El delito de phishing es una modalidad del delito de estafa, que engloba aquellas conductas cuya finalidad es engañar a las víctimas acogiendo la identidad de otra persona o entidad corporativa de confianza. En resumidas cuentas, es una ciberestafa.

En estos supuestos, el delincuente envía correos electrónicos o mensajes de texto, que pueden ser masivos o dirigidos a una persona en concreto, proporcionando enlaces o archivos con la capacidad de extraer credenciales o información privada de las víctimas.

La mayor parte de estos correos pueden ser detectados a simple vista, ya sea por una mala redacción en el texto, porque las urls sean sospechosas o por la urgencia que transmite el contenido del mensaje mediante el empleo de frases tipo “tu cuenta ha caducado, entra e identifícate”. Además, suelen requerir la verificación de información personal, como contraseñas o cuentas bancarias.

Los tipos de phishing que nos podemos encontrar son, entre otros, los siguientes:

• Spear Phishing: Tiene lugar tras un estudio previo de las víctimas. Consiste en enviar emails con datos personales a fin de que la víctima no desconfíe del contenido del mensaje ni del remitente. Habitualmente, este tipo de phishing va dirigido a empresas donde un compañero o CEO de empresa, envía un email a otro, en el que le solicita con carácter urgente datos confidenciales para realizar alguna operación.
• Caza ballenas (whaling): En estos casos el ciberdelincuente se centra en un grupo de personas, que suelen ser altos ejecutivos de una organización, a fin de obtener sus credenciales.
• Phishing de mensaje (SMS): Se lleva a cabo mediante el envío de mensajes de texto con el objetivo de convencer a las víctimas de que faciliten las credenciales de su cuenta o instalen un malware.
• Pharming: En estos casos, los mensajes son redirigidos a los usuarios con el fin de que accedan a un portal fraudulento donde disponen de sus supuestas credenciales. Cuando la persona trate de iniciar sesión le informará de un error, si bien con ello los delincuentes habrán obtenido el acceso de la víctima y lo podrán emplear en el sitio web original.

La jurisprudencia establece que el delito de phishing consta de dos fases:

1. La obtención mediante engaño de las contraseñas y la transferencia de fondos no consentida por el titular de la cuenta.
2. La recepción de los fondos en una cuenta nacional abierta bajo una identidad falsa, una cuenta en el extranjero o una cuenta “mula” y la posterior retirada de dichos fondos.

Es en esta segunda fase cuando los ciberdelincuentes mueven el dinero sin ser descubiertos. Para conseguir sus fines, captan intermediarios que aceptan el dinero en su cuenta bancaria, para después transferirlo a otra cuenta en el extranjero.

En España el phishing es considerado una estafa, por lo que el Código Penal nos reconduce a la aplicación del artículo 249, que lo castiga con pena de prisión de 6 meses a 3 años.

Asimismo, cabe considerar que en esta conducta delictiva surgen dos tipos de responsabilidad, dado que, por un lado, deben responder penalmente del delito de estafa tanto el autor del delito como el mulero bancario. Y, por otro lado, cabe exigir responsabilidad civil a la entidad bancaria si no adoptó las medidas tecnológicas suficientes para garantizar la seguridad y la confidencialidad de los datos del cliente.

Al hilo de lo anterior, cabe destacar que la mayor parte de los Juzgados consideran en sus resoluciones que la entidad financiera debe reintegrar al cliente las cantidades estafadas mediante el delito de phishing. No obstante, están exentos de restituir las cantidades en los casos en los que demuestren que el cliente actuó con negligencia grave en la protección de sus datos bancarios. En este sentido, no se considera negligencia grave el hecho de que la víctima aporte sus datos por considerar que esta accediendo a una página web auténtica, no pirateada.

Para proceder a reclamar como víctima de phishing, lo primero es informar por escrito al banco de que se ha realizado una operación fraudulenta solicitando el bloqueo de la tarjeta y de la cuenta corriente a fin de evitar nuevas estafas. Seguidamente, se debe acudir a una comisaría de policía para interponer la correspondiente denuncia, acompañando el justificante que acredite la sustracción de las cantidades. Con copia de la denuncia, se puede proceder a solicitar formalmente a la entidad bancaria la restitución de las cantidades estafadas.

¿Has sufrido una estafa informática? En Klyo Abogados ponemos a vuestra disposición a nuestros abogados especialistas, a fin de brindarles la necesaria asistencia judicial para hacer frente a este tipo de conductas delictivas.