Delitos Informáticos e Investigación Digital
Tema 4. Delitos
cibereconómicos
Esquema
Ideas clave
4.1. Introducción y objetivos
4.2. Estafas a través de las tecnologías de la información y la comunicación (arts. 248-251 bis CP)
4.3. Defraudación del fluido eléctrico y análogos (arts.
255 y 256 CP)
4.4. Daños informáticos, denegación de servicio, virus y sabotajes informáticos (art. 264 y ss. CP)
4.5. Extorsión (ransomware) (art. 243 CP)
4.6. Contra la propiedad intelectual e industrial (art. 270 y ss. CP)
4.7. Espionaje informático (arts. 278 a 280 CP) 4.8. Falsedades (art. 390 y ss. CP)
4.9. Blanqueo de capitales (art. 301 y ss. CP)
4.10. Difusión de datos económicos engañosos para alterar el precio de un instrumento financiero o contrato de contado sobre materias primas (art. 284.1.2.º CP) 4.11. Referencias bibliográficas
A fondo
Grupo de Delitos Telemáticos
El ransomware y la extorsión
Muleros: ¿blanqueo o estafa?
4.1. Introducción y objetivos
Figura 1. «Ciberataques que matan a las empresas». Fuente: FERNÁNDEZ 2020.
Si te interesa saber más sobre los ciberataques, accede a la noticia desde la siguiente dirección web:
https://elpais.com/economia/2020/02/14/actualidad/1581694252_444804.html
Ya quedaron lejos las estafas clásicas, como los timos de la estampita o el tocomocho, en las que el modus operandi era tomar el papel de un discapacitado intelectual, de un inmigrante sin papeles o de adolescentes para embaucar a las posibles víctimas. En el contexto actual, las nuevas tecnologías son las herramientas que usan los delincuentes para cometer sus estafas. Un ejemplo de ello lo tenemos en el timo del CEO, que se basa en que los ciberdelincuentes suplantan la identidad de un ejecutivo para conseguir que un empleado haga lo que desee.
En este tema vamos a abordar la cuestión de los delitos cibereconómicos, que se definen como «aquellos en los que su autor pretende apoderarse de activos económicos y bienes de terceras personas, mediante el uso de Internet o de nuevas tecnologías» (VELASCO NÚÑEZ 2021).
Los objetivos de aprendizaje de esta unidad son los siguientes:
Conocer los diferentes tipos de estafas en la actualidad.
Aproximarnos a los diferentes delitos informáticos.
Abordar el cambio del modus operandi del blanqueo de capitales.
Conocer la doctrina jurisprudencial.
▸
▸
▸
▸
En el vídeo Fraude online y principales conclusiones ACFE 2020, los profesores contratados Dr. Pere Simón Castellano y Alfredo Abadías Selma hablarán junto con los especialistas Juan Mazarredo y Marisa Yepes de KPMG España, y Jorge Badillo, presidente de la Fundación Latinoamericana de Auditores Internos sobre el fraude en Internet.
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=4a0ae54b-9b1f- 4983-a2c0-ae1c0145aec6
4.2. Estafas a través de las tecnologías de la
información y la comunicación (arts. 248-251 bis CP)
De los procedimientos incoados por la Fiscalía General del Estado sobre los delitos informáticos, el 65,52 % son sobre estafas cometidas a través de las tecnologías de la información y la comunicación (en adelante, TIC) (FGE 2020). Esto nos aproxima a lo que puede ser el alcance de este delito.
Tipo básico
Art. 248:
«1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno».
Acción típica
En palabras de ANTÓN ONECA (1957), la acción típica es:
«La conducta engañosa con ánimo de lucro injusto, propio o ajeno que, determinando un error en una o varias personas, les induce a realizar un acto de disposición, consecuencia del cual es un perjuicio en su patrimonio o en el de un tercero».
En el delito de estafa han de darse una serie de elementos:
Engaño bastante.
Error.
Acto de disposición.
Perjuicio.
Puede cometerse este delito también por omisión, pues puede darse el caso de una venta de un inmueble en el que se escondan vicios ocultos, sin decirle nada al comprador (ABADÍAS SELMA 2021).
Bien jurídico protegido
Es común a todas las modalidades de estafa que existe un patrimonio ajeno en cualquiera de sus elementos integrantes: bienes muebles o inmuebles, derechos e incluso bienes de naturaleza inmaterial, como pueden ser las criptodivisas (FERNÁNDEZ-SALINERO SAN MARTÍN 2021).
Para MUÑOZ CONDE (2019), la estafa tiene que contener el patrimonio como un todo del bien jurídico protegido, salvo en alguna modalidad típica concreta. La estafa puede incidir en cualquiera de los elementos integrantes del patrimonio.
▸
▸
▸
▸
Sujetos
El sujeto activo del delito de estafa será una persona natural o jurídica. Puede serlo cualquiera y, por lo tanto, es un delito de carácter común.
El sujeto pasivo puede serlo cualquiera.
Elemento subjetivo
El ánimo de lucro, como elemento subjetivo del injusto, exigido hoy de manera explícita por el art. 248 CP, es entendido como el propósito de obtención, por parte del infractor, de una ventaja patrimonial correlativa, aunque no necesariamente equivalente, al perjuicio típico ocasionado. De esta forma, se elimina la incriminación a título de imprudencia (SJP Toledo 82/2020).
Los timos clásicos que se habían venido desarrollando en el mundo físico (cartas nigerianas, lotería española, etc.), en la actualidad, se cometen en formato virtual a través de Internet (subastas de eBay, petición de dinero del CEO de la empresa, entre otras). Penalmente, siguen siendo estafas subsumibles en el art. 248.1 CP, pues en ellas prima el engaño bastante (VELASCO NÚÑEZ 2021).
Estafadores del amor
Buscan perfiles de personas sin pareja y con buena posición económica. Estos estafadores conocen a sus posibles víctimas a través de las aplicaciones de citas o redes sociales. Su modus operandi es ganarse la confianza de la víctima. Para ello, los engañan con una relación amorosa y finalmente les piden una ayuda económica que posteriormente no devuelven.
Figura 2. «Cuando el amor y la estafa están en la red, nuevo reportaje de “En el punto de mira”». Fuente:
Cuatro.com, 2018.
Si deseas conocer más sobre este tipo de estafa, accede a la siguiente dirección web: https://www.cuatro.com/enelpuntodemira/promos/amor-estafa-
red-reportaje-punto-mira-internet-redes-sociales_0_2536275205.html
Estafa cometida por medios informáticos
«El tipo penal del art. 248.2 CP tiene la función de cubrir un ámbito al que no alcanzaba la definición de la estafa introducida en la reforma de 1983. La nueva figura tiene la finalidad de proteger el patrimonio contra acciones que no responden al esquema típico del art. 248.1 CP, pues no se dirigen contra un sujeto que pueda ser inducido a error. En efecto, los aparatos electrónicos no tienen errores como los exigidos por el tipo tradicional de la estafa, es decir, en el sentido de una representación falsa de la realidad. El aparato se comporta según el programa que lo gobierna y, en principio, “sin error […]”»
(STS 1476/2004).
La tipificación de esta modalidad de estafa informática devenía obligada por la Decisión Marco del Consejo de Ministros de la Unión Europea, de 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo.
Art. 248.2.a)
«2. También se consideran reos de estafa:
»a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro».
Acción típica
Los elementos del tipo cuya concurrencia resulta necesaria son el ánimo de lucro, el carácter no consentido de la prestación y el perjuicio de un tercero.
Bien jurídico protegido
El bien jurídico protegido es el patrimonio (la referencia a cualquier activo
patrimonial como objeto material sobre el que deba recaer la acción típica así lo avala). Además, la modalidad comisiva, a través de manipulaciones informáticas, tiende a conseguir una transferencia no consentida de activos patrimoniales (SJP Toledo 82/2020).
Consumación
Solo la causación efectiva del perjuicio como consecuencia de la transferencia no consentida de activos patrimoniales, conseguida a través de una manipulación informática o artificio semejante, da lugar a la consumación del delito (SERRANO GÓMEZ, et al., p. 327).
«El conocido como fraude informático está previsto como una modalidad de estafa con configuración propia, que no responde a la estructura tradicional aquella. Es un tipo a través del que se pretende proteger el patrimonio de los ataques que propician las nuevas tecnologías y cuyo eje lo constituye lo que el Código describe como
“manipulación informática o artificio semejante”. Son estos los que han de ser idóneos para conseguir esa transferencia inconsentida de un activo patrimonial, que integra el acto de disposición que provoca el enriquecimiento que el autor persigue. A diferencia de lo que ocurre respecto a la estafa prevista en el n.o 1 del artículo 248 del CP, el engaño ya no es un elemento básico ni es de imprescindible presencia. Se ha visto sustituido en esa función por los artificios prohibidos. En palabras de la STS 533/2007, de 12 de junio, no es precisa la concurrencia de engaño alguno por el estafador, porque el acecho a patrimonios ajenos realizados mediante manipulaciones informáticas actúa con automatismo en perjuicio de tercero, precisamente porque existe la manipulación informática y por ello no se exige el engaño personal» (STS 49/2020).
Fabricación, introducción, posesión y facilitación de programas informáticos destinados a la comisión de las estafas
Art. 248.2.b)
«b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo».
«De manera que el legislador sanciona iniciales actos exteriores de preparación de la ejecución, pero no con la pena de las formas imperfectas de ejecución —especialmente la tentativa—, sino con la consumación, pues equipara e impone la misma sanción a quien meramente detenta software que no tiene otra finalidad que estafar, con la estafa misma, haya o no habido tiempo de desarrollarla, considerando que esa finalidad, sin alternativa legal sobre posesión lícita posible, supone y equivale a su consumación, ante la imposibilidad de usos lícitos alternativos» (VELASCO NÚÑEZ 2021).
Acción típica
Abarca desde la fabricación o elaboración, hasta la facilitación o tenencia de programas de ordenador que estén destinados a la comisión de estafas. Ello implica que si el programa, aunque sea adecuado para ello, no se ha elaborado o no se posee con dicha finalidad, el hecho sería atípico (GÓMEZ RIVERO et al. 2020).
Estafas realizadas mediante tarjetas de crédito o débito y cheques de viaje
Art. 248.2.c)
«c) Los que, utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero».
Acción típica
Consiste en realizar operaciones de cualquier clase, lo que incluye todos aquellos supuestos en los que se produce cualquier tipo de negocio jurídico que dé lugar a una transferencia patrimonial (GÓMEZ RIVERO et al. 2020).
Caso real
«Con ánimo de ilícito enriquecimiento, utilizó de forma fraudulenta las tarjetas bancarias pertenecientes a Esther, Dionisio, Epifanio, Arsenio e Isidora, con cargo a las cuales efectuó diversas operaciones. Las tarjetas habían sido sustraídas por terceros no determinados, no constando el modo en que Carlos José había obtenido dichas tarjetas.
»[…] La conducta del acusado encaja en las previsiones típicas del artículo 248.2.c) del Código Penal, por cuanto que, con conocimiento de que las tarjetas bancarias que manejaba no le habían sido facilitadas por sus titulares, efectuó diversas operaciones en su favor (transferencias patrimoniales no consentidas) en el modo expresado en el apartado de hechos probados, con cargo a las cuentas a las que correspondían las citadas tarjetas y con obtención de un lucro ilícito» (SAP Madrid 64/2017).
Estas estafas difieren del art. 399 bis CP (más penado) de falsificación de tarjetas bancarias en que este exige la construcción física de soportes reales
alternos y exige su uso físico concreto. Por el contrario, en esta estafa informática vinculada a tarjetas bancarias, el mero uso inconsentido de datos reales y veraces, solo que por parte de quien no es su titular, ya constituye la acción como asimilada a la estafa, uso que se verifica totalmente en el espacio
virtual (VELASCO NÚÑEZ 2021).
Penalidad
Art. 249
«Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años. Para la fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico causado al perjudicado, las relaciones entre este y el defraudador, los medios empleados por este y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.
»Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a tres meses».
Tipos cualificados del delito de estafa
En opinión de VELASCO NÚÑEZ (2021), estos tipos penales suelen estar asociados a organizaciones criminales que actúan en masa usando un mismo reclamo en ejecución de planes preconcebidos, que dirigen contra el máximo número posible de víctimas (delito masa). A veces incorporan mecanismos que lo automatizan para proporcionar una mayor difusión en el menor tiempo posible, lo que conllevará la apreciación de agravantes específicas del art. 250, además de un concurso real con el delito del art. 570 bis o ter CP.
Art. 250
«1. El delito de estafa será castigado con las penas de prisión de uno a seis años y multa de seis a doce meses, cuando:
»[…] 5.º El valor de la defraudación supere los 50 000 euros o afecte a un elevado número de personas».
Responsabilidad de las personas jurídicas
Art. 251 bis
«Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en esta Sección, se le impondrán las siguientes penas:
»a) Multa del triple al quíntuple de la cantidad defraudada, si el delito cometido por la persona física tiene prevista una pena de prisión de más de cinco años.
»b) Multa del doble al cuádruple de la cantidad defraudada, en el resto de los casos.
»Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33».
4.3. Defraudación del fluido eléctrico y análogos (arts. 255 y 256 CP)
La defraudación es una modalidad de la estafa cuya especificidad suele consistir en que, mientras unos pagan por un servicio o prestación, otros se benefician en perjuicio de quien lo sufraga (VELASCO NÚÑEZ 2019).
Art. 255
«1. Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido ajenos, por alguno de los medios siguientes:
»1.º Valiéndose de mecanismos instalados para realizar la defraudación.
»2.º Alterando maliciosamente las indicaciones o aparatos contadores.
»3.º Empleando cualesquiera otros medios clandestinos.
»2. Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses».
Acción típica
Exige que, para cometer la defraudación, se utilice alguno de los medios a los que se hace referencia en el citado artículo: valerse de mecanismos instalados para realizar la defraudación, alterar maliciosamente las indicaciones o aparatos contadores o emplear cualesquiera otros medios clandestinos (SAP Cantabria 567/2012).
Caso real
«El Ministerio Fiscal reclama la condena de la acusada por el delito de defraudación por utilización de medios de telecomunicación ajenos, entendiendo que la Sala de instancia llevó a cabo una inferencia ilógica cuando concluyó que la acusada era ajena a la manipulación de cables telefónicos correspondientes a su domicilio, a pesar del elevado consumo facturado y el beneficio exclusivo que para la misma se irrogó. Y sostiene el recurrente que no importa si aquella realizó materialmente la conexión o no, si tuvo la idea o le ofrecieron el servicio» (STS 934/2006).
Art. 256
«1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, y causando a este un perjuicio económico, será castigado con la pena de multa de tres a doce meses.
»2. Si la cuantía del perjuicio causado no excediere de 400 euros, se impondrá una pena de multa de uno a tres meses».
Cuando el uso no autorizado tiene lugar sin la utilización de medios clandestinos, mediante el simple empleo no consentido del equipo terminal conforme a su destino, se debe aplicar el art. 256 CP. Este artículo prevé la misma pena, pese al inferior desvalor de la acción, es decir, una multa de tres
a doce meses (SAP Cantabria 567/2012).
4.4. Daños informáticos, denegación de servicio, virus y sabotajes informáticos (art. 264 y ss. CP)
Art. 264
«1. El que, por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años».
Es una ley penal en blanco. Hay que acudir a normas extrapenales para conocer el contenido de datos informáticos, programas informáticos y documentos electrónicos (SERRANO GÓMEZ, et al., p. 367).
Acción típica
Precisa como elemento típico que la conducta y el resultado producido sean graves (SAP Lleida 201/2018). Para determinar la gravedad de la conducta y del resultado, habrá que valorar cada caso concreto.
Caso real
«Así, en cuanto a la conducta, la gravedad del ataque podrá revestir las más diversas modalidades, desde las más elementales, consistentes simplemente en borrar o dañar datos informáticos, programas o documentos, hasta otras mucho más elaboradas, como el denominado ciberpunking que se diferencia a su vez del hacking (o intrusismo informático) o del cracking (o vulneración de los derechos de autor) y, entre las primeras se encuentran desde los ya conocidos troyanos u otros virus informáticos hasta las llamadas time
bombs (bombas lógicas de acción retardada que destruyen ficheros) o el superzapping (o uso no autorizado de un programa de utilidad para alterar o borrar los datos almacenados) o los cáncer rutine (órdenes que provocan su reproducción en otros programas), entre otros procedimientos idóneos de afectar directamente a los datos o programas informáticos o a los documentos electrónicos» (SAP Lleida 201/2018).
Agravantes
Art. 264.2
«2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
»1.ª Se hubiese cometido en el marco de una organización criminal.
»2.ª Haya ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos.
»3.ª El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.
»4.ª Los hechos hayan afectado al sistema informático de una infraestructura crítica o se hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará infraestructura crítica un elemento, sistema o parte de este que sea esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de
la población cuya perturbación o destrucción tendría un impacto significativo al no poder mantener sus funciones.
»5.ª El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264 ter.
»Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en grado.
»3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero».
Siguiendo el modelo del Convenio de Europa y de la Directiva 2013/40/UE, el CP distingue entre la intromisión o daños a los datos (art. 264 CP) y la intromisión o los ciberataques a sistemas de la información (sistemas de redes o el hardware) en el art. 264 bis CP (GÓMEZ RIVERO et al. 2020).
Art. 264 bis
«1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizará o interrumpiera el funcionamiento de un sistema informático ajeno:
»a) realizando alguna de las conductas a que se refiere el artículo anterior;
»b) introduciendo o transmitiendo datos; o
»c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.
»Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
»2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.
»3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero».
Art. 264 ter
«Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los dos artículos anteriores:
»a) un programa informático, concebido o adaptado principalmente para cometer alguno de los delitos a que se refieren los dos artículos anteriores; o
»b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información».
Se castiga en este delito la conducta de los hackers, que realizan ataques a los sistemas informáticos (SERRANO GÓMEZ, et al., p. 371).
Responsabilidad de las personas jurídicas
Art. 264 quater
«Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en los tres artículos anteriores, se le impondrán las siguientes penas:
»a) Multa de dos a cinco años o del quíntuplo a doce veces el valor del perjuicio causado, si resulta una cantidad superior, cuando se trate de delitos castigados con una pena de prisión de más de tres años.
»b) Multa de uno a tres años o del triple a ocho veces el valor del perjuicio causado, si resulta una cantidad superior, en el resto de los casos.
»Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33».
4.5. Extorsión (ransomware) (art. 243 CP)
Consiste en obligar a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico con contenido patrimonial, lo que produce un perjuicio para su patrimonio o para un tercero (ABADÍAS SELMA 2021).
Los ataques de ransomware admiten diversas variantes, ya sea bloqueando el acceso al dispositivo, ya encriptando archivos o el disco duro del ordenador, de manera que se oscurecen o raptan contenidos. Tienen en común que solo se pueden recuperar mediante el pago económico, claramente chantajista, del rescate o ransom que exigen a la víctima quienes los han ocasionado (VELASCO NÚÑEZ 2021).
4.6. Contra la propiedad intelectual e industrial (art. 270 y ss. CP)
El art. 273 CP protege los ataques más graves a las patentes, modelos de utilidad, dibujo industrial, etc.; el art. 274 CP, a las marcas, títulos de obtención vegetal, entre otros; el art. 275 CP, a las denominaciones de origen o indicaciones geográficas de calidad; y el art. 277 CP a las patentes secretas.
Las infracciones contra ambas propiedades, intelectual e industrial (art. 288 CP), son delitos comisibles por persona jurídica (VELASCO NÚÑEZ 2021).
Elemento subjetivo
Todos los casos son delitos dolosos, pues no está legalmente prevista ninguna modalidad imprudente (SERRANO GÓMEZ, et al., p. 379).
Caso 1
«Caso señora BG Dekker contra Sanoma Media Netherlands BV, editora de la revista Playboy, analiza el caso de unas fotos que, sin permiso, se publicaron en la Red mediante un hipervínculo a Filefactory de alguien que remitió un anónimo, publicándolas la Web Geenstijl —con más de 230 000 visitantes diarios, una de las 10 más vistas en Holanda— que explota GS Media, sin pagar por los derechos que aquella cedió a Sanoma, sin tener autorización para hacerlo» (STJUE C-160/15).
Caso 2
«La colocación de un hipervínculo en un sitio de Internet que remite a obras protegidas por los derechos de autor y publicadas sin la autorización del autor en otro sitio de Internet no constituye una
“comunicación al público” cuando la persona que coloca tal vínculo actúa sin ánimo de lucro y sin conocer la ilegalidad de la publicación de esas obras. En cambio, si tales hipervínculos se proporcionan con ánimo de lucro, debe presumirse que se conoce el carácter ilegal de la publicación en el otro sitio de Internet» (TJUE, comunicado de prensa 92/16).
4.7. Espionaje informático (arts. 278 a 280 CP)
Se regula en los arts. 278, 279 y 280 del Código Penal el delito de revelación de secretos de empresa o espionaje industrial en sus distintas modalidades.
Tabla 1. Distintas modalidades del espionaje informático. Fuente: elaboración propia.
El delito de espionaje informático de secretos de empresa protege el carácter singular de ciertos elementos y componentes sustanciales y diferenciales de la empresa. Estos abarcan los conocimientos específicos diferenciales sobre el sector productivo en que operan, ya sea en forma de datos, de documentos escritos o electrónicos, de soportes informáticos o de otros objetos referidos a ellos (VELASCO NÚÑEZ 2021).
4.8. Falsedades (art. 390 y ss. CP)
Delito medio para cometer otros. La falsedad de documentos informáticos (spoofing), se pena según el tipo de soporte y el carácter del documento que representa por su fin social. Desde luego, el documento en soporte electrónico o informático es un documento a los fines de este tipo penal (VELASCO NÚÑEZ 2019).
Falsedad de tarjetas (art. 399 bis CP)
Delito específico debido a lo falsificado. El medio de pago concreto es la tarjeta de crédito o débito o el cheque de viajes, que debemos diferenciar de lo analizado supra sobre estafa informática, en el art. 248.2.c) CP (VELASCO NÚÑEZ 2021).
Se trata de un delito que puede ser cometido por personas jurídicas (art. 399 bis.1 in fine CP).
4.9. Blanqueo de capitales (art. 301 y ss. CP)
En la actualidad, el uso del dinero electrónico (tarjetas de crédito, banca online, e- cash, casinos online, etc.) y de los sistemas electrónicos de micropagos cada vez es más usual. Este método es el que se está utilizando últimamente para retornar al mercado ganancias delictivas a través del blanqueo.
La finalidad de encubrir u ocultar la ilícita procedencia de los bienes o ayudar a los participantes del delito previo constituye, en consecuencia, un elemento esencial integrante de todas las conductas previstas en el art. 301.1 CP. Esta conclusión se justifica porque el blanqueo pretende incorporar esos bienes al tráfico económico legal y la mera adquisición, posesión, utilización, conversión o transmisión constituye un acto neutro que no afecta por sí mismo al bien jurídico protegido.
Elemento subjetivo
La doctrina jurisprudencial acepta sin reservas la aplicación del dolo eventual en los delitos de blanqueo (STS 483/2007).
El art. 301.3 contiene una penalización expresa del blanqueo imprudente. Es cierto que el castigo del blanqueo imprudente no constituye una prioridad en el ámbito internacional. Sin embargo, tampoco se excluye, pues se incorpora, por ejemplo, en el art 6 del Convenio de Estrasburgo de 1990, en el ámbito del Consejo de Europa, y en el Reglamento Modelo sobre delitos de Lavado de Activos, de la Organización de Estados Americanos de 1992.
Caso real (muleros bancarios)
«Y es evidente que la conducta realizada por el recurrente, al aceptar en su cuenta una cantidad que procedía de una actividad delictiva, y contribuir a ocultarla, transfiriéndola a una persona situada en el extranjero, es objetivamente constitutiva de blanqueo. Y, subjetivamente, es también evidente que el acusado omitió las más elementales medidas de cuidado al aceptar recibir en su cuenta cantidades de dinero de procedencia desconocida y actuar como intermediario para transmitirlas a una persona situada en Ucrania, pues aun cuando formalmente desconociese la procedencia delictiva de las sumas recibidas, es claro para cualquier persona de inteligencia media que la operación que se le solicitaba conducía a ocultar unos bienes en un lugar de difícil acceso para la actividad policial, sin que sea necesaria la intervención de intermediarios para realizar transferencias lícitas, por lo que su procedencia delictiva era fácilmente deducible utilizando un mínimo de diligencia» (STS 506/2015).
La figura de los muleros está siendo muy controvertida por parte de la jurisprudencia.
Unas veces se califica al mulero como cooperador necesario de una estafa informática y, otras, como autor de un delito de blanqueo de capitales con imprudencia grave.
El Tribunal Supremo en la sentencia 834/2012, del 25 de octubre de 2012, resuelve que:
«La calificación jurídica de los hechos como integrantes de un delito de estafa informática, receptación o blanqueo de capitales, obligará a analizar en qué medida el dolo de ese tercero que hace posible el rendimiento del capital evadido, capta los elementos del tipo objetivo del delito de estafa».
En el blanqueo de capitales, la imprudencia no recae sobre la forma en que se ejecuta el hecho, sino en el conocimiento de la naturaleza delictiva de los
bienes receptados.
El blanqueo de capitales es un delito que puede ser cometido por persona jurídica (art. 302.2 CP).
4.10. Difusión de datos económicos engañosos para alterar el precio de un instrumento financiero o contrato de contado sobre materias primas (art.
284.1.2.º CP)
La reforma operada por la Ley Orgánica 1/2019, con vigor desde el 13 de marzo de 2019, ha introducido un delito contra el mercado y los consumidores que se puede difundir principalmente a través de Internet y las nuevas tecnologías.
Art. 284.1.2.º
«2.º Por si, de manera directa o indirecta o a través de un medio de comunicación, por medio de internet o mediante el uso de tecnologías de la información y la comunicación, o por cualquier otro medio, difundieren noticias o rumores o transmitieren señales falsas o engañosas sobre personas o empresas, ofreciendo a sabiendas datos económicos total o parcialmente falsos con el fin de alterar o preservar el precio de cotización de un instrumento financiero o un contrato de contado sobre materias primas relacionado o de manipular el cálculo de un índice de referencia, cuando obtuvieran, para sí o para tercero, un beneficio, siempre que concurra alguna de las siguientes circunstancias:
»a) que dicho beneficio fuera superior a doscientos cincuenta mil euros o se causara un perjuicio de idéntica cantidad;
»b) que el importe de los fondos empleados fuera superior a dos millones de euros;
»c) que se causara un grave impacto en la integridad del mercado».
4.11. Referencias bibliográficas
ABADÍAS SELMA, A. Derecho penal. Parte especial. Temas prácticos para su estudio. 1.a ed. A Coruña: Colex, 2021.
ANTÓN ONECA, J. Las estafas y otros engaños en el Código Penal y en la Jurisprudencia. Barcelona: Francisco Seix, 1957.
«Cuando el amor y la estafa están en la red, nuevo reportaje de “En el punto de m i r a ” » . Cuatro.com. 25 de marzo de 2018, 13:38. Disponible en:
https://www.cuatro.com/enelpuntodemira/promos/amor-estafa-red-reportaje-punto- mira-internet-redes-sociales_0_2536275205.html
FERNÁNDEZ, MARÍA. «Ciberataques que matan a las empresas». El País. 15 de
febrero de 2020, 20:38. Disponible en:
https://elpais.com/economia/2020/02/14/actualidad/1581694252_444804.html
FERNÁNDEZ-SALINERO SAN MARTÍN, M.Á. «Estafa (art. 248-251 bis CP)». En:
ABADÍAS SELMA, A. y BUSTOS RUBIO, M. (dirs.). Temas prácticos para el estudio del derecho penal económico. A Coruña: Colex, 2020.
FISCALÍA GENERAL DEL ESTADO. Memoria Anual de la Fiscalía General del
Estado (Ejercicio 2019), 2020. Disponible en:
https://www.fiscal.es/memorias/memoria2020/FISCALIA_SITE/index.html [consulta:
julio de 2021].
GÓMEZ RIVERO, M. C., NIETO MARTÍN, A., CORTÉS BECHIARELLI, E. y NÚÑEZ CASTAÑO, E. Nociones fundamentales de Derecho Penal. Parte especial. 1.a ed.
Madrid: Tecnos, 2020.
MUÑOZ CONDE, F. Derecho penal. Parte especial. Valencia: Tirant lo Blanch, 2019.
SERRANO GÓMEZ, A., SERRANO MAÍLLO, A., SERRANO TÁRRAGA, D. y VÁZQUEZ GONZÁLEZ, C. Curso de derecho penal. Parte especial. 5.a ed. Madrid:
Dykinson, 2019.
TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA. La colocación de un hipervínculo en un sitio de Internet que remite a obras protegidas por los derechos de autor y publicadas sin la autorización del autor en otro sitio de Internet no constituye una «comunicación al público» cuando la persona que coloca tal vínculo actúa sin ánimo de lucro y sin conocer la ilegalidad de la publicación de esas obras, núm.
92/16, 8 de septiembre de 2016. Disponible en:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-09/cp160092es.pdf [consulta: julio de 2021].
VELASCO NÚÑEZ, E. «Tipos delictivos», pp. 21-27. En: VELASCO NÚÑEZ, E. y SANCHIS CRESPO, C. (aut.). Delincuencia informática. Tipos delictivos e investigación. Con jurisprudencia tras la reforma procesal y penal de 2015. Valencia:
Tirant lo Blanch, 2019.
VELASCO NÚÑEZ, E. Delitos tecnológicos. Cuestiones penales y procesales. 1.a ed.
Madrid: La Ley, 2021.
Referencias legislativas y jurisprudenciales
Reglamento Modelo sobre delitos de lavado relacionados con el tráfico de drogas y delitos conexos, aprobado por la Asamblea General de la Organización de Estados Americanos, de 23 de mayo de 1992.
Decisión Marco del Consejo (2001/413/JAI), de 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo. Diario Oficial de las Comunidades Europeas, núm. 149, de 2 de junio de 2001, pp. 1-4.
Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se
sustituye la Decisión Marco 2005/222/JAI del Consejo. Diario Oficial de la Unión Europea, de 14 de agosto de 2013. Disponible en:
https://boe.es/doue/2013/218/L00008-00014.pdf
Instrumento de Ratificación por parte de España del Convenio relativo al blanqueo, seguimiento, embargo y decomiso de los productos del delito, hecho en Estrasburgo el 8 de noviembre de 1990. Boletín Oficial del Estado, núm. 252, de 21 de octubre de 1998, pp. 34713-34726. Disponible en: https://www.boe.es/eli/es/ai/1990/11/08/(1)
Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001. Boletín Oficial del Estado, 17 de septiembre de 2010, núm. 226, pp. 78847-78896. Disponible en:
https://www.boe.es/eli/es/ai/2001/11/23/(1)
Ley Orgánica 1/2019, de 20 de febrero, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, para transponer Directivas de la Unión Europea en los ámbitos financiero y de terrorismo, y abordar cuestiones de índole internacional. Boletín Oficial del Estado, 21 de febrero de 2019, núm. 45, pp.
16698-16712. https://www.boe.es/eli/es/lo/2019/02/20/1
Tribunal de Justicia de la Unión Europea (Sala Segunda). Asunto C-160/15, de 8 de septiembre de 2016. EU:C:2016:644.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 1476/2004, de 21 de diciembre de 2004. ES:TS:2004:8324.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 483/2007, de 4 de junio de 2007. ES:TS:2007:3932.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 934/2006, de 29 de septiembre de 2006. ES:TS:2006:5705.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 834/2012, de 25 de octubre de 2012. ES:TS:2012:8284.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 506/2015, de 27 de julio de 2015. ES:TS:2015:3520.
Tribunal Supremo (Sala Segunda, de lo Penal). Sentencia núm. 49/2020, de 12 de febrero de 2020. ES:TS:2020:332.
Audiencia Provincial de Cantabria (Sección 3.ª). Sentencia núm. 567/2012, de 2 de noviembre de 2012. ES:APS:2012:956.
Juzgado de Toledo (de lo Penal n.° 1). Sentencia núm. 82/2020, de 19 de marzo de 2020. ES:JP:2020:344.
Audiencia Provincial de Lleida (Sección 1.ª). Sentencia núm. 201/2018, de 4 de mayo de 2018. ES:APL:2018:500.
Audiencia Provincial de Madrid (Sección 5.ª). Sentencia núm. 64/2017, de 17 de julio de 2017. ES:APM:2017:10303.
Grupo de Delitos Telemáticos
« I n i c i o » . Grupo de Delitos Telemáticos . Disponible en:
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
El Grupo de Delitos Telemáticos fue creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil, todos aquellos delitos que se cometen a través de Internet. Asimismo, se dedican a la investigación de la delincuencia que se vale de las redes y sistemas de información para la comisión de delitos. También cabe destacar los esfuerzos que este grupo realiza para fomentar un uso seguro de las nuevas tecnologías, consciente de que, a la larga, este esfuerzo ayudará a minimizar el impacto de la delincuencia.
El ransomware y la extorsión
«El ransomware y la triple extorsión, la amenaza económica que se transformó en un problema de seguridad nacional». BAE Negocios. 18 de mayo de 2021, 18:05.
Disponible en: https://www.baenegocios.com/empresasymanagement/El- ransomware-y-la-triple-extorsion-la-amenaza-economica-que-se-transformo-en-un- problema-de-seguridad-nacional-20210518-0099.html
En este artículo se analiza el daño económico que produce un ataque de ransomware a las empresas y cómo se está convirtiendo en una amenaza para la salud pública y la seguridad. Según los datos de la Agencia Federal de Inteligencia de Estados Unidos, se estima que hubo unos 184 millones de ciberataques de ransomware durante el año 2020, mientras que un estudio de Check Point alertó de que, entre enero y marzo de 2021, los ataques de este tipo habían aumentado un 57 %.
Muleros: ¿blanqueo o estafa?
«“Los muleros”. ¿Cometen estafa o blanqueo de capitales?». Editorial jurídica Sepín.
27 de noviembre de 2012. Disponible en: https://blog.sepin.es/2012/11/los-muleros- cometen-estafa-o-blanqueo-de-capitales/
El artículo trata de la cuestión controvertida sobre la figura de los muleros y cómo la jurisprudencia ha dictado sentencias contradictorias. Esto se debe a que, a veces, se califica al mulero como cooperador necesario de una estafa informática y otras como autor de un delito de blanqueo de capitales con imprudencia grave.
Fraude del CEO
«Fraude del CEO». Instituto Nacional de Ciberseguridad. 19 de enero de 2017.
Disponible en: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude- del-ceo
Desde INCIBE nos informan que se está detectando un número creciente de casos del timo conocido como «estafa del CEO». En esta página encontraremos información sobre los recursos afectados, una descripción de la modalidad delictiva, una muestra de los mensajes de correo que se pueden llegar a recibir y, por último, diferentes formas de evitarlo.
1. La definición de delitos cibereconómicos, según VELASCO NÚÑEZ, es:
A. Aquellos en los que su autor pretende ceder los activos económicos y bienes de terceras personas, mediante el uso de Internet o de nuevas tecnologías.
B. Aquellos en los que su autor no pretende apoderarse de activos económicos y bienes de terceras personas, mediante el uso de Internet o de nuevas tecnologías.
C. Aquellos en los que su autor pretende apoderarse de activos económicos y bienes de terceras personas, mediante el uso de Internet o de nuevas tecnologías.
D. Todas son falsas.
2. En las llamadas «estafas del amor», el perfil de las víctimas suele ser:
A. Personas sin pareja y con buena posición económica.
B. Personas con pareja y con buena posición económica.
C. Personas sin pareja y con mala posición económica.
D. Todas son verdaderas.
3. La tipificación de estafa por medios informáticos devenía obligada por:
A. La Decisión Marco del Consejo de Ministros de la Unión Europea sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, de 28 de mayo de 2005.
B. La Decisión Marco del Consejo de Ministros de la Unión Europea sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, de 28 de junio de 2006.
C. La Decisión Marco del Consejo de Ministros de la Unión Europea sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, de 28 de mayo de 2001.
D. La Decisión Marco del Consejo de Ministros de la Unión Europea sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, de 28 de mayo de 2020.
4. El conocido fraude informático está previsto como una modalidad:
A. De estafa con configuración propia, que no responde a la estructura tradicional.
B. De estafa con configuración impropia, que no responde a la estructura tradicional.
C. De estafa con configuración propia, que sí responde a la estructura tradicional.
D. Está previsto como un ilícito administrativo.
5. El art. 248.2.c) difiere del art. 399 bis CP:
A. En que el art. 399 bis exige la construcción física de soportes reales alternos y exige su uso físico concreto. Por el contrario, esta estafa informática vinculada a tarjetas bancarias, donde el mero uso consentido de datos reales y veraces, por parte de quien no es su titular, ya constituye la acción como asimilada a la estafa, uso que se verifica totalmente en el espacio virtual.
B. En que el art. 399 bis exige la construcción física de soportes reales alternos y exige su uso físico concreto. Por el contrario, esta estafa informática vinculada a tarjetas bancarias, donde el mero uso inconsentido de datos reales y veraces, por parte de quien no es su titular, ya constituye la acción como asimilada a la estafa, uso que se verifica totalmente en el espacio virtual.
C. En que el art. 399 bis exige la construcción virtual de soportes reales alternos y exige su uso físico concreto. Por el contrario, esta estafa informática vinculada a tarjetas bancarias, donde el mero uso inconsentido de datos reales y veraces, por parte de quien no es su titular, ya constituye la acción como asimilada a la estafa, uso que se verifica totalmente en el espacio virtual.
D. En que el art. 399 bis exige la construcción física de soportes reales alternos y exige su uso físico concreto. Por el contrario, esta estafa informática vinculada a tarjetas bancarias, donde el mero uso inconsentido de datos falsos, por parte de quien no es su titular, ya constituye la acción como asimilada a la estafa, uso que se verifica totalmente en el espacio virtual.
6. El art. 250 puede confluir con el art. 572 bis o ter CP en un:
A. Concurso ideal.
B. Concurso medial.
C. Todas son verdaderas.
D. Concurso real.
7. La acción típica del art. 264 precisa que la conducta y el resultado producido sean:
A. Menos graves.
B. Leves.
C. No precisa ningún resultado, ya que es un delito de peligro.
D. Graves.
8. La extorsión (ransomware), según ABADÍAS SELMA, consiste en:
A. Obligar a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico con contenido patrimonial, lo que produce un perjuicio para su patrimonio o para un tercero.
B. Obligar a otro, con violencia, a realizar u omitir un acto o negocio jurídico con contenido patrimonial, lo que produce un perjuicio para su patrimonio o para un tercero.
C. Obligar a otro, sin violencia o intimidación, a realizar u omitir un acto o negocio jurídico con contenido patrimonial, produciéndose un perjuicio para su patrimonio o para un tercero.
D. Obligar a otro, con violencia o intimidación, a realizar u omitir un acto o negocio jurídico con contenido patrimonial, sin perjuicio para su patrimonio o para un tercero.
9. El art. 301.3 del CP contiene una penalización expresa de:
A. Blanqueo agravado.
B. Blanqueo hiperagravado.
C. Blanqueo imprudente.
D. Todas son falsas.
10. El delito contra el mercado y los consumidores que se puede difundir principalmente a través de Internet y las nuevas tecnologías fue introducido por la reforma de:
A. La Ley Orgánica 1/2015, de 30 de marzo.
B. La Ley Orgánica 15/2003, de 25 de noviembre.
C. La Ley Orgánica 6/2021, de 28 de abril.
D. La Ley Orgánica 1/2019, de 20 de febrero.