Phishing en profundidad: ¿Qué es y cómo protegerte?

Phishing
Deja un comentario / Blog sobre Derecho Penal

Salvo que en la última década hayas estado totalmente desconectado del mundo, seguro que has oído hablar de la estafa conocida como phishing.

Aunque sabemos más o menos en qué consiste, no estamos del todo a salvo. Es cierto que hay engaños muy bien ejecutados que son casi indetectables en un primer momento, pero me sorprende que todavía hay quien cae en timos muy burdos.

De cualquier forma, si hemos sido víctimas de este delito, no debemos avergonzarnos. Porque precisamente las denuncias son las que nos ayudan a todos a estar al tanto de cómo están evolucionando estas conductas delictivas y a permanecer más atentos para no caer en ellas.

Podemos ayudarte.

En Ródenas Abogados somos abogados especialistas en derecho penal. Si necesitas un despacho con amplia experiencia en delitos informáticos, contacta con nosotros e infórmate sin compromiso. 

CONTACTAR

¿En qué consiste el phishing?

A mí me gusta definirlo como la versión moderna del timo de la estampita. Porque el objetivo sigue siendo el de engañar a la víctima y quedarse con su dinero. Lo que ha cambiado es que ahora los delincuentes se han pasado a la tecnología.

Bajo el nombre de phishing se encuadran una serie de conductas delictivas que tienen una serie de rasgos en común:

  • Se envían mensajes de forma masiva para intentar engañar a cuantas más personas mejor.
  • El cibercriminal se hace pasar por una persona o una entidad de confianza para la víctima: Hacienda, Netflix, Iberdrola, BBVA…
  • Se suele redirigir al afectado a una web falsa.
  • El objetivo es obtener información confidencial de la víctima. Principalmente las claves de acceso a su cuenta bancaria o el número de su tarjeta.

Ejemplo de phishing

Un ciberdelincuente accede a la Dark Web y compra miles de números de teléfono obtenidos por otro hacker mediante la vulneración de la base de datos de una empresa.

A continuación, crea un mensaje haciéndose pasar por la Agencia Tributaria. El texto podría ser algo similar a esto: “Hay una devolución de 790 € a su favor. Acceda a este enlace y confirme sus datos para recibirla”. Luego lo envía de forma masiva a toda la lista de números de teléfono que ha comprado.

Aunque muchos de los destinatarios del mensaje van a ser conscientes de que es un intento de estafa y no van a hacerle caso, otros muchos sí lo harán. Pincharán en el enlace, llegarán a una web falsa creada por el delincuente (que simulará ser la página de la Agencia Tributaria) y aportarán sus datos a la espera de recibir la supuesta devolución de dinero.

Lo que no saben es que lo único que van a recibir es un palo en su cuenta bancaria, porque se la van a vaciar.

Los delincuentes cibernéticos están al tanto de que los ciudadanos sabemos cada vez más sobre este tipo de estafas, y están trabajando duro para perfeccionar el engaño. La policía advierte de que estos intentos de fraude son cada vez más sofisticados, por lo que tenemos que extremar las precauciones.

El delito de phishing en el Código Penal

Aunque las leyes siempre van un paso por detrás de la sociedad, la ciberdelincuencia no le ha pasado desapercibida a los legisladores. Hace ya algún tiempo que nuestro Código Penal (CP) se ha hecho eco de este fenómeno.

No tenemos un apartado dedicado específicamente a lo que podríamos considerar como ciberdelitos. Lo que encontramos es la tipificación de estas conductas que implican el uso de nuevas tecnologías y medios digitales, junto a aquellas que también atentan contra el mismo bien jurídico. En el caso del phishing, este aparece regulado junto a la estafa, en los artículos 248 a 251 bis.

Tipo básico

Comete el tipo básico de estafa (art. 248 CP), quien con ánimo de lucrarse, utiliza un engaño que es suficiente para producir un error en otra persona e inducirle a hacer un acto de disposición en perjuicio de ella misma o de un tercero.

Recuerda el timo de la estampita del que hablaba antes, porque es el caso prototípico de estafa. El timador finge ser una persona con discapacidad y le enseña a la víctima un fajo de billetes. Le dice que son estampitas o cromos, pero que no los quiere. Y que se los puede vender a cambio de una cierta cantidad de dinero.

Cuando la víctima paga, el timador hace lo posible por desaparecer lo antes posible de la escena del crimen. A fin de no estar allí cuando el engañado se dé cuenta de que el fajo de billetes es, en realidad, un montón de papel sin valor.

Estafa por medios digitales

Si seguimos avanzando en la lectura del Código Penal, vemos que en el artículo 249 se hace referencia a aquellos casos en los que la estafa se lleva a cabo utilizando medios digitales.

Se comete este delito cuando se utilizan manipulaciones de tipo informático o artificios semejantes (aquí entraría el phishing) para obtener de forma no consentida la transferencia de un activo patrimonial. En estos casos la pena de prisión prevista es de seis meses a tres años.

Para una mejor protección del patrimonio, el CP también sanciona en este artículo otras conductas como la fabricación de programas informáticos o sistemas que puedan ayudar en la comisión de estafas digitales y la apropiación ilícita de medios de pago como las tarjetas de crédito o de débito. Además, se agrava la pena para aquellos que, con conocimiento de su origen ilícito, posean o pongan a disposición de otros tarjetas de crédito u otros instrumentos de pago procedentes de un delito.

La responsabilidad criminal del mulero bancario

Está claro que quien comete un acto de phishing va a ser castigado como reo de un delito de estafa informática. Pero sabemos que, con frecuencia, estos delincuentes no actúan solos. Porque necesitan a un tercero para mover el dinero sustraído e intentar borrar así su rastro. Esto ha dado lugar a lo que se conoce como mula o mulero bancario.

Es aquel que, no habiendo intervenido en la estafa de forma activa, recibe en su cuenta todo o parte del dinero procedente del delito. Se queda una parte a modo de pago por sus servicios, y luego transfiere el resto al estafador, normalmente a través de plataformas como Western Union o Money Gram. Una vez que tiene el dinero en su poder, el autor del phishing lo convierte en criptomonedas para que resulte irrastreable.

En la mayoría de los casos, la mula bancaria no sabe que lo es. Ella misma es víctima de otra estafa en la que se le suele ofrecer un empleo que consiste en abrir cuentas bancarias para un inversor extranjero y gestionar los envíos de dinero que reciba.

A los juristas esto nos plantea problemas de calificación, porque es complicado discernir si estamos ante un delito de estafa, de receptación, o de blanqueo de capitales. Además, hay que analizar si el mulero de verdad es una víctima inocente que ha acabado cometiendo un delito por imprudencia, o si conocía el origen ilícito del dinero y ha actuado con dolo.

En la mayoría de los casos, los tribunales se inclinan a pensar que lo que hay aquí es un delito de receptación cometido por imprudencia grave. Porque se entiende que la mula podría haber sido más diligente a la hora de investigar de dónde venía el dinero.

¿Es responsable la entidad bancaria en los casos de phishing?

Si eres víctima de un fraude de ese tipo y  te “limpian” la cuenta bancaria, ¿tiene algún tipo de responsabilidad tu banco por haber permitido ciertos movimientos de dinero? Para resolver esta duda nos tenemos que ir al Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

El objetivo de esta norma es darnos más protección a los usuarios de servicios bancarios frente a los riesgos que son inherentes al uso de medios de pago digitales. En base a ella, el banco debe responder si nos roban el dinero de nuestra cuenta, pero puede librarse.

La entidad puede obviar su obligación de devolver los importes sustraídos, si se demuestra que el cliente ha incumplido por negligencia grave su obligación de custodiar sus claves personales con todas las medidas razonables.

Por suerte, la jurisprudencia se está poniendo del lado de las víctimas. Se entiende que los delitos de estafa digital cada vez son más sofisticados y más difíciles de detectar, por lo que no puede entenderse que la víctima haya incurrido en una negligencia grave a la hora de custodiar sus claves bancarias. Además, es la entidad bancaria la que tiene que probar que existió tal negligencia grave, algo que en la práctica resulta muy complicado.

Si se estima que la entidad bancaria no ha puesto los medios necesarios para prevenir y detectar ataques fraudulentos, tendrá que devolver a la víctima los fondos que le han sustraído de su cuenta.

¿Cómo protegerse frente al phishing?

Antes de terminar, permíteme darte algunas recomendaciones para que no seas víctima de este tipo de estafas:

  • No hagas clic en enlaces que te lleguen a través de mensajes de correo electrónico, SMS o WhatsApp.
  • Recuerda que ningún organismo público, banco o empresa privada te va a pedir que le des datos como tu clave bancaria.
  • Lee bien el contenido y no te asustes. Muchos mensajes buscan provocar un sentimiento de urgencia para que no pienses demasiado en lo que estás haciendo.
  • Si tienes dudas, contacta directamente con la entidad que dice enviar el mensaje a través de sus canales oficiales.
  • Bloquea el número o la dirección de correo electrónico que te ha enviado un mensaje sospechoso.
  • Denuncia los intentos de estafa para que haya una mayor difusión pública sobre este tema.

Otros artículos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Llámenos sin compromiso
Scroll al inicio