Phishing
¿Qué es el phishing?
Abogado Phishing
El phishing es un tipo de estafa a través de medios informáticos que persigue la obtención de información personal de las víctimas, como números de tarjetas de crédito, claves de acceso, firma de cuentas bancarias o información contable, etc. para ser usados posteriormente de forma fraudulenta.
En el siguiente artículo explicaremos los tipos de phishing más habituales y la responsabilidad penal de los autores y cooperadores necesarios.
Tipos de phishing
En nuestro despacho de Abogados Especialistas en Phishing, encontrará la seriedad y el profesionalismo que su caso necesita
Las técnicas de phishing que se utilizan actualmente son muy variadas y cada vez más sofisticadas, aunque el tipo de phishing al que más nos hemos enfrentado los abogados penales es el phishing bancario.
El phishing bancario
El phishing bancario es la modalidad de phishing más común y consiste en que los delincuentes mandan un correo electrónico o un SMS al móvil de la víctima en los que se imita el lenguaje, formato e imagen de la entidad bancaria o financiera, urgiendo a la víctima a conectarse a la página web (que ha sido previamente clonada) por diferentes motivos entre los que se encuentran: cambios en la política de seguridad; problemas técnicos; participación en concursos, premios o regalos etc. La víctima, creyendo estar en la página web oficial, introduce sus claves personales de acceso. En ese momento, los delincuentes se apoderan de las mismas y las utilizan posteriormente para realizar transferencias a otras cuentas.
Con el avance de internet y de la programación, se han ido sofisticando las técnicas de engaño consiguiendo que las víctimas descarguen en sus ordenadores programas diseñados para monitorizar el teclado o el ratón (keyloggers) o las pantallas (screenlogers). Este tipo de malware graba en un fichero las pulsaciones de teclas en el teclado o en el ratón, o los movimientos de la pantalla, para acto seguido remitirlas a un tercero. O spyware, programas espías que se autoinstan en un ordenador y se ejecutan cada vez que se enciende. El spyware graba todos los movimientos que el usuario hace en internet y los envía a un tercero.
Evil twins (malvado gemelo)
En esta técnica de phishing, el estafador crea una red inalámbrica falsa, similar a las que se pueden encontrar en hoteles, cafeterías o aeropuertos. En el momento en el que alguien inicia sesión en esta red, los delincuentes intentan capturar sus contraseñas y/o información de tarjetas de crédito.
Spear phising (phising con arpón)
Esta es una técnica más elaborada en la que los estafadores realizan un estudio previo de las víctimas, buscando determinados perfiles a los que se les envían emails con muchos datos personales con el objetivo de que la víctima no desconfíe e introduzca la información solicitada.
Uno de los tipo de spear-phishing más conocidos es el denominado fraude del CEO en el que se manda a un trabajador, generalmente del departamento de administración, un correo electrónico suplantando a uno de los directivos de la empresa en el que se solicita, con urgencia y discreción, una transferencia bancaria para realizar una supuesta transacción confidencial.
Distributed dos –DdoS– (denegación de servicios distribuida)
En un ataque DDoS, o ataque de denegación de servicios distribuida, los hackers, valiéndose de equipos informáticos que previamente han infectado y están bajo su control, mandan peticiones de conexión de forma compulsiva a los servidores de su objetivo haciendo que suba exponencialmente el tráfico de red. El servidor del objetivo se desborda y se queda inoperativo, lo que se conoce comúnmente como «caída del servidor». Los hackers extorsionan a la víctima con el pago de una cantidad económica para cesar el ataque.
Business services phishing
En este tipo de phishing el objetivo son los empleados de entidades bancarias que utilizan servicios como Google AdWords o Yahoo.
Whaling
En la técnica de whaling, el delincuente se centra en un pequeño grupo de personas de alto nivel de una organización concreta e intenta robar sus credenciales.
¿Cómo se mueve el dinero conseguido a través del phishing?
La jurisprudencia española considera que el delito de phishing consta de dos fases:
La obtención de forma engañosa de las claves y la transferencia de fondos no consentida por el titular de la cuenta, con las técnicas arriba analizadas o similares.
La recepción de los fondos obtenidos de forma fraudulenta en una cuenta nacional abierta con una identidad falsa, una cuenta en el extranjero, o una cuenta ‘mula’ y la posterior retirada de los mismos.
Gracias a esta segunda fase, las organizaciones criminales consiguen mover el dinero sin ser descubiertos. En la mayoría de las ocasiones, reclutan intermediarios, los denominados «muleros bancarios», quienes aceptan dinero de procedencia desconocida en su cuenta para después transferirlo a otra persona en el extranjero, o enviarlo en forma de dinero efectivo por algún medio postal, como Western Union o MoneyGram, cobrando una suma de dinero a cambio (entre el 8 y el 10%), por cada operación.
Otra modalidad de mulero bancario es el reenviador, el cual envía paquetes de bienes comprados por internet por medio de las cuentas corrientes hackeadas.
El phishing en el Código Penal
En un delito de phishing surgen dos tipos de responsabilidad:
La responsabilidad penal de los autores del delito de estafa informática y del mulero bancario.
La responsabilidad civil de la entidad bancaria si no adoptó las suficientes medidas tecnológicas para garantizar la integridad y confidencialidad de los datos de su cliente.
Responsabilidad penal del autor del delito de estafa informática
El delito de phishing no está tipificado como tal en el Código Penal, pero su conducta se recoge en el delito de estafa del artículo 249 y se castiga con pena de prisión de 6 meses hasta 3 años. Además, los autores del delito de estafa deberán responder solidariamente del perjuicio total causado, de acuerdo con lo dispuesto en el artículo 116.1 y 2 del Código Penal.
Responsabilidad penal del mulero bancario
Mientras que el verdadero artífice de la estafa se suele quedar en el anonimato, el mulero bancario suele ser detenido y juzgado al ser la cabeza visible del fraude. El conocimiento o desconocimiento de los hechos delictivos que han tenido lugar para conseguir el dinero, determinará la calificación jurídica del delito por el que será acusado.
1) En el caso de que el mulero supiera y quisiera colaborar en el delito (dolo directo) se le acusaría de coautor o cooperador necesario en un delito de estafa y se le podría imponer la misma pena que al autor de la estafa informática, es decir, pena de prisión de 6 meses a 3 años y responder solidariamente del perjuicio total causado.
2) En el caso de que el mulero no participara en el delito inicial, pero se imaginara que está colaborando en un delito de estafa y se mantuviera en la posición de no querer saber el origen del dinero que recibe (ignorancia deliberada), se le acusaría de un delito de blanqueo de capitales en modalidad dolosa, castigado con una pena de 6 meses a 2 años de prisión.
3) En el caso de que el mulero se imaginara que colabora en un delito de estafa, pero no observa la diligencia o deber de cuidado que es exigible a una persona media (imprudencia) se le acusaría de un delito de blanqueo de capitales en modalidad imprudente, tipificado en el artículo 301.3 del código penal y castigado con pena de prisión de seis meses a dos años y multa del tanto al triplo.
Responsabilidad civil de la entidad bancaria en un ataque de phishing
Los ataques de phishing generan en ocasiones litigios entre la víctima y la entidad bancaria, ya que la primera considera que el banco debe devolverle el dinero estafado al ser responsable de la seguridad, mientras que el banco se suele negar argumentando que la víctima no ha sido suficientemente cuidadosa al dar sus claves y datos personales a los estafadores.
En estos casos, los juzgados examinan las circunstancias concretas del caso y las pruebas existentes para determinar si hubo o no negligencia de la víctima en su obligación de custodia de sus credenciales, o bien, si el banco no adoptó las suficientes medidas tecnológicas para garantizar la integridad y confidencialidad de los datos.
Si se demuestra que la víctima de phishing actuó con negligencia grave, lo que no suele ocurrir dado la creciente sofisticación de los medios utilizados por los estafadores, el banco estaría exento de devolver los fondos estafados, en caso contrario, el banco sería condenado a abonar a su cliente la cantidad estafada más los intereses legales.
¿Necesita un abogado penalista en Barcelona? En nuestro despacho, nos especializamos en el derecho penal y hemos logrado numerosos casos de éxito. Si está enfrentando cargos penales, llámenos ahora para hablar sobre cómo podemos ayudarle.
Jurisprudencia