EL DELITO DE "PHISING" Y LAS "MULAS INFORMÁTICAS"

La era de la tecnología: flujos de información constantes, instantáneos y sin limitación geográfica. Vivimos una revolución de los medios, donde las fronteras se difuminan y la comunicación no conoce de territorialidad, globalización e internacionalización de la mano de la tecnología. En una sociedad cada día más informatizada, la aparición de nuevas técnicas de estafa era inevitable. Los medios electrónicos se posicionan, gradualmente, como las herramientas de comunicación, relación y compra más habitual, tanto en el ámbito personal como en el profesional. Plataformas de compraventa de bienes, banca electrónica, portales de trabajo. Sin duda, somos testigos de un cambio, un cambio de medios y de mecanismos, pero no de fines. La delincuencia es inherente a toda operación, al menos, la perspectiva de la posible corrupción de aquella. De esta forma, las estrategias de infracción, criminalidad y estafa encuentran su espacio a la sombra de los propios medios que se utilizan. El cambio es inmediato, y la estafa, colindante a la oportunidad de los medios.

La situación de las normas que lo regulan es otra, es causal, casuística, derivada como efecto de las propias conductas, por lo que su capacidad de adaptación nunca podrá ser tan rápida como lo es el propio comportamiento. Los delitos tecnológicos e informáticos no son ninguna novedad en el contexto actual, no obstante, si lo es su especialización y caracterización. La reforma del 2015 del Código Penal fue el primer intento por responder a esta profesionalización de la criminalidad en la red. Por ello, y dada la importante reconstrucción de la doctrina acaecida para su enjuiciamiento, se desglosa aquí la configuración del delito de phising, sus elementos principales y las características concretas del delito de estafa informática regulado por el art. 248 del CP, con especial atención a la conflictiva figura de las mulas informáticas y los terceros intervinientes.

Este delito se inicia mediante el envío masivo de mensajes de correo electrónico adoptando la apariencia e identidad de una entidad financiera, suplantando a aquella y copiando sus señas identificativas para, en una página web de idéntica factura a la original, robar enmascaradamente sus claves personales de acceso con el fin de verificar su operatividad. Decía el Supremo que “de forma gráfica el autor "pesca los datos protegidos" -de ahí la denominación phishing-, que permiten el libre acceso a las cuentas de particulares y, a partir de ahí, el desapoderamiento”.

Es, esta, una práctica común que constituye una conducta preferente en la estafa informática regulada por el art. 248 del CP. En atención a la jurisprudencia destacada de nuestro más alto tribunal, es necesario hacer una serie de matices de especial relevancia para entender el delito.

El Tribunal Supremo refiere en su Sentencia de 25 de octubre de 2012 que, con carácter general, hechos de esta naturaleza, “en lo que tienen de operación concertada, con una estratégica distribución de roles para lograr un acto de despojo patrimonial mediante un engaño, valiéndose de terceros para poder extraer esos fondos sin suscitar sospechas en la entidad bancaria y, una vez obtenidos aquéllos, colocarlos en un país que asegure la impunidad del desapoderamiento, presentan las características que son propias del delito de estafa informática al que se refiere el art. 248.2 del CP. EDL 1995/16398”.

No obstante, mayores son las dificultades que se presentan a la hora de determinar el momento de perfección del delito definidos los elementos objetivos del tipo delictivo. Existe doctrina que defiende el engaño, su construcción y planificación como el elemento central, que ve satisfecha su finalidad una vez se produce el robo de las claves personales del usuario de banca electrónica, considerando todo lo posterior como conducta post-delictiva, lo que afectaría necesariamente a la calificación que resultase de la valoración de los hechos referentes a la intervención de los intermediarios; sin embargo, es criterio sostenido de esta Sala, como lo es del Supremo, que la perfección del delito no se produce si no con el desplazamiento patrimonial.

Igual que sucede en el delito de estafa, al configurarse éste como un delito de resultado, no puede sino perfeccionarse una vez se produzca aquel, la consumación de la estafa informática tiene lugar cuando hay desplazamiento patrimonial, no siendo suficiente la mera manipulación informática, sino que es necesario que se produzca un desplazamiento patrimonial a tenor de la misma. El objetivo con el que se urde la sustracción de las claves no es troto que la obtención ilícita de bienes dinerarios habitualmente, por lo que, no es hasta que se produce el desplazamiento patrimonial que se genera un perjuicio sobre la esfera de la víctima, y consiguientemente un enriquecimiento, que es la finalidad última del autor, la producción de dicho resultado.

Por ello, no se puede considerar la intervención de terceros intermediarios como parte de la fase de agotamiento del delito, ya que, sin la ayuda de aquellos no se puede producir el desplazamiento patrimonial que perfecciona la conducta delictiva. Además de esto porque cabe recordad que, dada la configuración de la estafa informática, el Tribunal Supremo ha mencionado, en su Sentencia de 20 de noviembre de 2001 (EDJ 2001/54046), que la “estafa se comete a través de una transferencia no consentida por el perjudicado mediante manipulación informática, por lo que, en tales casos no es preciso la concurrencia de engaño alguno por el estafador(…) eso es así porque la asechanza a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal.” Por tanto, ningún sentido tendría considerar la estafa perfeccionada con el mero robo de las claves personales, deduciendo que el elemento central de la conducta se posiciona en la construcción del engaño, y es que éste ni siquiera es exigido en este tipo de delitos.

Igualmente conflictiva es la figura de los terceros intervinientes y en qué grado de autoría deben ser juzgados, en tanto son necesarios para la perfección del delito. Sin duda, considerado el desplazamiento como el elemento perfeccionador del tipo, la intervención de los intermediarios es absolutamente necesaria para producir el perjuicio y satisfacer el enriquecimiento que subyace a la operación; pero, es precisamente porque se trata de una operación concertada, que no se podría considerar a los mismos como autores del delito. Estos intermediarios irrumpen en el curso de la actuación una vez se ha producido la manipulación informática, por lo que el desapoderamiento del dinero de la cuenta bancaria del perjudicado es previo a la aparición de los terceros, quienes intervienen una vez se ha construido el itinerario delictivo y se ha producido la sustracción de las claves que da inicio a la estafa, por lo que estos terceros, como se ha apuntado previamente, son herramientas dentro de la “estratégica distribución de roles” para lograr el despojo patrimonial, de los que se valen los verdaderos autores para extraer esos fondos sin suscitar sospechas en la entidad bancaria.

Estos terceros intervinientes, como los aquí acusados, adquieren la condición de cooperadores necesarios, habiendo sido denominados por el argot policial y la doctrina más reciente como “muleros” o “mulas informáticas”, colaboradores captados mediante ofertas de teletrabajo y a los que se ofrece ganar un porcentaje sobre las cantidades evadidas.

La conducta del “mulero” permite la consumación del delito del artículo 248 CP ya que, en atención a su colaboración se lleva a cabo la transferencia patrimonial, adquiriendo su intervención la condición de necesaria, ya que, en atención a la STS núm. 533/2012, de 12 de junio, y conjunto aquella a las Sentencias de las siguientes Audiencias Provinciales: AP Madrid de 6 de julio de 2006, AP Valladolid de 31 de octubre de 2011, AP Vizcaya de 13 de febrero de 2012, AP Asturias de 1 de junio de 2012, y AP Asturias de 9 de julio de 2012, ”este acto de colaboración es necesario para consumar el delito de estafa, es decir, es un cooperador necesario porque la transferencia o desplazamiento patrimonial no se hubiera podido llevar a cabo si el «mulero» no hubiera ofrecido su cuenta bancaria para recibirla, y el perjuicio definitivo no se hubiera producido si el «mulero» no hubiera sacado el dinero de su cuenta para enviarlo a las personas que le ha indicado el autor del fraude”.

Su enjuiciamiento se complica al apreciar que, como es bien sabido, el delito de estafa, como delito de resultado, es un delito esencialmente doloso, ya que requiere de la construcción de un engaño suficiente para satisfacer el ánimo de lucro oculto tras la artimaña, por lo que la propia doctrina y jurisprudencia ha requerido siempre de la existencia de un dolo directo. Este dolo directo entra en conflicto directo con la figura del mulero en la medida en que aquel no ha participado de la manipulación informática, siendo lo frecuente que éste no forme parte del grupo organizado que ejecuta y construye la estafa, lo que no encaja dentro del dolo directo en la medida en que aquel requeriría a la “mula” conocer su colaboración en la comisión de una conducta delictiva. Salva este escollo la jurisprudencia al aducir que, no siendo necesaria la concurrencia de engaño para la comisión de la estafa informática, y, por el contrario, siendo determinante la participación de los terceros para el perfeccionamiento del delito valdría con la existencia de dolo eventual para su condena. Resulta por ello de interés valorar, no así a los terceros intervinientes partícipes activos y conocedores del fraude, sino a los intermediarios captados que desconocen la estafa.

Se distinguen terceros que se representan la posibilidad de estar siendo colaboradores de una conducta de dudosa legalidad, y, a pesar de ello, no hacen nada para evitarlo, ignorando la probable operación fraudulenta y la procedencia del dinero, incurriendo, por tanto, en un claro supuesto de dolo eventual.

A parte se encontrarían aquellas “mulas” que desconocen tener tal carácter y no se plantean su colaboración en una actuación fraudulenta, pero que, de haber observado con la diligencia debido, atendiendo su deber de cuidado como persona media, podrían haberlo sabido, en cuyo caso nos encontramos ante un caso de imprudencia.

Como se puede apreciar, las diferencias entre ambos requieren llevar a cabo un juicio de inferencia, en tanto debe deducirse de los indicios concomitantes a los hechos el grado de conocimiento y la consciencia del sujeto sobre la estafa. Forma parte de tal juicio la apreciación del sujeto que voluntariamente se pone a sí mismo en una posición de desconocimiento, presentándose como un sujeto igualmente víctima del engaño. No es este un supuesto antes enfrentado por la doctrina penal, por lo que el dolo eventual en la estafa informática guarda una estrecha relación con la figura de la “ignorancia deliberada”.

Desde la STS 1637/2000 10 de enero, sostiene el TS que “quien se pone en situación de ignorancia deliberada, es decir no querer saber aquello que puede y debe conocerse, y sin embargo se beneficia de esta situación, está asumiendo y aceptando todas las posibilidades del origen del negocio en el que participa, y por tanto debe responder de sus consecuencias”. Esto es, una ignorancia buscada por la que el sujeto se pone en la situación en que no quiere saber aquello que puede y debe conocer, induciendo su propio desconocimiento y obteniendo un beneficio de su autoconstruida posición en la inopia. No obstante, hay que ser cuidadosos con esta figura ya que nuestro sistema penal se configura como un sistema de imputación subjetiva que descansa sobre la diferenciación entre dolo e imprudencia, sólo pudiendo condenar aquellos supuestos que se puedan subsumir a la primera, ya que prima el valor superior de los principios constitucionales de culpabilidad y presunción de inocencia.

Así, la “ignorancia deliberada” no puede evadir o reemplazar la prueba del conocimiento del dolo en la que reposa el dolo eventual, ya que el mismo requiere del conocimiento actual de los hechos del que se deduzca que el sujeto se representaba la probable producción de la estafa y que por ello, su comportamiento adquiere la connotación de doloso. De la misma forma, la ignorancia deliberada en abstracto no dispone de fuerza suficiente para invertir el onus probandi. No es válido para superar la presunción de inocencia el mero deber de conocimiento derivado de la diligencia debida y que subyace a su desconocimiento de los hechos. El reproche penal por lo que se debió conocer y no se conoce, no es fundamento suficiente para la apreciación del dolo, quedan encerrados estos casos bajo la calificación de imprudencia.

Por tanto, se tiene que constatar la subsistencia de una impasibilidad construida tras la que se oculte una verdadera intención de sumergirse en el desconocimiento ante la expectativa real y plausible de estar interviniendo en una conducta delictiva, no desistiendo de su participación en la misma ante la expectativa de obtener un beneficio de ella, lo que sin duda se contemplaría como un manifiesto dolo eventual.

Como se puede observar, a pesar de las matizaciones realizadas por nuestro Tribunal Supremo, así como la determinación de los elementos que constituyen el delito, su enjuiciamiento responde a la casuística concreta en mayor medida que otros delitos de similares características, por lo que, en lo que no se identifique con las denominadas como conductas habituales, las cuales han sido reiteradas y ya analizadas por la jurisprudencia, la prueba indiciaria constituirá la base para el enjuiciamiento, habitualmente, por un juicio de inferencia. Por esa razón, este artículo pretende hacer de guía en el análisis de los elementos principales del delito de estafa informática, en especial atención con la intervención de terceros. Esperemos que les resulte de utilidad.