JULIO - SEPTIEMBRE 2008 · 6LEX NOVAla revista

I N FORME

Un fenómeno crecienteHoy en día cualquier usuario de inter-net está acostumbrado al bombardeo permanente al que se ven sometidas nuestras cuentas de correo electróni-co con mensajes spam de procedencia desconocida y contenido sospechoso. El problema se complica cuando dichos envíos van evolucionando hacia moder-nas figuras ilícitas (phishing, smishing, pharming...) cuyo único fin es estafar, mediante engaños y técnicas de suplan-tación de identidad, al destinatario final de los e-mails.

Según un informe del Instituto Na-cional de Tecnologías de la Comuni-cación (INTECO) España se sitúa en el tercer puesto de los países más ataca-dos por este tipo de conductas, las cuales han pasado de suponer un perjuicio úni-camente para los ciudadanos de a pie (derivado de lo que podríamos calificar como una mutación de los tradicionales «timos») a afectar a grandes compañías bancarias y mercantiles e, incluso, a or-ganismos básicos de la Administración del Estado.

A todo ello se une la dificultad de persecución y enjuiciamiento de esta clase de comportamientos, ya que todos ellos tienen como características comunes la internacionalización de los delitos, la distancia entre delincuente y víctima, la ubicuidad en la ejecución y la complejidad del entramado puesto en marcha para la consecución de sus oscuros fines.

Los delitos informáticos en nuestro ordenamientoAunque no existe ni una regulación espe-cífica ni una definición unitaria al respec-to, se puede considerar como delito in-formático aquella conducta ilegal llevada a cabo mediante el uso de tecnologías de la información y/o comunicaciones.

En este sentido, nuestro sistema le-gislativo ha ido encuadrando las múlti-ples versiones delictivas de este ámbito en las tradicionales figuras penales dado el amplio abanico de bienes y dere-chos afectados. De este modo, podemos repasar los siguientes delitos y faltas de base tecnológica:

— Delitos contras las personas: Por un lado, cabe referirse a las amena-zas, calumnias e injurias, ya que todas ellas pueden realizarse o pro-pagarse por diferentes medios entre los que se incluye, necesariamente, internet.Mención aparte merece la lucha contra la pornografía infantil en la red. El propio Código Penal aparte de sancionar la inducción y promoción de la prostitución de los menores (ar-tículo 187), tipifica de manera expresa la producción o su facilitación, por cualquier medio, de este tipo de ma-terial así como el uso propio e indivi-dual del mismo (artículo 189).— Estafa informática: Según el tenor literal del artículo 248.2 CP también se consideran reos de estafa los que,

Phishing y otros delitos informáticos:el uso ilícito de Internet

Jaime Barbero Bajo

La frenética evolución del panorama electrónico a nivel mundial ha traído consigo la aparición de un sinfín de conductas ilegales, ejecutadas mediante la utilización de las nuevas tecnologías. Las páginas siguientes repasarán los fraudes y estafas más comunes en la red y la respuesta que legislador y tribunales ofrecen a un fenómeno cuya creciente y cambiante realidad lo convierten en uno de los principales enemigos a combatir en el siglo XXI.

Revista 53.indb 6 17/9/08 09:38:38

JULIO - SEPTIEMBRE 2008 · 7

I N FORME

LEX NOVAla revista

con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la trans-ferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. Asimismo, el apartado 3 del mismo precepto incluye dentro de este tipo la fabricación, introducción, posesión o facilitación de programas de ordenador específicamente des-tinados a la comisión de las estafas. El fenómeno denominado phishing constituiría un supuesto enjuiciable bajo el 248.2 mientras que el malware (o software malicioso, es decir, la crea-ción de archivos o descarga de progra-mas generadores de daños) lo sería bajo el prisma del 248.3.

— Daños a la propiedad y a bienes informáticos: Regulados expre-samente en el artículo 264.2 CP, se impondrá pena de multa de 6 a 24 meses al que por cualquier medio destruya, altere, inutilice o de cual-quier otro modo dañe los datos, pro-gramas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

No obstante, la protección contra estos daños es relativa ya que para hallarse amparados por nuestro sistema penal éstos deben superar un perjuicio eco-nómico de 400 euros y las dos terceras partes de los ataques llevados a cabo con éxito no alcanzan dicha cifra.

— Delitos relativos a la propiedad intelectual: La práctica totalidad de las variantes de esta clase de delitos recogidos en el artículo 270 CP (por ejemplo, reproducción, plagio, dis-tribución de obras sin autorización) se cometen mediante el uso de orde-nadores u otros medios telemáticos.— Descubrimiento y revelación de secretos: Los artículos 197 a 201 CP y 278 a 280 CP (secretos de empresa) tipifican como delito el apodera-miento, difusión, cesión y utiliza-ción en beneficio propio de secretos de empresa por captación de datos y documentos electrónicos, soportes informáticos, etc.— Falsedad documental: Ha de en-tenderse dentro de los tipos recogi-dos en el Código Penal (artículos 390 y siguientes) la falsificación de uni-dades y soportes informáticos ya que dichos contenidos gozan de plenos efectos legales desde un punto de vista documental.

El phishing y otros fraudes en la red¿En qué consisten las nuevas estafas? ¿Qué persiguen los comportamientos ilícitos más habituales? ¿Qué significa-do tienen sus denominaciones anglo-sajonas?

Repasaremos a continuación algunas de las figuras más recurridas por los de-lincuentes para aprovecharse de los usuarios haciendo especial hincapié en el phishing, ya que dicho fenómeno, en constate evolución, supone, actualmen-te, el ataque más propagado y habitual en la red y el punto de partida, en cierto modo, del resto de agresiones informáti-cas fraudulentas.

PhishingEs el delito informático más en auge ac-tualmente. Se estima que uno de cada veinte e-mails alcanza su objetivo.

El término, utilizado por primera vez en 1996, proviene de la voz inglesa fishing (pesca) lo cual constituye una analogía entre el delito en cuestión y la práctica deportiva ya que los phishers arrojan cebo o anzuelos en el mar donde navegan (internet) a la espera de que algún usuario «pique» de buena fe.

Revista 53.indb 7 17/9/08 09:38:40

I N FORME

JULIO - SEPTIEMBRE 2008 · 8LEX NOVAla revista

La esencia característica del fraude que nos ocupa surge de la combinación de cinco elementos básicos:

1. Utilización de técnicas de inge-niería social aprovechándose del desconocimiento y debilidades de los interesados.

2. Uso de las tecnologías de la infor-mación de forma masiva.

3. Empleo de redes de comunica-ción, en concreto, internet.

4. Suplantación de identidad de una empresa u organismo de confi an-za de la víctima.

5. Voluntad de lucrarse a costa del per-juicio patrimonial de un tercero.

En concreto, la práctica del fraude consiste en el intento de adquisición de datos confi denciales de la víctima (números de cuentas bancarias, identi-fi cadores de la Seguridad Social, tarjetas de crédito, logins, contraseñas, números PIN, etc.) mediante la suplantación de identidad a través de una simulación de una página web de confi anza.

El ejemplo más claro de phishing lo sufren las entidades de crédito y sus clientes a los que, sirviéndose de la propia imagen y denominaciones cor-porativas, se les solicita informaciones personales destinadas a la realización de operaciones bancarias argumentan-do una reactivación del sistema o una implantación de medidas de seguridad. Si la víctima cae en el engaño, su cuenta puede verse disminuida de manera con-siderable en cuestión horas.

Ahí no queda la cosa ya que otros de los afectados directos de la estafa han sido, ni más ni menos, el servicio de cita previa de DNI electrónico y la Agencia Tributaria (AEAT). En este último caso, a través de un correo que informa de una supuesta reducción en la base imponible del IRPF, se redirecciona al destinatario a un sitio web que imita la propia de la AEAT. Una vez allí se solicitan datos fi -nancieros y claves secretas para acceder al patrimonio de las víctimas.

El propio phisher culmina sus planes sirviéndose de los denominados «muleros» o «mulas». Se denomina con dicho apelativo a aquel intermediario del delincuente que habiendo aceptado una

supuesta oferta lícita de trabajo, a cambio de una contraprestación económica, recibe y transfi ere, a través de cuentas corrientes abiertas a su nombre, grandes cantidades de dinero. Con ello, el phisher no deja rastro de su identidad al servir-se de los movimientos que el propio «mulero» realiza en benefi cio de aquél.

Cabe destacar que, a pesar de actuar, en muchos casos, de buena fe, recientes

decisiones judiciales consideran a esta fi gura responsable de la estafa, ya que la ignorancia del operativo no exime de culpabilidad.

SpamDirectamente relacionado con el ante-rior, no es considerado como delito por nuestro sistema penal aunque el envío de este tipo de correos está regulado en

Revista 53.indb 8 17/9/08 09:38:42

I N FORME

JULIO - SEPTIEMBRE 2008 · 10LEX NOVAla revista

SENTENCIA DEL TRIBUNAL SUPREMOSALA DE LO PENAL

DE 12 DE JUNIO DE 2007

“[...]Los hechos se re� eren a que ambos, junto con otras personas también condenadas y no recurrentes, aceptaron abrir cuentas corrientes en la entidad XXX donde recibieron transferencias con cargo a otras cuentas de clientes auténticos del XXX que terceras per-sonas, valiéndose de un falso duplicado de la página web del Banco habían accedido a las claves secretas de tales clientes. Conocidas todas las claves efectuaban las transferencias

a las cuentas abiertas por ambos recurrentes y los otros condenados.

[...]

Por lo que se re� ere a la vulneración del derecho a la presunción de inocencia, realmen-te no se denuncia vacío probatorio alguno sino que los recurrentes sólo se limitaron a aperturar una cuenta donde se efectuaron unos ingresos desconociendo todo el resto de la trama, y por supuesto, la identidad de los titulares de las cuentas desde las que se or-denaban las transferencias y que resultaron perjudicados, ni si actuaron los terceros con consentimiento de los perjudicados, y se concluye que esta ignorancia les causa indefen-

sión, por ello se dice que no existió engaño y por tanto no existió estafa.

[...]

La argumentación es insostenible [...] Se está ante un caso de delincuencia económica de

tipo informático de naturaleza internacional en el que los recurrentes ocupan un nivel in-ferior y sólo tienen un conocimiento necesario para prestar su colaboración, la ignorancia del resto del operativo no borra ni disminuye su culpabilidad porque fueron conscientes de la antijuridicidad de su conducta, prestando su conformidad con un evidente ánimo de enriquecimiento, ya supieran, no quisieran saber --ignorancia deliberada--, o les fuera indi-ferente el origen del dinero que en cantidad tan relevante recibieron. Lo relevante es que se bene� ciaron con todo, o, más probablemente, en parte como “pago” de sus servicios, es obvio que prestaron su colaboración e� ciente y causalmente relevante en una actividad antijurídica con pleno conocimiento y cobrando por ello no pueden ignorar indefensión

alguna, por su parte la “explicación” que dieron de que no pensaban que efectuaban algo

ilícito es de un angelismo que se desmorona por sí sólo.

[...]

Sobre la inexistencia de engaño por parte de los recurrentes, sólo recordar que dada la estructura de la estafa informática, y estamos en una estafa cometida a través de una transferencia no consentida por el perjudicado mediante manipulación informática, en tales casos no es preciso la concurrencia de engaño alguno por el estafador. En tal sentido, STS de 20 de noviembre de 2001 y ello es así porque la asechanza a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de

tercero, precisamente porque existe la manipulación informática y por ello no se exige el

engaño personal.”

A continuación reproducimos parte de la Sentencia del Tribunal Supremo, Sala de lo Penal, de 12 de junio de 2007 (Rec. 2249/2006) en la que dos «muleros», condenados por estafa tras demostrarse su participación en una trama de phishing, denuncian una vulneración del derecho de presunción de inocencia alegando un desconocimiento absoluto del entramado ilegal.

Revista 53.indb 10 17/9/08 09:38:54

I N FORME

LEX NOVAla revista

JULIO - SEPTIEMBRE 2008 · 9

el artículo 21.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la in-formación y de comercio electrónico, el cual prohíbe explícitamente el envío de comunicaciones publicitarias o pro-mocionales por correo electrónico u otro medio de comunicación electrónica equi-valente que previamente no hubieran sido solicitadas o expresamente autoriza-das por los destinatarios de las mismas.

Dicha norma tipifica en su artícu-lo 38.3 como infracción grave el envío masivo de comunicaciones comerciales por correo electrónico o el envío, en el plazo de un año, de más de tres comu-nicaciones comerciales por los medios aludidos a un mismo destinatario. Las multas en estos supuestos pueden oscilar entre los 30.001 y los 150.000 euros [ar-tículo 39.1.b)].

SmishingEs una variante del phishing a través del envío de mensajes SMS de telefonía móvil. La pauta de actuación es idénti-ca se produce una suplantación de iden-tidad que culmina en un engaño para acceder a los datos que permitan obtener a los delincuentes un beneficio moneta-

rio a costa del destinatario de los mensa-jes.

PharmingSin duda alguna, uno de los delitos in-formáticos más peligrosos, debido a que se produce una intervención de las propias comunicaciones del usuario de internet de manera que cuando éste teclee una dirección web correcta en su IP será reconducido a una imitación fiel de la página deseada en la cual, sin haberse percatado de la argucia, intro-ducirá los datos pretendidos por los de-lincuentes.

Depósitos en garantía (Escrow)Surgen en las operaciones de venta a través de internet aprovechándose de la creación de empresas consignatarias legales a las que se realiza el pago como garantía hasta que el comprador recibe el bien en cuestión y muestra su confor-midad.

Los estafadores simulan falsas com-pañías consignatarias a través de las cuales se hacen con el dinero de la su-puesta compraventa, por un lado, y ob-

tienen datos de la víctima para sucesi-vas estafas, por otro.

Cartas nigerianasEstafa proveniente de África (de ahí su nombre), su modus operandi consis-te en solicitar a la víctima sus servicios para transferir ciertas cantidades de dinero o bienes alegando imposibilidad por motivos burocráticos y prometien-do sustanciales comisiones. El delito se consuma cuando el propio destinatario, tras recibir innumerables extractos y co-municaciones bancarias falsas que apa-rentan veracidad, debe adelantar unas cantidades en concepto de tramitación.

Opiniones doctrinales— Los propios juristas no coinciden a la hora de proponer un tratamiento de esta clase de comportamientos delictivos. De este modo, aunque la mayor parte de la doctrina se posiciona en exigir una re-gulación específica de los ciberdeli-tos, habida cuenta de las nuevas reali-dades tecnológicas, otro sector niega la existencia de los delitos informáticos como tales, afirmando que no dejan de constituir figuras ya tipificadas con la única especialidad de utilizar como he-rramienta un ordenador.

Como ya hemos visto, nuestro Código Penal regula de manera con-junta, dentro de los tipos tradicionales, algunas de las diferentes posibilidades de comisión «tecnológica» de los delitos. No obstante, teniendo en cuenta la veloz y dinámica evolución de los medios, nuestro ordenamiento deberá adaptar-se para no dejar sin castigo conductas de tan significada y trascendente gravedad.— Por otro lado, los expertos consul-tados proponen, entre otras, como medidas a adoptar para hacer frente al fraude informático la formación perma-nente de jueces y fiscales; la creación de unidades especiales para instruir estas conductas; la armonización de la legis-lación europea en lo referente tanto a la tipificación de los delitos como a la regulación de las operaciones comer-ciales y flujos monetarios en la red, o la imposición de medidas preventivas que agilicen la detención de los respon-sables cuando se tengan fundadas sos-pechas.

Revista 53.indb 9 17/9/08 09:38:45