El "phising" como ilícito penal.

Descripción de la técnica.

Dentro de las nuevas posibilidades delictivas detectadas en la red Internet, se esta haciendo frecuente el uso de la denominada técnica de "phising", palabra derivada del vocablo inglés "fishing" (pescando).

La modalidad principal de esta técnica consiste en clonar la apariencia de una página web que resulte de confianza para el usuario, especialmente si este mantiene relaciones económicas con la empresa clonada; el ejemplo arquetípico es el de las páginas web de bancos e instituciones financieras así como tiendas de compra on-line, y a partir de un diseño similar en todos sus elementos, provocar el error de ubicación en el usuario y lograr que este introduzca sus datos en los lugares correspondientes, tales como identificadores de "login" y claves de acceso, de manera que mientras al usuario se le muestra un mensaje de error de imposibilidad de acceso por cualquier dificultad técnica, los "phisers", pueden actuar con esos datos.

El " phising " es una técnica para la consecución de un resultado, por regla general, provocar en el usuario del servicio de electrónico un error suficiente, de tal modo que entregue los datos personales a un tercero, que los aprovechará para la obtención de un beneficio patrimonial.

Para lograr la confianza del usuario, y que realice los actos deseados, se rodea toda la operación de un proceso que simula dotar de gran seguridad a los actos del usuario, así encontramos un desarrollo de los acontecimientos como sigue:

•  El usuario recibe en su buzón de correo electrónico (1) un mensaje simulando las comunicaciones que la entidad elegida le remitiría para cualquier cuestión ordinaria. Para lograr la oportuna confusión, se reproducen, copiando por completo, las imágenes, logotipos, tipografías, en fin todos los elementos de imagen corporativa incorporados en los correos ordinarios. El contenido del mismo, puede hacer alusión a múltiples circunstancias, pero generalmente informa al usuario de cambios en la página, de problemas de seguridad que requieren que reconfigure su cuenta, o cualquier otra argucia que provoque que el usuario acceda a su cuenta en la entidad, bajo el riesgo de que su cuenta quede bloqueada.

•  El contenido del correo puede consistir en un formulario que el receptor debe cumplimentar y enviar, o bien un enlace a la página de réplica de la entidad, la forma más habitual.

•  El usuario, por lo general, tras leer el contenido accede o bien a enviar sus datos, aunque esta fórmula no resulta especialmente fructífera, pues quien más quien menos recela del envío de información sensible a través de internet, o bien pulsa sobre el enlace de hipertexto incluido en el mensaje, siendo de esta manera redireccionado a la página clonada de la entidad.

•  La página a la que finalmente accede el usuario, es una copia integra de la página a la que esperaba acceder, con todos los elementos propios, imágenes, enlaces, áreas, etc, lo que provoca el error en la persona que la contempla, incluso, mediante la explotación de un fallo de seguridad en muchos navegadores de páginas web, se puede simular la dirección web que aparece en al barra de navegación, de manera que es imposible discernir si realmente se esta ante un sitio de confianza o no. Para acrecentar la sensación de seguridad, mediante otro código que explota otra vulnerabilidad en el navegador es posible mostrar el candado que aparece en la parte inferior de los exploradores, y que informa de que nos encontramos ante un sitio seguro. Incluso y como elemento adicional de sofisticación, podemos observar como se certifica, mediante el correspondiente certificado digital, de la confiabilidad y seguridad del sitio.

•  Una vez llegado este punto, el usuario introduce los datos requeridos que se almacenan en el servidor replicante, y pueden ser utilizados con distintos fines ilícitos, mientras se informa de problemas en la conexión que le impiden continuar en la página o problemas semejantes. El grado de perfeccionamiento de esta técnica llega al extremo de que en segundo plano, una aplicación del servidor sirve la página que simula y, sin que el usuario se pueda percatar, al tiempo que se introducen los datos verifica la validez de los mismos en el servidor real de la entidad, y en caso de dar error, solicitar de nuevo al usuario los datos, de manera que queda asegurada la posibilidad de uso de los datos.

Algunos casos de phising se han producido contra los usuarios de los servicios en internet de entidades como Barclays Bank, Lloyds TSB Citibank, Visa, Paypal(sistema de pago por internet), eBay(zona de subastas por internet), BestBuy. Empresas españolas: Grupo Banco Popular, Banco de Bilbao y Vizcaya Argentaria (BBVA), Banesto.

También se han dado casos de similar naturaleza en el mundo "no virtual", mediante la técnica de colocar sobre los cajeros automáticos un armazón similar al del propio cajero, de manera que el usuario introducía su tarjeta, un lector copiaba los datos y a continuación pedía el código de la tarjeta de manera similar al cajero "real", cuando el usuario lo introducía, una aplicación mediante un emisor inalámbrico comunicaba los datos a una tercera persona, que disponía entonces de la información necesaria para utilizar fraudulentamente la tarjeta de crédito, mientras al usuario se le mostraba una página de error, indicándole la imposibilidad de realizar la acción solicitada y le era devuelta la tarjeta a fin de no levantar sospecha.

El phising, además de posibles perjuicios patrimoniales para el usuario individual, logra el efecto indeseado de minar la confianza en la banca online, con las graves consecuencias económico-sociales que esto supone y el perjuicio para todo el sistema.

Calificación penal de los hechos.

Con esta conducta se persigue la obtención de un resultado económico, si bien en otras modalidades el resultado perseguido es el de la simple obtención de los datos de carácter personal, lo que no supone ilícito penal siempre que no se desvelen esos datos.

En primer lugar, y dado su carácter necesario para lograr el engaño idóneo en el usuario, es necesario detenerse sobre la primera de las conductas realizadas por los " phisers ", nos encontramos, pues, con un posible uso fraudulento de los elementos de marca de la empresa imitada.

El artículo 274 CP, en su apartado primero, establece que " será castigado con la pena de seis meses a dos años de prisión y multa de 12 a 24 meses el que, con fines industriales o comerciales, sin consentimiento del titular de un derecho de propiedad industrial registrado conforme a la legislación de marcas y con conocimiento del registro, reproduzca, imite, modifique o de cualquier otro modo utilice un signo distintivo idéntico o confundible con aquel, para distinguir los mismos o similares productos, servicios, actividades o establecimientos para los que el derecho de propiedad industrial se encuentre registrado."

Es interesante la redacción del artículo, ya que en el caso del " phising ", no existe un interés comercial ni industrial, ni la utilización de los elementos de la marca se realiza para la comercialización de servicio alguno, simplemente se utilizan para provocar el error suficiente en los usuarios, que les impida discernir sobre si realmente se encuentran operando con su intermediario de confianza y no con un tercero ajeno. Así, desde el punto de vista del usuario, se le están ofreciendo los mismos servicios, desde una persona ajena la entidad imitada, pero la acción realmente no va a encaminada a contratar con esta persona un producto nuevo o a obtener un beneficio derivado de la explotación de la marca, dentro de la comercialización de productos y servicios, si no simplemente a obtener los datos necesarios para la finalidad propuesta, bien la recogida de datos, bien el uso de los mismos posteriormente para acceder y operar con una información determinada.

Así esta primera conducta, que cabría ser calificada como de actos preparatorios, no supone un ilícito penal en el caso del "phising", ya que falla el principio de tipicidad, aunque sí un ilícito civil, que daría lugar a la posibilidad de ejercitar acciones de las contenidas en la ley de propiedad intelectual RDL 1/1996, en su libro tercero, libro primero, artículos 138 y siguientes, como la acción de cesación, la acción de compensación por daños y perjuicios, etc, a ejercitar por el titular de los derechos de marca vulnerados.

Estas acciones las ejercitaría el titular legítimo del derecho de marca, independientemente de las responsabilidades penales, que como se verá a continuación corresponde ejercitar al ministerio fiscal y a la persona afectada (2) de acuerdo con la calificación del tipo correspondiente.

La simple recogida de los datos del usuario, que es presupuesto necesario para la realización de cualquiera de las conductas típicas, no encuentra en nuestro código penal reflejo como conducta típica (3) sino en conexión con una finalidad, bien sea el aprovechamiento económico, bien la revelación de secretos, así:

•  Ante el supuesto de interceptación y recopilación de los datos, con motivo de creación de bases de datos y utilización de los mismos con finalidades de cualquier tipo (publicidad, spam, etc), resulta necesaria la protección en este caso del bien jurídico de la inviolabilidad de las comunicaciones, derecho fundamental garantizado constitucionalmente (Artículos 18.1° y 3° y 24.4° de la Constitución ). De manera que el artículo 197.1 del código penal ofrece esa protección requerida para la salvaguarda del derecho constitucional. Así la redacción del precepto es la siguiente, en su apartado primero, " El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses ".

El tipo se ve agravado si tras la recogida de los datos, estos se difunden, revelan o ceden a terceros, como prescribe el 197.3 del código penal, con un incremento de las penas hasta los

Este caso, el más simple, existe una interceptación de las comunicaciones, conducta que encaja en el tipo penal. Existe interceptación, ya que para el usuario, su información está siendo trasmitida al servidor de la entidad, sin embargo, esta información realmente se almacena en un servidor ajeno a la misma. La interceptación no debe entenderse como el secuestro de la información cuando esta circula entre dos puntos distantes, conocidos, debe ser suficiente para considerar la conducta como interceptación cuando uno de los operadores la envía, como en este caso, bajo el error de creer que la información se trasmite por el cauce correcto y la misma es recibida por un tercero que no se corresponde con el destinatario de la información.

No se comete el ilícito penal si no hay finalidad de descubrir sus secretos o vulnerar su intimidad (4) mediante la acción. Así como tampoco hay ilícito penal, si posteriormente a la recogida, no se difunden, revelan o ceden los datos recabados (5) . Pero la realidad de las conductas descritas, es la de obtener un beneficio económico derivado del uso de los datos, como la cesión y venta de los mismos a empresas " spammers" o el uso de los mismos al ser el propio "spammer" quien realiza la interceptación, de manera que la conducta cae bajo el presupuesto de tipicidad recogido en el 197.6, que hace aumentar el tramos de aplicación de la pena en su mitad superior si existe ese animo de lucro.

2- Pero el caso más habitual, es el de la obtención de los datos para acceder a cuentas bancarias, a cuentas de plataformas de pago por internet, en definitiva al acceso a medios ideales para la disposición de patrimonio ajeno en beneficio propio. Dicha conducta nos aproxima al tipo de la estafa, recogido en el artículo 248 del código penal. En particular al apartado segundo del citado artículo, en el que incluye el uso de herramientas informáticas para la consecución del resultado lesivo en el bien jurídico protegido.

El artículo en su apartado primero, establece que "cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno." Y en el segundo "también se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero."

A primera vista, parece claro que en el caso del "phising" se cumple el requisito de tipicidad dentro de este precepto, ya que si bien, concurre el engaño por medio de herramientas informáticas, existe animo de lucro, pero no hay un acto de disposición a favor de tercero y en perjuicio propio o ajeno, pero sí una transferencia, no consentida, patrimonial realizada por el sujeto a favor del actor, en perjuicio del titular de los datos que garantizan el acceso. Así parece encajar el legislador este tipo de conductas, castigadas con penas de seis meses a tres años si la cuantía excede de cuatrocientos euros (6) , en lugar de optar por la fórmula de considerarlo como un robo con fuerza en las cosas mediante el uso de llave falsa, según el artículo 238 y siguientes del código penal, delito este cuya pena oscila entre uno y tres años de prisión (7) .

Uno de los problemas para discernir la subsunción de la conducta dentro de uno u otro precepto, es si la transferencia patrimonial a la que se hace alusión en el delito de estafa debe ser fruto del error provocado y realmente no deseada, pero el ejecutante de la orden de disposición es el propietario, o por el contrario, no importa quien realice la orden de disposición. En la estafa habitual, mediante engaño se consigue que el estafado realice el acto de disposición entregando el dinero u ordenando la transferencia a otra cuenta. Pero la conducta en este caso está destinada a obtener las claves de acceso a las cuentas, y números secretos que permiten desbloquear los instrumentos de seguridad de las entidades y realizar la transferencia de capital o realizar compras con cargo a una determinada cuenta. La jurisprudencia de nuestro país ha establecido el criterio claro, a través de la reiteración de numerosas sentencias (8) , en las que se resuelve que el empleo de la tarjeta de crédito para sustraer dinero de la cuenta de otra persona, sin su consentimiento, constituye robo con fuerza en las cosas, ya que se asimila el uso de la tarjeta al empleo de una llave falsa o constituyen las claves de las que habla el artículo 238.3 respecto a las claves de apertura de muebles y de espacios cerrados.

La problemática puede plantearse al considerar si los datos aportados son el equivalente a una llave, aunque esta sea virtual, pero que cumple la misma función que la contraseña y la propia tarjeta de crédito. Es decir asimilar si los datos de nombre de usuario, equivalen a la tarjeta de crédito, porque al fin y al cabo lo que la tarjeta contiene, entre otros datos, es un nombre de usuario, que permite realizar el login dentro de un sistema, y la contraseña que es conocida por el usuario.

En esta cuestión resulta interesante el análisis que de las claves de acceso a equipos y la extensión de supuestos, realiza la sentencia de la audiencia provincial de Tarragona de 14 de Marzo de 1997, donde declara " Que el delito de robo con fuerza realizado mediante llave falsa, de los art. 500, 504.4 C .P. (9) requiere una acción dirigida a un apoderamiento de una cosa mueble ajena, con ánimo de lucro, mediante el concurso de alguna de las formas o instrumentos especifica y taxativamente referidas en el art. 504, ya que como reiterada jurisprudencia ha señalado sus supuestos son numerus clausus no estando permitida una interpretación extensiva por ir ello contra el principio de legalidad (10) ".

Pero en este caso, las pegas a esta imposibilidad de ampliar los medios asimilables a llave falsa, chocan con la realidad con la que debe asimilarse el uso de la tarjeta de crédito y el nombre de usuario. En un principio tampoco se recogía en el código de 1973 la posibilidad de uso de las tarjetas de crédito, artículo 510 Decreto 3096/1973 de Texto Refundido de Código Penal, pero las nuevas necesidades promovieron su adopción por parte de la jurisprudencia, hasta que para salvar el escollo que diferentes interpretaciones podrían tener en los casos resueltos, el legislador lo incorporó a la enumeración de llaves falsas. Pero no parece razonable cerrarse en banda ante esta lista cuando la técnica provee de técnicas de funcionamiento similar a las expresadas con la única diferencia de que no coinciden exactamente, la valoración debe hacerse desde una aproximación más concreta a las acciones que originan la lesión del bien jurídico protegido. Así por ejemplo, es técnicamente posible clonar los datos almacenados en la banda magnética de cualquier tarjeta de crédito, y reproducirlos en un programa informático, para después conectar, sin necesidad de la presencia física de la tarjeta clonada u otra que haga las veces, a los enlaces adecuados de un cajero automático, y con ayuda del número secreto retirar dinero de la cuenta asociada a esa tarjeta, así en ese supuesto, factible, nos encontraríamos, en el caso de una interpretación literal de los objetos asimilables a llave falsa con que no es posible calificar esa conducta como robo con fuerza en las cosas, cuando la situación es, en esencia, la misma.

(1) La vía de contacto con el usuario mediante un email no es la única, pero sí la mas utilizada. Existen otras formas de conseguir que un usuario entre en la página web clonada, mediante enlaces en otras páginas web no fiables, buscadores inseguros, etc.

(2) No cabría apreciar vulneración del principio " ne bis in idem ", ya que los daños causados son diferentes, lesionan intereses de personas diferentes y encuentran diferentes vías de amparo y defensa. Así, por ejemplo, en el caso del banco, lo que se lesiona es la credibilidad de su marca, de su imagen, y en el caso de, por ejemplo, un usuario al que se le han robado sus datos de acceso al banco y con ellos sustraído cantidades de dinero de su cuenta, es la lesión patrimonial el daño causado. Suponen dos procesos diferentes relativos a ámbitos diferentes.

(3) La figura más próxima en este supuesto es la recogida en el artículo 197.2 que castiga con penas de uno a cuatro años de prisión y multa de doce a veinticuatro meses " al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero". No resultaría aplicable este tipo debido a que la persona que se apodera de los datos no lo hace desde una base de datos o un fichero que los contenga, sino que la apropiación es consecuencia de la comunicación por parte del legitimo propietario de los mismos, que resulta engañado. Este tipo penal castiga la mera apropiación sin la necesidad de un resultado lesivo posterior. Posiblemente este tipo debiera ser ampliado por el legislador para cubrir de forma clara la cesión voluntaria de datos bajo engaño y la apropiación consiguiente aunque los datos no se encuentren disponibles en una base de datos, y equiparar la protección de los datos.

Pero debería realizarse una interpretación más extensiva, destinada a garantizar la protección del derecho a la intimidad, que en casos como el comentado permitiría considerar, que, ya que lo habitual para los usuarios es tener sus datos escritos en una libreta al pie del ordenador o en un fichero informático de texto, de manera equiparable a un registro o archivo de claves, el error que produce la conducta en la persona la conducta descrita, habilita al actor para obtener esos datos, y así poder encajar la conducta dentro del tipo descrito, garantizando el mismo nivel de protección con independencia de la ubicación de los datos en una base de datos, ya que el bien jurídico protegido sufre una lesión independientemente del medio sobre el que la información esta fijada.

(4) Artículo 197.1 del código penal.

(5) Artículo 197.3 del código penal.

(6) En caso de ser lo defraudado de cuantía menor a los cuatrocientos euros, la conducta se considerará como falta, de acuerdo al artículo 623.4 del código penal.

(7) Artículo 240 del código penal.

(8) SSTS. 1658/ 98, de 17 de diciembre, 427/99, de 16 de marzo y 666/99, de 29 de abril

(9) Se refiere al antiguo Código Penal, vigente hasta 1995.

(10) TS. 21 abril, 2 de junio de 1993 y TS. 5 de mayo de 1993

2005 David Maeztu Lacalle. Departamento de Nuevas Tecnologías.

Esta obra está bajo una licencia de Creative Commons.