenta de correo electrónico de un usuario al que
ofrecen importantes remuneraciones económicas como retribución. El trabajo consiste
en recibir transferencias de dinero en una cuenta corriente abierta por el mulero, el
dinero se puede pensar que procede de actividades económicas legales realizadas en
España por la empresa que ofrece el empleo, una vez recibido el dinero tiene que retirar
el mismo restando una comisión para él y enviarlo mediante Western Union a otra
persona. Supuestamente todo el proceso se realiza para conseguir ventajas fiscales para
la empresa ofertante, sin embargo, el dinero proviene de transferencias realizadas sin el
consentimiento de los titulares de las cuentas iniciales, a quienes previamente les han
sustraído las claves de acceso mediante engaño.
La calificación de la conducta reprochable al mulero no está exenta de problemas, la
jurisprudencia no es unánime a la hora de catalogar su responsabilidad penal.Desde
hace unos años se han venido dictandovarias sentencias que se apoyan en diferentes
criterios, unas veces consideran tal conducta como estafa informática (art. 248.2 CP) y,
otras veces, como delito de blanqueo de capitales por imprudencia grave (art. 301.3
CP).Como ejemplo de esta falta de unanimidad se pueden mencionar la sentencia
adoptada por la Audiencia Provincial de Tenerife, que califica como estafa informática
la conducta del mulero, siguiendo los criterios establecidos por la sentencia del Tribunal
Supremo de 12 de junio de 2007. En el lado contrario se puede citar la sentencia
adoptada por la Audiencia Provincial de Málaga calificando la conducta del mulero
como delito de blanqueo de capitales por imprudencia grave. La primera sentencia
citada se dictó el 9 de diciembre de 2013, mientras la segunda es de 23 de octubre de
2013, ambas son muy recientes y muestran que a pesar de que el número de casos va en
aumento,debido a las circunstancias económicas actuales, los criterios siguen sin
unificarse creando una alarmante inseguridad jurídica.
Análisis de su calificación como estafa informática
El 248.2 CP relativo a la estafa informática castiga a quienes, valiéndose de alguna
manipulación informática o artificio semejante, consigan una transferencia no
consentida de cualquier activo patrimonial en perjuicio de tercero. Visto el artículo
parece difícil subsumir la conducta del mulero en la estafa informática, sin embargo, es
necesario realizar el análisis de distintas cuestiones.
La primera cuestión que hay que plantearse es sí los muleros son realmente
responsables, o, si por el contrario, su actuación está regida por el error, el
desconocimiento y el engaño quedando su conducta sin responsabilidad penal, la figura
de la estafa requiere de conciencia y voluntad de la acción engañosa. En la mayor parte
de los casos presentados antes los jueces y tribunales, los muleros alegan en su defensa
que han sido engañados y que ellos también son víctimas de los verdaderos
delincuentes. Los muleros realizan tareas de colaboración siendo utilizados por los
scammers,quienes para no venir al país y exponerse a una posible identificación utilizan
a éste tercero al que transfieren el dinero ilícitopara que posteriormente lo retire en
metálico y lo envíe a un país sin acuerdo de colaboración judicial, países como
Tayikistán o Ucrania.
El punto anterior tiene importancia ya que el delito de estafa informática previsto y
penado en el 248.2 CP requiere de la acreditación de un elemento intencional o doloso.
Suponiendo que la estafa informática sea la calificación correcta de la conducta del
mulero nos vamos a encontrar ante un problema de valor probatorio, habría que probar
que el mulero conoce de la ilicitud del dinero transferido a su cuenta y del perjuicio que
se le está causando a un tercero, asunto que no es tarea fácil ya que la mayoría de las
veces el mulero actúa mediante engaño y sin conocimiento acerca de la procedencia del
dinero.
Concepto de ignorancia deliberada
De las sentencias dictadas respecto del phising debemos considerar el concepto de
ignorancia deliberada que está siendo utilizado por jueces y tribunales para atribuir
responsabilidad penal al mulero. De acuerdo a las sentencias, cualquier persona de tipo
medio podría haber tenido sospechas sobre la licitud de la actividad o supuesto trabajo
que se le ofrecía por personas desconocidas, además, no es normal obtener tantos
beneficios por una actividad de tan escasa especialización y valor.De la inobservancia
del deber de cuidado se está deduciendo que en la actuación del mulero concurre un
dolo eventual, resulta tan obvio que la oferta puede ser ilícita que es muy difícil no
imaginar que el sujeto en algún momento tuvo dudas acerca de la procedencia del
dinero. Por tanto,se puede concluir que actúa con ignorancia deliberada la persona que
pudiendo y debiendo conocer no quiere saber.
La ignorancia deliberada es un concepto desconcertante, ¿Cómo se puede actuar con
dolo desde la ignorancia? En todo caso podríamos hablar de imprudencia o falta de
diligencia en la comprobación de la oferta pero no presuponer el dolo directo o eventual
que requiere la estafa informática. En muchos casos los muleros actúan bajo lo que en
apariencia es un contrato laboral legal, da igual incluso el nivel de estudios que tenga la
persona, las actuales consecuencias de la crisis económica hacen que haya personas a
quienes se le nubla el juicio hasta el punto de aceptar “cualquier cosa” ¿Qué tipo de
cautelas se le deben pedir a los desempleados? La oferta de empleo suele revestir una
apariencia de legalidad y suele encontrarse en sitios webs que ofrecen garantías, como
pueden ser buscadores de empleo, tales como www.infojobs.com o
www.infoempleo.com. Igualmente, si el mulero recibe la información por mail y decide
investigar sobre la empresa ofertante, en muchas ocasiones, se topa con una página web
creada por la falsa empresa donde ofrece información con el fin de engañar a los
visitantes. El hecho de que se pueda pensar que detrás de la oferta de empleo hay algo
turbio no puede considerarse como conocimiento efectivo de la ilicitud del dinero y del
perjuicio a un tercero. Para que exista el dolo no basta con que haya una ignorancia
deliberada, debe haber un acuerdo entre el mulero y los delincuentes, convirtiéndose
todos en una trama delictiva, si el mulero actúa sin conocimiento (no ha participado en
el plan) de que el dinero que le transfieren ha sido sustraído de un tercero no se le puede
culpar por estafa informática.
En conclusión, para que se pueda subsumir la conducta del mulero en la estafa
informática habría que acreditar que conoce del delito previo, del origen ilícito del
dinero recibido en su cuenta corriente y del perjuicio que está realizando a tercero ajeno.
Otra cuestión distinta e igualmente complicada versa sobre sí la conducta del mulero se
encuentra dentro de la estafa informática o sí, por el contrario,la realiza una vez el delito
ya se ha consumado. Los que defienden que no se puede englobar en la estafa
informática se apoyan en que el mulero no interviene en la manipulación informática,
que es la base de la defraudación del 248.2, no participadel artificio informático a través
del cual obtienen las claves de usuario y contraseña de la cuenta cliente del tercero
perjudicado, igualmente tampoco participa en la transferencia del dinero desde la cuenta
corriente inicial. El mulero participa en una actividad independiente y posterior a la
estafa informática.
La segunda posición defiende que la conducta del mulero es decisiva para la
consumación del delito, sostiene que la apertura de una cuenta corriente con la finalidad
exclusiva de ingresar el dinero procedente de la actividad ilícita es un acto clave para la
consumación del delito de estafa. En la mayoría de los casos, al delincuente no le
bastará con el conocimiento de las claves de acceso a la cuenta cliente, sino que
requerirá la transferencia del dinero a un sitio seguro.Esta postura es difícil de sostener,
primero, el mulero no abre la cuenta con la intención de que se transfieran fondos de
origen ilícito, y segundo, el art. 248.2 se introdujo en el Código Penal pensando en
tipificar como estafa los actos de apropiación de patrimonios ajenos realizados mediante
manipulaciones en máquinas, cajeros automáticos principalmente, la conducta engañosa
es hacerse pasar por quien no se es delante de la máquina en perjuicio de tercero, la
estafa informática termina con la sustracción del dinero ajeno, sin necesidad de la
transferencia o traslado del mismo a un sitio seguro. Por tanto, se puede pensar del
origen del 248.2 que la conducta de la estafa concluye cuando el dinero ha sido
sustraído, con lo cual todo acto posterior se considera como un acto independiente del
delito de estafa.
Análisis de su calificación como delito de receptación
Una parte de la doctrina sostiene que para el caso en que el mulero actúe con dolo su
conducta coincide con la tipificada en el art. 298 CP. El delito de receptación castiga a
quien con ánimo de lucro y con conocimiento de la comisión de un delito contra el
patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni
como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o
reciba, adquiera u oculte tales efectos. Por tanto, si partimos de que el mulero actúa en
una segunda etapa del phising, posterior e independiente de la estafa informática, su
actividad encajaría con la tipificada en el 298 CP, siempre que se acredite tanto el ánimo
de lucro, no suele presentar problemas en la práctica, como el conocimiento efectivo de
la comisión de un delito contra el patrimonio de un tercero ajeno.
La intervención del mulero consiste en la recepción y posterior colocación del dinero en
países con los que no existen mecanismos de cooperación judicial. Ayuda a los
responsables de la estafa informática a aprovecharse de los efectos del delito, realizando
la transferencia del dinero ajeno a un tercer país, alejándolo del alcance de las
investigaciones judiciales y asegurando la impunidad de los delincuentes.
Análisis de su calificación como delito de blanqueo de capitales por
imprudencia grave
La actividad del mulero en el delito de phising es la recepción de transferencias de
dinero en su cuenta corriente para posteriormente realizarsu envío en metálico mediante
la Western Union a una tercera persona,quedándose con una comisión que en la mayoría
de los casos es de un 7%.
El art. 301 relativo al delito de blanqueo de capitales sanciona a quien adquiera, posea,
utilice, convierta, o transmita bienes, sabiendo (es decir, con conocimiento doloso) que
los mismos tienen su origen en un delito realizado por él o por cualquier tercera
persona, o realice cualquier otro acto para ocultar o encubrir su origen ilícito o para
ayudar a la persona que haya participado en la infracción o infracciones a eludir las
consecuencias legales de sus actos. Éste primer párrafo requiere que el sujeto conozca
de la actividad delictiva o realice actos para ocultar o encubrir su origen ilícito, es decir,
tiene que tener un conocimiento efectivo de la ilicitud de la actividad. Por tanto, no se le
pueden atribuir al mulero las sanciones de este primer apartado en los casos en que éste
actúe sin dolo.
Sin embargo, el párrafo 3º de dicho artículo 301 tipifica la conducta del primer apartado
para el caso de actuar con imprudencia grave. El legislador ha tipificado la actuación
con imprudencia grave al considerar que la misma es sancionable cuando la persona
incurre en una grave dejación del deber de diligencia exigible o esperable de cualquier
persona precavida.
No se plantean dudas sobre el encaje de la conducta del mulero en el 301.3 CP relativo
al delito de blanqueo de capitales por imprudencia grave. No resulta necesario que el
delito previo de estafa haya sido juzgado para condenar las acciones de blanqueo puesto
que haría imposible la práctica aplicación del 301 CP.
Bibliografía
Muñoz Cuesta, Francisco Javier: Estafa informática: introducción de datos falsos en
operaciones mercantiles vía internet. Revista Aranzadi Doctrinal número 1/2009
Morales García, Óscar: Derecho penal y sociedad de la información. Principios de
derecho de la sociedad de la información, coordinador, Miguel Peguera Poch, Aranzadi
2010
Velasco Núñez, Eloy: Estafa informática y banda organizada, phising, pharming,
smishing y “muleros”. La ley Penal, número 49, mayo 2008
Velasco Núñez, Eloy: Fraudes informáticos en red: del phising al pharming. La ley
Penal, número 37, abril 2007.
Bibliografía Jurisprudencial
Sentencia Audiencia Provincial de Tenerife de 9 de diciembre de 2013
Sentencia Audiencia Provincial de Málaga de 23 de octubre de 2013
Sentencia Audiencia Provincial de Barcelona de 8 de octubre de 2013
Sentencia Audiencia Provincial de Ávila de 18 de febrero de 2013