DELITOS INFORMÁTICOS. PHISING. ESTAFA Y ROBO EN CUENTAS BANCARIAS Y DATOS DE ACCESO PERSONAL.
Muy buen@s!.
Hoy vamos a tratar una de las estafas más comunes con la que están viniendo últimamente nuestros clientes. El conocido como «Phising».
Es indudable que Internet y sus redes sociales, han cambiado nuestras vidas en la manera de comunicarnos con los demás y esto no podía quedar solamente en la esfera más «social» sino que ha trascendido al ámbito más «comercial» y «profesional» que están utilizando algunas empresas (sobretodo los bancos, con lo que ello conllevará inevitablemente en puestos de trabajo y cierre de sucursales), para dar un acceso «más rápido» (más cómodo y más peligroso también) a los datos de sus clientes. Todo ello, se está repercutiendo en vendernos a los internautas, el que nosotros mismos hagamos de «trabajadores» de estas entidades, exponiendo nuestros datos personales en una red donde se esconden muchos delincuentes que están al acecho de los mismos buscando vulnerabilidades «informáticas» de nuestros equipos.
Sin entrar en más subjetividades objetivas, entraremos en explicar esto del «Phising» que es y que lectura jurídica tiene.
Todo comienza cuando un usuario recibe un correo que supuestamente procede de su banco, que tiene la finalidad de inducir al cliente para que clique en un enlace que le redirige a una web, en la cual se suplanta la identidad del banco para obtener las claves del usuario.
Por tanto, estamos ante un modelo de estafa tipificado en el artículo 248.2 del Código Penal, basado en realizar un engaño mediante la simulación de una página web de la entidad bancaria, en la cual la víctima, introduce sus datos. Acto seguido el phiser al disponer de las claves, las introduce en el verdadero sistema de la entidad bancaria y procede a retirar el dinero de forma fraudulenta, destinándolo a una cuenta corriente (normalmente extranjera).
El término «phishing» proviene de la unión de los vocablos anglosajones «password», «harvesting» y «fishing», con lo que se alude a “cosecha y pesca de contraseñas”. A la persona que pone en práctica este delito se le conoce como «phisher».
Actualmente los métodos que se emplean para obtener las claves de los usuarios se han perfeccionado dotando al mensaje de mayor credibilidad aumentando así las posibilidades de éxito. Las formas que más se emplean son; en redes sociales mediante la colocación de posts en Facebook o Twitter, a través del malware mediante la implantación de programas denominados maliciosos y el método más usado es el pharming (simulación de cuenta bancaria). Los defraudadores copian una página web de un banco y envían un correo incluyendo una URL en la que el cliente debe pinchar para acceder a supuesta web de su banco en la cual deberá introducir sus datos bancarios. Con el paso del tiempo este método se mejora para evitar que el cliente pueda percatarse del engaño y en vez de contener una URL lo que se hace es enviar un archivo adjunto HTML que el destinatario tiene que descargarse y cumplimentar proporcionando al defraudador sus datos bancarios.
Cuando el phisher dispone de las claves, las introduce en el verdadero sistema de la entidad bancaria y procede a retirar el dinero de manera fraudulenta e inconsentida. Por consiguiente, el defraudador debe tener una cuenta corriente bancaria de destino, la cual no debe levantar sospechas (normalmente son cuentas extranjeras) que pertenezca a un tercero proporcionando así impunidad al defraudador. Es aquí donde aparece la figura del “mulero bancario”, este es quien recibe el dinero de la supuesta víctima y su labor consiste en hacer llegar el importe de la misma al defraudador, generalmente quedándose con un porcentaje en concepto de comisión.
Este tipo de estafa se basa en la burla a los controles informáticos implantados por las entidades bancarias originando una órden inválida al banco, para que autorice la operación de pago o transferencia de fondos.
Debemos tener en cuenta que el cliente realiza un contrato con la entidad bancaria por la que ésta se obliga a la salvaguarda de las cantidades depositadas y responderá por el perjuicio que pudiera ocasionarle, siempre y cuando el cliente no realice una conducta fraudulenta o negligente.
Por consiguiente, la exoneración de responsabilidad de las entidades son consideradas abusivas tal y como determina el Tribunal Supremo en sentencia de fecha 16 de diciembre de 2009, con el argumento principal de que deben ser las entidades diligentes para detectar los usos indebidos de las claves de los clientes.
La decisión Marco del Consejo de Ministros de la Unión Europea sobre “la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo” de fecha 28 de mayo de 2001 dispone que cada estado adoptará las medidas necesarias para garantizar que las conductas mencionadas anteriormente sean delitos penales.
El aludido artículo 248 de nuestro Código Penal dispone que, cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. También se consideran reos de estafa: Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
La diferencia entre estafa informática y la clásica se basan en el engaño y el error:
1. En cuanto al engaño la nueva figura protege el patrimonio de los ataques incluyendo los mecanismos idóneos para conseguir esa transferencia inconsentida de un activo patrimonial. A diferencia de la estafa común el engaño ya no es un elemento básico ni su presencia es imprescindible, aquí es el recurso a la manipulación informática o un artificio fraudulento que son los que dan lugar al desplazamiento patrimonial. La STS 533/2007 de 12 de junio determina que no es preciso el engaño porque la manipulación informática actúa con automatísmo en perjuicio de tercero, no se exige un engaño personal.
2. Respecto al error no se produce una relación intersubjetiva, ni es requisito imprescindible la colaboración de la víctima porque el desplazamiento patrimonial se produce por virtud de la manipulación informática. La acción se ejerce sin error.
Al tratarse de un delito donde encontramos diversas figuras como el phiser, el colaborador necesario y la víctima, el conflicto que se plantea son las cuatro ubicaciones diferentes:
a) lugar de emisión de los correos: donde se inicia la trama defraudatoria.
b) lugar de actuación y de residencia de la intermediaria: donde se recibe la transferencia, se extrae el dinero y se envía al destinatario extranjero. Es el lugar de una cooperación necesaria en el delito.
c) Lugar de residencia de las víctimas: es donde se encuentra la entidad bancaria, lo cual resulta irrelevante para el caso
d) lugar de emisión de la orden de transferencia: puede ser relevante para la investigación ya que normalmente no coincidirá con ninguno de los lugares mencionados anteriormente.
En la mayoría de los casos, cuando se comete este tipo de delito, el banco debe restaurar la integridad de los fondos teniendo en cuenta el artículo 31 de la Ley 16/2009 de 13 de noviembre de servicios de Pago que recoge que “en caso de que se ejecute una operación de pago no autorizada, el proveedor de servicios de pago del ordenante le devolverá de inmediato el importe de la operación no autorizada y, en su caso, restablecerá en la cuenta de pago en que se haya adeudado dicho importe el estado que habría existido de no haberse efectuado la operación de pago no autorizada”. Asimismo si se ha realizado el delito a través de la compra de bienes o servicios a través de una tarjeta bancaria, debemos acudir al contrato que nos facilita el banco cuando nos la da, porque en su caso, conllevaría que los proveedores de las mismas (VISA, MASTERCARD), tengan seguros asociados a las mismas.
Como siempre, en caso de que os haya ocurrido este caso, no dudéis en poneros en contacto con nuestro despacho en el 910133469 o en info@guijarropique.com para cualquier duda o consulta que tengáis al respecto.
Muchas gracias!