El delito de estafa informática —denominado doctrinalmente como fraude informático— se ha visto potenciado, entre otros factores, a raíz del consumo masivo de tecnologías de la información y la comunicación propiciado por la pandemia junto con el auge y calado en la sociedad del fenómeno de las criptomonedas y tecnologías de registro distribuido o DLT, entre las cuales, Blockchain, es una de sus variantes.
CONCEPTO DE ESTAFA INFORMÁTICA
La estafa informática es un fenómeno delictivo que en los últimos años está tomando mayor magnitud y relevancia en el ámbito de la criminalidad informática, siendo éste la base principal del delito informático sobre el que gira la cibercriminalidad.
En el siguiente gráfico, extraído del portal estadístico de criminalidad, observamos como se han pasado de los 70.178 hechos conocidos de infracciones penales relacionados con la cibercriminalidad en todo el Estado en 2016 a los 257.907 en el año 2020:
Este tipo concreto de delito, que es la estafa, se encuentra regulado en el art. 248 CP, requiriéndose para que pueda darse el delito la existencia de:
- Engaño bastante
- Desplazamiento patrimonial
- Que se cause un perjuicio propio o ajeno
Los anteriores requisitos deben darse conjuntamente, y la acreditación de la existencia del delito se asienta en el adverbio indefinido bastante, siendo en cada caso concreto donde habrá que analizar la producción del engaño.
Además, el mismo precepto citado nos introduce escenarios concretos, pero lo suficientemente abiertos, para incluir dentro de esas categorías diversas casuísticas:
- a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.
- b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.
- c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.
Por tanto, los elementos que integran el delito de estafa informática son:
- La manipulación informática y artificio semejante,
- Transferencia patrimonial no consentida por el titular,
- Ánimo de lucro, y
- Perjuicio de tercero
El concepto de manipulación informática puede definirse como la introducción, alteración, borrado o supresión indebida de datos informáticos, especialmente datos de identidad, y la interferencia ilegítima en el funcionamiento de un programa o sistemas informáticos, cuyo resultado sea la transferencia no consentida de un activo patrimonial en perjuicio de tercero.
Así pues, queda incluido en el término la introducción de datos falsos, la introducción indebida de datos reales, la manipulación de los datos contenidos en el sistema, así como las interferencias que afectan al propio sistema.
La transferencia de un activo patrimonial consiste en el traspaso fáctico de un activo; esto es, una operación de transferencia de un elemento patrimonial valorable económicamente que pasa del patrimonio originario a otro, no teniendo necesariamente que producirse por medios electrónicos o telemáticos.
El ánimo de lucro es elemento subjetivo del injusto que consiste en el propósito o intención del delincuente de conseguir un beneficio o ventaja económica. El actor de la estafa informática deberá actuar en perjuicio de tercero, el cual sufre un daño en su activo patrimonial, dando así lugar a la consumación del delito. Añadir que el perjuicio causado deberá ser superior a 400 euros, tal y como establece el Código penal, para que pueda ser considerado delito. De ser una cantidad inferior a 400 euros se acudirá aL DELITO LEVE del 2º párrafo del art. 249 C.P.
MODALIDADES CONTENIDAS EN EL ART. 248.2 A) CP
En esta modalidad encontraremos los supuestos y escenarios que resumimos en el post dedicado a los 10 fraudes más comunes en Internet, y que se complementa con el que dedicamos a las estafas con criptomonedas:
Hacking
Consiste en el acceso ilícito a datos o programas informáticos contenidos en un sistema para acceder a las claves con el objetivo de defraudar, vulnerando las medidas de seguridad de los sistemas y con ausencia de la autorización de su titular, cometiendo así un delito de intromisión informática.
Esta conducta es perseguida por el Código penal en su artículo 197 CP, y suele ir asociada a otras conductas como la estafa informática, estando en tal caso en relación de concurso medial del art. 77, al tratarse de dos bienes jurídicos protegidos diferentes, el patrimonio en el art. 248 y el derecho a la intimidad, la propia imagen y la inviolabilidad del domicilio en el art. 197 C.P. y más concretamente a la intimidad. Por ello habrá que estar a lo que dispone el art. 197 y el 77 del C.P.
Phishing
Es el método de estafa por excelencia de los cibedelincuentes y consiste en el envío masivo de correos electrónicos fraudulentos, suplantando la identidad de instituciones estatales (Agencia Tributaria, Policía Nacional, Correos, etc.), entidades financieras o empresas, cuya finalidad es conseguir que las víctimas accedan al enlace que contiene el correo, donde se les solicitará sus datos personales, claves bancarias y números de cuenta.
Por otro lado, también puede consistir en la creación de sitios web falsos, donde igualmente se suplanta la identidad de ciertas entidades o instituciones y consiguen que las personas accedan e introduzcan los datos de sus cuentas bancarias o tarjetas de crédito.
Spear Phishing
Es una es una modalidad de phishing que se lleva a cabo mediante el envío de correos electrónicos fraudulentos dirigidos a organizaciones o pequeñas y medianas empresas con la intención de tener acceso a información confidencial (nombres de usuarios, contraseñas o cualquier otro tipo de información confidencial con el objetivo principal de obtener acceso al sistema informático de la empresa).
El estafador se dirige personalmente a alguna persona con cargo o posición específica en la empresa u organización, suplantando la identidad de alguno de los miembros de la empresa para la comisión del delito.
Pharming
es una modalidad de phishing y consiste en la simulación o copia del sitio web de una entidad bancaria y, mediante un envío masivo de correos (mailing), el usuario accede a su oficina bancaria online aportando todos los datos que le son requeridos, tales como contraseñas, número del documento nacional de identidad (DNI), cuenta bancaria o número de tarjeta de crédito.
La eficacia de este fraude se debe a que el delincuente manipula el nombre del dominio web (DNS) de la entidad bancaria, almacenando un código malicioso en el equipo de la víctima para que convierta el código URL de la entidad bancaria oficial en una enlace al sitio web falso y, así, la víctima creerá que accede a su oficina online, cuando en realidad accede a la IP del sitio web fraudulento.
SMiShing
es una modalidad de phishing y consiste en el envío de SMS que llega a las víctimas indicando que se han dado de alta en un determinado servicio, en el que se le cobrará cierta cantidad diaria o mensual a menos que cancele su petición llamando al número de teléfono que se indica o accediendo a un sitio web concreto.
Para la cancelación del servicio y su correspondiente reembolso piden a las víctimas los datos bancarios suficientes para poder llevar a cabo su objetivo fraudulento
Vishing
Es un delito informático que se deriva del phising, pero no ofrece un enlace (link) para que la víctima haga click en él, sino que le ofrece un número de teléfono al cual comunicarse. Su nombre proviene de la unión de dos palabras en inglés: voice (voz) y phising.
Para llevar a cabo el vishing, los delincuentes hacen uso de sistemas de telefónica IP o voz automatizada. Se realizan llamadas aleatoriamente a algunos números, a la persona que contesta se le informa que su tarjeta de crédito o cuenta bancaria está siendo utilizada fraudulentamente y deberá llamar a un número específico de su entidad bancaria; o, también se le puede solicitar datos personales llamando a un número telefónico específico.
SCAM (como falsa oferta de trabajo)
El SCAM es otra modalidad de phishing que consiste en el envío masivo de correos electrónicos con falsas ofertas de trabajo o la creación de páginas web fraudulentas con el mismo reclamo, y tiene como propósito captar a ciertas personas (muleros) cuyo trabajo consistirá en realizar las funciones de “gestor financiero” desde su propia casa, siendo realmente utilizado como intermediario para blanquear el dinero que ha sido obtenido fraudulentamente por el falso empresario.
El trabajo del mulero consiste en recibir transferencias bancarias en su cuenta bancaria, que posteriormente deberá remitir a través de Western Union o MoneyGram, tras quedarse con una pequeña comisión, a la cuenta del falso empresario (estafador).
Carta nigeriana
La estafa nigeriana, timo nigeriano o timo 419, es un fraude, donde el usuario que va a ser estafado, recibe un correo electrónico que informa de una gran cantidad de dinero a cambio de ayudar, pagando una suma de dinero por adelantado, para después acceder a la supuesta fortuna.
MODALIDADES CONTENIDAS EN EL ART. 248.2 b) CP
En esta modalidad del delito de estafa encontramos las conductas de fabricar, introducir, poseer o facilitar programas informáticos específicamente destinados a la comisión de las conductas descritas anteriormente:
Spyware
Es una aplicación o programa informático que se introduce en el ordenador del usuario sin su conocimiento, de manera que, una vez alojado en el dispositivo, ejecuta comandos enviando datos del equipo informático a un tercero a fin de llevar a cabo hechos delictivos.
Al igual que el hacking, este tipo de conducta ilegal suele ir asociada a otras conductas, las del art. 197 y ss. del C.P. como puede ser el descubrimiento y revelación de secretos, junto a la estafa informática.
Aunado a lo anterior, la fabricación de spyware, su distribución o la simple tenencia es perseguida y castigada además de como los dos delitos dichos anteriormente, como delito contra la propiedad intelectual, tal y como establece el artículo 270 del Código penal.
Keyloggers
es una aplicación o software instalada en el ordenador de la víctima sin su consentimiento, que registra las combinaciones de teclas pulsadas por los usuarios en su teclado, las almacena para obtener datos confidenciales como claves bancarias u otras contraseñas, nombres de usuario en distintos servicios y demás información que pueda ser utilizada para fines fraudulentos
MODALIDADES CONTENIDAS EN EL ART. 248.2 c) CP
En esta modalidad, el hecho que más comúnmente nos encontraremos es el fraude informático con tarjetas bancarias.
Tras la reforma del Código penal por LO 5/2010 se incorporó una nueva modalidad delictiva al delito de estafa contemplado en el artículo 248 y siguientes del Código penal. El artículo 248. 2 c) CP castiga de forma expresa a aquéllos que “utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.
En este nuevo tipo delictivo no será necesario que concurra el engaño o error, típico del delito de estafa, ni se exigirá ánimo de lucro, pese a exigirse la concurrencia de dolo por parte del delincuente.
CONCLUSIONES
Con todo lo anterior hemos pretendido conceptualizar qué se entiende por estafa en los fraudes informáticos y exponer visualmente las modalidades delictuales más comunes que nos podemos encontrar en nuestro día da día, mostrándose cada vez de manera más nítida la necesaria hibridación de la abogacía con la informática, siendo ello por lo que en Obdulia de la Rocha. Abogados penalistas, contamos con expertos en el sector y colaboramos con peritos e ingenieros informáticos tanto para la persecución de estos delitos como para su defensa.