Phishing: el mulero y el blanqueo de capitales

Como se sabe la estafa informática a través del phishing desde hace tiempo está siendo protagonizada por grupos criminales especializados que, de forma concertada y organizada, actúan en diferentes estados mediante una compleja ejecución lo que dificulta su persecución.

La primera fase del fraude tiene por objetivo la obtención ilícita de datos confidenciales para el control de las cuentas bancarias de las víctimas a través de la red y mediante diversas modalidades y una de las más conocidas es esta modalidad de phishing o pesca de datos. Este fraude consiste en el envío masivo e indiscriminado de correos electrónicos a usuarios de la red aparentando proceder de bancos, cajas de ahorro u organismos oficiales alegando motivos de seguridad, mantenimiento, mejora del servicio, y últimamente, ofreciendo premios, solicitando las claves y números secretos de cuentas bancarias, tarjetas, etc.

En la segunda fase se realizan traspasos fraudulentos patrimoniales en línea a otras cuentas bancarias situadas en el extranjero, previamente abiertas por otros miembros de la organización, mediante la utilización no consentida de dichas claves. Y, finalmente, en la tercera fase, las cantidades patrimoniales transferidas son retiradas rápidamente de la cuenta bancaria y enviadas por correo postal o entidades de pago a otros miembros de la organización, situados normalmente en países de la Europa del Este como Rusia, Ucrania, Estonia, Moldavia, República Checa, etc., y últimamente también en los países bálticos. Y, es en esta fase donde la organización necesita contar con miembros de su propia organización que se encuentran en los países donde residen las víctimas que puedan disponer de los fondos para remesarlos a los responsables de la organización criminal o bien contar con terceras personas que se presten a hacer esta labor a quienes se les retribuye con una comisión por operación realizada y es aquí donde aparece el mulero, mula o phisher-mule que, previa apertura de las correspondientes cuentas bancarias requeridas para la realización del fraude, retiran rápidamente las cantidades patrimoniales transferidas, tras descontar su comisión y las envían por correo postal o a través de entidades de pago y transferencia a personas que no conocen, miembros de la organización, situadas en otros estados, generalmente de la Europa del Este.

La investigación de estos delitos conlleva la problemática de su tipificación penal y la obtención de pruebas que permita identificar la responsabilidad penal de estos sujetos a la vista de su participación en los fraudes.

En muchas ocasiones han sido condenados como coautores por delito de estafa informática del artículo 248.2 del C.P., al acreditarse que la participación material de los intermediarios ha sido calificada en la mayoría de los supuestos de cooperación necesaria al constituir un acto ejecutivo para la comisión del delito de estafa informática continuada, puesto que la conducta típica no se agota en el descubrimiento de las claves que identifican al cliente y en su utilización haciéndose pasar por tal, sino que también es preciso disponer de cuentas a beneficio de las cuales ordenar las transferencias, de manera que posibilite el cobro del importe defraudado.

Se considera por la jurisprudencia que abrir una cuenta corriente con el exclusivo objeto de ingresar el dinero del que se desapodera a la víctima, encierra un hecho decisivo para la consumación del delito de estafa, pues en la mayoría de los casos, al autor principal no le será suficiente con disponer de la información precisa sobre las claves personales para ejecutar el acto de desapoderamiento. Necesitará, además, una cuenta corriente que no levante sospechas y que, mediante la extracción de las cantidades transferidas pueda llegar a obtener el beneficio económico perseguido y es por la contribución de quien se presta interesadamente a convertirse en depositario momentáneo de los fondos sustraídos, lo que integrará de ordinario el delito de estafa.

Pero, para ello, resultará indispensable que quede suficientemente acreditado el elemento intelectual sobre el tipo objetivo del injusto su participación dolosa, aunque sea eventual, en el delito cuya secuencia inicial ejecuta un tercero, pero a la que coopera de forma decisiva si al menos el sujeto se plantease alguna de estas alternativas en función de los hechos acaecidos: que las transferencias no hayan sido realizadas por sus titulares, que éstas se hayan llevado a cabo sin su consentimiento, o que las cantidades transferidas provienen de un fraude.

La condena por delito de estafa informática se ha basado mayoritariamente en la construcción de la prueba indiciaria considerando suficiente el conocimiento limitado de su participación en la operación que se traduce en:

  1. Apertura de cuenta bancaria
  2. Recepción de varias transferencias bancarias por personas desconocidas
  3. Origen de tales fondos de auténticas cuentas de otros titulares, y
  4. Cobro de una comisión por este servicio, entregando el resto a otras personas desconocidas y que igualmente podría conducir al sujeto a la convicción de que su conducta responde a otro delito como el de blanqueo de capitales.

El dolo de intermediarios, como sucede con los muleros, se ha construido jurisprudencialmente, en ocasiones, a través del reconocimiento de la figura de la ignorancia deliberada o desconocimiento provocado entendido como el sujeto que no quiere saber o le es indiferente aquello que puede y debe saber y, sin embargo, presta su colaboración en un hecho delictivo y se beneficia del mismo al asumir y aceptar todas las posibilidades sobre el origen de la actividad en la que participa, debiendo responder, por tanto, de sus consecuencias.

Por ello, al intermediario de phishing, como responsable de la última fase de disposición fraudulenta en los casos de phishing, se le podría imputar además el delito de blanqueo de capitales (301 del C.P.) y que se ha apreciado por los tribunales en muchas ocasiones.  

Tanto la doctrina como los tribunales parten de esta última fase de su contribución para atribuir la responsabilidad penal por blanqueo de capitales y que se consuma con la transmisión del dinero de origen delictivo para ocultar o encubrir su origen ilícito o ayudar a los defraudadores a eludir las consecuencias legales de sus actos ya que permite la ocultación o encubrimiento de la verdadera naturaleza, origen, ubicación, destino, movimiento o derechos sobre los bienes o propiedad de los mismos, a sabiendas de que proceden de alguno de los delitos expresados en el apartado anterior o de un acto de participación en ellos (art. 301.2 C.P.). Delito que se puede cometer imprudentemente (art. 301.3 C.P.) aunque no identifique plenamente el delito previo cometido o conozca los detalles de la acción delictiva previa, pero siendo insuficiente la mera sospecha de su procedencia delictiva.

La responsabilidad criminal del mulero en este delito se fundamenta en que sus actos permiten transmitir bienes de origen delictivo de forma idónea para incorporarlos al tráfico jurídico y con el propósito de ocultar el origen ilícito de los mismos. Y ello con independencia de que haya participado en la estafa, y de que ésta se halle o no consumada cuando envía el dinero al extranjero, pues la actividad delictiva de la que derivan los bienes blanqueados no requiere que esté consumada.

Para fundamentar la imputación por delito de blanqueo al mulero en los casos de phishing el investigador deber aportar suficientes datos objetivos relacionados con los siguientes aspectos y que deben tenerse en cuenta en todos los casos en los que se acusa al intermediario de phishing ante la Justicia y que consideramos de gran interés práctico:

  • Atípica contratación de los servicios.
  • Precaución del sujeto al abrir una cuenta bancaria destinada exclusivamente a estas operaciones.
  • Elevada comisión (5%-10%) por una sencilla contribución como es la de facilitar un número de cuenta corriente y realizar remesas de dinero.
  • Actividad laboral injustificada, pues de ser ésta lícita, podría ser llevada a cabo por los propios ordenantes de las transferencias o por cualquier otro trabajador de la supuesta empresa.
  • Utilización injustificada de medios diversos en la recepción y en el envío del dinero, transferencia bancaria en el primer caso, empresa de envío de dinero en el segundo.
  • Envío del dinero a países diferentes a aquel en el que se encuentra la sede de la empresa internacional.
  • Actividad laboral de gestión que no requiere supervisión de operaciones, clientes, etc., sin alta en la Seguridad Social y sin previa selección o entrevista personal.
  • Puesta a disposición de grandes sumas de dinero a un “trabajador” recién contratado.
  • Diligencia en el cumplimiento del envío del dinero, siempre en un plazo determinado.
  • Condición injustificada de que el dinero fuese girado antes de ese plazo al extranjero, etc.
  • Reiteración en las operaciones por cuenta de los ordenantes a favor de terceras personas procedente de transferencias de origen diferente al mandante.

Para ello, la obtención de los indicios que pueden acreditar la implicación del intermediario en las operaciones fraudulentas se debe centrar en los siguientes aspectos:

  1. Declaración del intermediario en donde manifieste con todo detalle cuál ha sido su participación en los encargos efectuados.
  2. Aportación o intervención judicial de todos los correos electrónicos recibidos y remitidos a los mandantes.
  3. Aportación o intervención judicial de la información de todos los cobros realizados en cuenta bancaria reflejados en los extractos bancarios y sus justificantes.
  4. Aportación o intervención judicial de todos los justificantes de las transferencias efectuadas con posterioridad a la recepción de las transferencias recibidas.
  5. Intervención mediante mandamiento judicial de los equipos informáticos que recojan toda la información anterior para su estudio forense posterior.
  6. Solicitud de mandamiento judicial dirigido a la entidad bancaria utilizada para la recepción de las transferencias fraudulentas para que aporte toda la información sobre su apertura, extractos bancarios y justificantes de las operaciones fraudulentas.
  7. Solicitud de mandamiento judicial dirigido a la entidad de pago que ha realizado las transferencias a los mandantes del dinero recibido en las cuentas bancarias del intermediario
  8. Solicitud de colaboración policial a través de Europol o Interpol para identificar a los perjudicados si son de otros países.
  9. Emisión del informe policial detallando todas las operaciones fraudulentas recibidas, el importe total percibido, la identidad de su origen, el destino de las transferencias efectuadas, las comisiones percibidas por el intermediario, los correos electrónicos recibidos por los mandantes y sus respuestas y las denuncias de los perjudicados presentadas hasta ese momento.

 Como conclusión, del estudio realizado, si se acreditan los indicios necesarios, se podrá exigir responsabilidad al intermediario (mulero) como partícipe de una estafa informática y como autor de un blanqueo de capitales (doloso), al que se sumaría, en su caso, la del art. 570 bis CP, por pertenencia a organización criminal si se acredita estar integrado en una estructura criminal.