La estafa informática: relevancia penal del phishing y el pharming

Luis Fernando REY HUIDOBRO

Teniente Fiscal de la Fiscalía de la Comunidad Foral de Navarra. Doctor en Derecho. Profesor Asociado
de la Universidad de Navarra

Diario La Ley, Nº 7926, Sección Doctrina, 19 de Septiembre de 2012, Ref. D-322, LA LEY

ÍNDICE

La estafa informática relevancia penal del phishing y el pharming

I. ¿EN QUÉ CONSISTEN EL PHISHING Y EL PHARMING?
II. DELITOS QUE COMETE EL PROMOTOR DE ESTAS CONDUCTAS
1. La pertenencia a organización o grupo criminal: el posible concurso con otros delitos
2. El delito de estafa informática
A) Momento de la consumación de la estafa en la transferencia electrónica de
fondos
B) Competencia territorial para conocer del delito de estafa
3. El delito de descubrimiento y revelación de secretos
4. El posible delito de falsedad documental
III. RESPONSABILIDAD PENAL DEL MULERO
1. ¿Quiénes son los muleros?
2. La actuación con error
3. Los delitos de estafa informática y de blanqueo de capitales en que pueden incurrir
IV. LA RESPONSABILIDAD CIVIL DERIVADA DEL DELITO DE ESTAFA INFORMÁTICA
Normativa comentada
LO 10/1995 de 23 Nov. (Código Penal)
LIBRO II. Delitos y sus penas
TÍTULO XIII. Delitos contra el patrimonio y contra el orden socioeconómico
CAPÍTULO VI. De las defraudaciones
SECCIÓN 1.ª. De las estafas
Artículo 248
Comentarios
Resumen

1 / 30
 Con la irrupción de nuevas tecnologías en nuestra sociedad moderna, cada vez son más frecuentes los

ataques al patrimonio ajeno a través de las conductas conocidas como phishing o pharming como especies

de estafas informáticas. El presente trabajo trata de examinar, de un lado, los posibles delitos que pueden

cometer los hacker o promotores de este tipo de conductas y, de otro, los que pueden cometer los

llamados muleros o personas utilizadas por los mismos para recibir las transferencias de dinero de la

víctima en su cuenta con el fin de remitir su importe a terceros (normalmente los propios promotores del

delito) a través de un medio que permite ocultarlo, quedándose con una comisión. Podemos observar que

ambos comportamientos pueden dar lugar a un variado concurso de delitos y presentar una variada

problemática jurídica. Además se analiza la cuestión de la responsabilidad civil derivada del delito.

I. ¿EN QUÉ CONSISTEN EL PHISHING Y EL PHARMING?

Todos los ordenadores conectados a internet tienen una dirección IP única, que consiste en 4 octetos (4
grupos de 8 dígitos binarios). Esas direcciones IP son comparables a las direcciones postales de las
casas, o al número de los teléfonos. Debido a la dificultad que supondría para los usuarios tener que
recordar esas direcciones IP, surgieron los nombres de dominio, que van asociados a las direcciones IP
del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una
guía telefónica.

Pharming es uno de los pocos ataques puramente tecnológicos en internet que persigue la captura de
claves de acceso y firma del usuario en la entidad atacada y consiste en la explotación de una
vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de
los propios usuarios, que permite a un atacante redirigir un nombre de dominio (Domain Name) a otra
máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que
haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya
especificado para ese nombre de dominio (la web delincuente) donde, confiado, el usuario realiza sus
movimientos con total tranquilidad en la errónea esperanza de estar en la página original y donde deja
al descubierto claves y datos personales (principalmente bancarios o financieros), que luego usa el
delincuente para estafarle (1) .

La palabra pharming deriva del término farm (DOTA) (granja en inglés) y está relacionada con el
término phishing, acrónimo de Password Harvesting Fishing (pesca y captura de contraseñas), utilizado
para nombrar, como ya expusimos, la técnica de ingeniería social que, mediante suplantación de
correos electrónicos o páginas web, intenta obtener cualquier información confidencial de los usuarios,
por eso podría traducirse por «pesca de datos informáticos». Lo que a nosotros nos interesa es sobre
todo, la obtención de números de cuentas corrientes bancarias y de tarjetas de crédito.

2 / 30
Una vez que el atacante ha conseguido acceso a un servidor DNS o varios servidores (granja de
servidores o DNS), se dice que ha hecho un pharming.

Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS,
con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante
la modificación del fichero «hosts» presente en cualquier equipo que funcione bajo Microsoft Windows
o sistemas Unix.

La técnica pharming se utiliza normalmente para realizar ataques phishing, redirigiendo el nombre de
dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha
sido creada por el atacante para obtener los datos privados del usuario, generalmente (y es lo que nos
interesa) datos bancarios.

Una vez el delincuente está en posesión de las claves de acceso y firma de la víctima, es decir, dispone
de todas sus señas de identidad en internet, puede suplantarla.

Una variante del «phishing» es el «smishing». Se caracteriza porque en este caso el canal utilizado
para cometer el engaño son los mensajes SMS de telefonía móvil. Las pautas de actuación son
idénticas, permitiendo al delincuente beneficiarse económicamente de los datos suministrados por la
víctima del engaño.

La cuantía del fraude dependerá del importe del que se dispone de cuentas de la víctima, por lo que se
puede dar el caso de que previo a las transferencias, el delincuente venda acciones u otros títulos de la
víctima, solicite préstamos en su nombre para disponer de su importe, etc.

Las cuentas beneficiarias de las transferencias pueden ser: cuentas nacionales abiertas con identidad
falsa (generalmente se utilizan pasaportes extranjeros falsificados), cuentas en el extranjero, casos
estos que resultan de muy difícil persecución y finalmente, lo que suele ser más común, cuentas de
muleros, que reciben este apodo heredado de los «muleros» del narcotráfico. Son personas a las que
han ofrecido un empleo que consiste en intermediar en cobros y pagos entre empresas, con frecuencia
internacionalmente. Es requisito imprescindible para el postulante ser titular de una cuenta bancaria y
tener disponibilidad para acudir inmediatamente a su oficina bancaria en cuanto sea requerido para
ello. El trabajo consiste en recibir transferencias en su cuenta, y siguiendo instrucciones telefónicas o
por correo electrónico hacerlas efectivas en su oficina bancaria y reenviarlas al destinatario que en
cada momento se le señale mediante una remesadora (Wester Union o Money Gramm, principalmente)
que también se le indica.

3 / 30
La web que oferta este tipo de empleos suelen estar bien construidas y para que el engaño sea creíble,
el demandante pasa un riguroso proceso de selección (que siempre supera) y recibe por email una
copia de su contrato de trabajo perfectamente cumplimentada y firmada teniendo todo el proceso una
apariencia formal de legalidad.

Los muleros forman parte del final de la cadena de producción de las estafas en internet. Son los
encargados de materializar buena parte de este tipo de engaños, siempre y cuando el sistema finalice
con la emisión de una transferencia. Mientras que el verdadero promotor de este tipo de estafas
permanece en el anonimato, el mulero hace de cabeza visible en el fraude, ya que no oculta su
identidad (2) .

El hecho de que estos ataques informáticos suelen producir un inicial desconcierto en los afectados,
que muchas veces tienen una débil percepción del riesgo, unido a la falta de denuncia de muchos de
estos atentados con el propósito de evitar la publicidad negativa y ocultar la vulnerabilidad del sistema
(de las entidades bancarias afectadas), hace que se llegue a casos de impunidad.

Aunque en la mayoría de los casos analizados hasta la fecha, lo que se hace es suplantar la imagen
corporativa y la web originaria de entidades bancarias, se han detectado otras fórmulas como por
ejemplo: encuestas falsas en nombre de organismos oficiales que tienen por objeto recoger datos
personales de los usuarios que decidan participar en las mismas; páginas falsas de recargas de móviles
con tarjeta de crédito o de venta de diversos productos (a precios sospechosamente baratos), en los
que, una vez obtenidos los datos personales y de la tarjeta, la página enseña algún tipo de error o
indica que la operación no se ha podido realizar; presuntos compradores que le piden al vendedor
datos bancarios para pagarle el producto que tiene a la venta, los cuales serán utilizados para realizar
transacciones ilícitas, etc.

Tanto el phishing como el pharming son delitos informáticos, entendiendo por tales «aquellas
conductas típicas, antijurídicas, culpables y debidamente sancionadas por el ordenamiento jurídico
penal para cuya ejecución se valen de ordenadores, computadoras o cualquier otro mecanismo
electrónico o informático, bien como medio, bien como fin, o mediante el uso indebido de los mismos».
En los casos que contemplamos, la informática representa el medio de comisión o ejecución del hecho
o hechos delictivos (como veremos pueden ser varios) (3) .

II. DELITOS QUE COMETE EL PROMOTOR DE ESTAS CONDUCTAS

Como ya expusimos, antes de que actúe el mulero hay otros responsables como el hacker que ha
conseguido realizar el ataque al servidor de dominio, haciendo pasar una página suya como si fuera la

4 / 30
de una entidad bancaria, captando las claves proporcionadas inadvertidamente por la víctima y
utilizándolas para hacer la transferencia a favor de la cuenta del posible mulero (si es que existe y no
va directamente a la cuenta del hacker).

Veamos los delitos que pueden cometer estas personas y los problemas que presenta su apreciación
por los Tribunales.

1. La pertenencia a organización o grupo criminal: el posible concurso con otros delitos

Este tipo de criminalidad informática surge en Estados Unidos en el año 2003 y rápidamente se
extiende por otros países. Normalmente se cometen por bandas criminales organizadas, formadas por
un número considerable de personas, dotadas de una buena estructura organizativa con un reparto de
tareas muy delimitado entre sus miembros que, generalmente, proceden de países de la Europa del
Este y cuentan con una elevada cualificación tecnológica, lo que nos permite hablar de delincuencia
organizada altamente cualificada e internacional (4) . Cabe destacar el carácter transnacional de estas
conductas, ya que a veces las diferentes fases de ejecución se realizan en estados diferentes, para
dificultar su descubrimiento y persecución.

La mera participación en estas organizaciones criminales supondría de entrada la comisión de los

delitos de pertenencia a organización o grupo criminal, introducidos en nuestro Código Penal por LO
5/2010, de 22 de junio (LA LEY 13038/2010) en los nuevos arts. 570 bis y 570 ter dentro del Título XXII
del Libro II del CP, relativo a los delitos contra el orden público.

Conforme al art. 570 bis-1, se entiende por organización criminal «la agrupación formada por más de
dos personas con carácter estable o por tiempo indefinido, que de manera concertada y coordinada se
repartan diversas tareas o funciones con el fin de cometer delitos, así como de llevar a cabo la
perpetración reiterada de faltas». Mientras que según el art. 570 ter del mismo texto legal se entiende
por grupo criminal «la unión de más de dos personas que, sin reunir alguna o algunas de las
características de la organización criminal definida en el artículo anterior, tenga por finalidad o por
objeto la perpetración concertada de delitos o la comisión concertada y reiterada de faltas». Como
vemos, existen dos notas comunes que no pueden faltar ni en una ni en otro: la pluralidad de más de
dos personas y la finalidad delictiva. Por el contrario, en el grupo criminal puede faltar la estabilidad
temporal y el reparto de funciones, notas necesarias en las organizaciones criminales. Con estas
definiciones se podrá perseguir criminalmente tanto a las organizaciones especializadas en la comisión
de determinados delitos (v. gr. mafias dedicadas a la realización de actos de phishing), como a los

5 / 30
pequeños grupos dedicados a la comisión de robos menores y hurtos, sin que exista confusión legal y
con respuesta penal proporcionada a sus actividades delictivas (5) .

Para evitar la impunidad de sus componentes, el art. 570 quáter, introduce una norma de
extraterritorialidad de la ley penal con arreglo al principio de justicia universal, al decir que «las
disposiciones del capítulo serán aplicables a toda organización o grupo criminal que lleve a cabo
cualquier acto penalmente relevante en España, aunque se hayan constituido, estén asentados o
desarrollen su actividad en el extranjero». El tipo penal por otra parte, no exige que el sujeto activo
realice actos de ejecución típica de una u otra clase de delitos y se conforma con que el sujeto conozca
la finalidad y actividad general de la organización delictiva, en los términos expresados en el art. 2.a de
la Decisión Marco 2008/841/JAI, de 24 de octubre, de la que estos delitos son tributarios (6) .

Las penas se agravan para quienes son los promotores, constituyentes, organizadores, coordinadores o
dirigentes de la organización, frente a los meros partícipes o cooperadores.

Su delimitación con otros delitos semejantes como la pertenencia a una asociación ilícita constituida
con el fin de cometer algún delito previsto en el art. 515.1.º CP (LA LEY 3996/1995), lo recoge el art.
570 quáter 2, como un concurso de leyes que deberá resolverse aplicando la regla 4.ª del art. 8 CP (LA
LEY 3996/1995), es decir el principio de alternatividad.

Cuando el perteneciente a una organización o grupo criminal comete infracciones criminales en

ejecución de su objetivo delictual, siempre que en tales infracciones delictivas no se haya previsto
específicamente un subtipo agravado por pertenencia a organización, nos hallaremos ante un concurso
real de delitos entre los tipos previstos en los arts. 570 bis y 570 ter y los concretos ilícitos penales
ejecutados en el seno de la organización o grupo criminal, tal como reconoce la Circular de la Fiscalía
General del Estado 2/2011, sobre la reforma del Código Penal por LO 5/2010 (LA LEY 13038/2010), en
relación con las organizaciones y grupos criminales, habida cuenta de que los tipos de organización y
grupo criminal son autónomos respecto de los delitos para cuya comisión se constituyen, en tanto que
sancionan el hecho de la articulación de una organización o grupo con fines delictivos, sin abarcar los
delitos que se cometan ulteriormente por los integrantes de dichos colectivos.

En los supuestos en que el delito específico objeto de imputación contempla un subtipo agravado por la
pertenencia o dirección de la organización o grupo criminal, se produce un concurso de normas con los
arts. 570 bis (LA LEY 3996/1995) o 570 ter CP (LA LEY 3996/1995) en los que se sanciona
autónomamente dicha pertenencia o dirección de la organización o grupo, pues precisamente la
agravación de la pena en el delito específico correspondiente obedece al aumento del injusto que

6 / 30
supone la pertenencia a la organización, de modo que castigar este último comportamiento de forma
autónoma por la vía de los arts. 570 bis o 570 ter en concurso de delitos con el subtipo agravado
específico vulneraría el principio non bis in ídem (así lo reconocen las Circulares de la Fiscalía General
del Estado 1/2002, de 19 de febrero y la ya referida 2/2011, de 2 de junio).

Sin embargo, el análisis de diversos delitos específicos recogidos en el Libro II del Código Penal,
permite comprobar que algunos subtipos agravados derivados de la pertenencia a una organización o
grupo criminal (como por ejemplo el delito de blanqueo de capitales del art. 302-1 CP (LA LEY
3996/1995), que como veremos afecta a nuestro estudio) tienen prevista una pena inferior a la que
resultaría de aplicar un concurso de delitos entre el tipo básico correspondiente y el del art. 570 bis o
570 ter en su caso, de modo que la aplicación preferente del subtipo agravado supondría un trato de
favor respecto a la pena imponible como resultado del concurso real en caso de no existir tipo
agravado.

La reforma del CP introducida por LO 5/2010 (LA LEY 13038/2010), ha introducido en el art. 570 quáter
2 in fine una regla expresa para solucionar el concurso de normas en este supuesto, al establecer que
«en todo caso, cuando las conductas previstas en dichos artículos estuvieran comprendidas en otro
precepto de este Código será de aplicación lo dispuesto en la regla 4.ª del art. 8» (se sancionará el
precepto penal más grave). Pues bien, teniendo en cuenta que la utilización de subtipos agravados por
el legislador se hace en relación con aquellos delitos que más frecuentemente se cometen en el seno
de una organización, la solución de optar, en estos casos por la norma especial, (el tipo agravado) se
acompasa mal con el tenor y finalidad de la reforma del CP por LO 5/2010 (LA LEY 13038/2010) que
castiga autónomamente los delitos de organización y de grupo criminal, sancionando con una pena
superior los primeros, y cuyo fundamento reside en la necesidad de hacer frente de forma decidida a
estas organizaciones o grupos cuya intervención facilita la comisión de actividades ilícitas y favorece la
impunidad de sus autores.

Por ello, creo que lleva razón la Circular de la Fiscalía General del Estado ya mencionada 2/2011, de 2
de junio, cuando establece que en estos casos se debe aplicar de acuerdo con lo dispuesto en el art.
570 quáter, conforme al criterio de alternatividad, un concurso de delitos entre el art. 570 bis o ter, en
su caso, y el tipo correspondiente al delito específicamente cometido con todas sus circunstancias si
bien prescindiendo de la agravación específica de organización, cuando la pena así aplicada sea
superior a la que prevé el subtipo agravado.

2. El delito de estafa informática

7 / 30
El concepto tradicional de «estafa» supone la exigencia de un engaño capaz de producir error en otra
persona, de forma que se provoque un acto de disposición sobre su propio patrimonio o de un tercero.

Las estafas cometidas mediante la técnica pharming-phishing, son estafas realizadas mediante
manipulaciones informáticas, y son susceptibles de ser incluidas en el art. 248-2, a) del CP (LA LEY
3996/1995), donde se dice, que «también se consideran reos de estafa los que, con ánimo de lucro y
valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no
consentida de cualquier activo patrimonial en perjuicio de tercero». Es esta una novedad que introdujo
el Código Penal de 1995 (LA LEY 3996/1995), tipificando así la llamada «estafa informática» (7) . No
obstante nos hallamos ante un tipo defraudatorio que no comparte la dinámica comisiva de la estafa
tradicional anteriormente definida (8) . Es fácil constatar que el concepto general de estafa no ejerce
aquí una función de criterio rector interpretativo de las conductas penalmente relevantes, sino que la
«ratio legis» del precepto ha sido precisamente el criminalizar conductas lesivas para el patrimonio
extramuros de la dinámica comisiva presidida por el engaño. Se trata de una estafa por asimilación, de
ahí que el Código Penal diga «se consideran también reos de estafa»; y es que no puede hablarse en
propiedad de «engaño a una máquina» porque lo que hace la máquina es actuar conforme ha sido
programada y, pese al criterio contrario de alguna resolución (9) , pienso que la manipulación de la
máquina no responde a la dogmática tradicional de la estafa. Antes de que el CP de 1995 (LA LEY
3996/1995) introdujera el apartado 2-a) en el art. 248, solo desfigurando el engaño típico y
convirtiéndolo en un genérico y amorfo mecanismo de lesionar el patrimonio, renunciando al error
como elemento autónomo necesario del delito y colmando las exigencias del ineludible acto de
disposición que conlleva la estafa, mediante la presencia de cualquier respuesta automatizada a la
manipulación informática, podríamos considerar como estafa estas actuaciones. Es decir, en el mejor
de los casos, aplicando el principio de analogía en contra del reo del tipo de estafa (del anterior art.
528 del derogado Código Penal) a tales comportamientos (10) .

Sin embargo, sin ser una estafa propiamente dicha, presenta importantes similitudes con la estafa (de
ahí que se inserte en el art. 248 CP (LA LEY 3996/1995)). Así, el bien jurídico protegido es el patrimonio
(la referencia a cualquier activo patrimonial como objeto material sobre el que deba recaer la acción
típica así lo avala). Además, la modalidad comisiva a través de manipulaciones informáticas tiende a
conseguir una transferencia no consentida de activos patrimoniales (11) .

En suma, podemos decir que la criminalización de la denominada estafa informática, viene a colmar
una laguna legal derivada de la inadecuación del tipo de estafa tradicional para hacer frente a
determinados ataques al patrimonio mediante la alteración o manipulación de datos informáticos.

8 / 30
Hay quien afirma que el scammer o manipulador informático no realiza ninguna manipulación ni
alteración, sino que lo que se produce es una suplantación respecto al verdadero titular, ya que el que
introduce determinadas claves afirma con ese acto ser determinada persona, pues son claves
personales que identifican únicamente al sujeto titular de las mismas. No hay alteración alguna del
sistema o software que lo soporta; aunque dicha conducta eventualmente pudiera ser reconducida a
formas falsarias, quedaría totalmente desprotegido el aspecto lesivo patrimonial (12) . Sin embargo, la
mayoría de la doctrina y la jurisprudencia, están de acuerdo (acertadamente a mi modo de ver), en que
con tales actuaciones se comete un delito claramente insertable en la estafa informática del art. 248.
2-a), ya que se utiliza un artificio informático mendaz para engañar al dueño de la cuenta bancaria
defraudada a través de mensajes en los que, haciéndose pasar por una entidad bancaria o financiera (o
sus servicios de seguridad), le pide que le recuerde sus claves y contraseñas secretas, utilizándolas
posteriormente una vez obtenidas para realizar la disposición no consentida del dinero de la cuenta
corriente, ingresándolo en otras cuentas, suplantando la identidad del titular de la misma. La
jurisprudencia de la Sala Segunda del Tribunal Supremo (Sentencias 2175/2001, de 20 de noviembre
(LA LEY 1096/2002), 533/2007, de 12 de junio (LA LEY 51963/2007), que aborda un caso de phishing y
la 663/2009, de 30 de mayo (LA LEY 112722/2009), entre otras), tiende a acoger una interpretación
abierta de la expresión «artificio semejante» a la manipulación informática, considerando que se da
cuando se utilice sin la debida autorización el programa, o en forma contraria al deber, siempre que
haya desplegado sus efectos a través de un sistema informático, por cuyo conducto se ha conseguido
una transferencia patrimonial no consentida (aunque no entra en el fondo de la cuestión). La doctrina
penal mayoritaria sin embargo, maneja un concepto a mi modo de ver más adecuado y restringido,
considerando manipulación informática o artificio semejante, solo aquella que directamente ocasiona el
traspaso patrimonial ilícito y el consiguiente perjuicio de tercero (13) . Aplicado estas consideraciones
al phishing-pharming, la manipulación informática o el artificio semejante, pienso que no se dará en la
primera fase de obtención ilícita de las claves de acceso a la cuenta bancaria, con la falsificación de
páginas electrónicas (y posible modificación de direcciones DNS o los archivos «hosts» que contienen
las direcciones IP), ya que dicha conducta no ocasiona directamente ningún traspaso patrimonial ilícito,
sino que es una manipulación realizada para obtener subrepticiamente las claves de acceso a las
cuentas bancarias. Dichas manipulaciones quedarían fuera del concepto del art. 248.2,a), aunque
podrían dar lugar a otras responsabilidades penales como por ejemplo, por delito de falsedad
documental o por descubrimiento y revelación de secretos. No ocurre lo mismo en la segunda fase, de
utilización no consentida de las claves de acceso a la cuenta bancaria y firma electrónica para realizar
la transferencia no autorizada. Aquí sí se da una manipulación informática que ocasiona directamente
el traspaso patrimonial no consentido, plenamente insertable en el tenor literal del art. 248.2,a) (14) .
Esta versión está justificada tanto desde la interpretación objetiva como teleológica del mencionado

9 / 30
precepto, teniendo en cuenta además el concepto de manipulación informática acogido en los tratados
internacionales (15) . En consecuencia, podemos decir que estas formas de criminalidad patrimonial
(phishing, pharming), consistentes en la realización de transferencias bancarias en perjuicio de
terceros, mediante la utilización no consentida de datos personales de acceso y firma electrónica son
perfectamente insertables en el tipo del art. 248.2,a) CP (LA LEY 3996/1995) que sanciona la estafa
informática.

Hay quien afirma, que como quiera que la estafa se produce mediante un proceso automatizado, una
sola acción es capaz de producir una sucesión de movimientos automáticos que sin necesidad de
nuevos impulsos de voluntad del autor puede producir perjuicio a una pluralidad de personas.
Entienden que debe apreciarse una sola acción de estafa, por mucho que el injusto se vaya
intensificando a medida que se va ampliando el número de perjudicados; el scammer, dicen, no comete
una actividad delictiva continuada, sino un único delito (16) , eso sí, susceptible de ser tipificado como
un delito de estafa cualificado por concurrir alguna de las circunstancias previstas en el art. 250 CP (LA
LEY 3996/1995), como por ejemplo la núm. 5.º, consistente en superar el valor de la defraudación los
50.000 euros, pero no daría lugar a varios delitos de estafa ni a una continuidad delictiva. Sin embargo,
pienso que ello ocurrirá solo cuando se dé un único acto de disposición de la cuenta corriente ajena, ya
que si se produce una reiteración del fraude y con ello una pluralidad de desplazamientos económicos
de una o varias cuentas corrientes diferentes, aunque provengan de un único y masivo envío de
correos electrónicos ilegales, nos hallaremos comúnmente ante víctimas numerosas y un elevado
perjuicio económico, que permitirá configurarlos a efectos penológicos como un delito continuado o
incluso un delito de estafa masa previsto en el art. 74 CP. (LA LEY 3996/1995) Los actos de disposición
de dinero de cuentas corrientes ajenas vía internet suelen ser en estos casos plurales así como las
personas engañadas, lo que podrá dar lugar sin problema alguno a la figura de la continuidad delictiva
(17) .

Por otra parte se plantea la cuestión de si los scammers son autores por inducción del delito de
receptación o blanqueo en el que el «mulero» colabora con ellos, como a veces podría pensarse.
Existen comentaristas que opinan que no, ya que desde la perspectiva de su acción, el retorno del
dinero, del producto de sus fraudes, no deja de ser sino la fase de agotamiento de su ilícito, y no un
nuevo ilícito penal, como sí lo es para el «mulero», que se incorpora a ayudar a ese agotamiento
delictivo ajeno realizando la actividad delictiva propia de la receptación o del blanqueo de capitales,
mediante el oportuno aprovechamiento y traslado de los capitales provenientes del phishing,smishing y
pharming (18) . Sin embargo, la amplitud con que está concebido el delito de blanqueo de capitales
tras la reforma del Código Penal llevada a cabo por LO 5/2010, de 22 de junio (LA LEY 13038/2010),

10 / 30
que incluye la conducta del autoblanqueo y con ello el castigo penal de cualquiera de los
comportamientos descritos en el art. 301.1, realizados por el que ha cometido el delito previo, estimo
que nos debe llevar a concluir que el scammer es asimismo autor, mediato si el mulero desconoce la
ilicitud de sus actos, o por inducción en otro caso, del delito de blanqueo de capitales que comete el
mulero (19) . En tal sentido, ya la Sala Segunda del TS había acordado en el Pleno no Jurisdiccional de
18 de julio de 2006, que el art. 301 CP (LA LEY 3996/1995), no excluye, en todo caso, el concurso real
con el delito antecedente.

Normalmente es difícil identificar a los sujetos activos de tales comportamientos delictivos en nuestro
territorio, al actuar por regla general dentro de bandas organizadas que operan desde países sobre
todo del Este de Europa (20) .

La reforma del Código Penal llevada a cabo por LO 15/2003, de 25 de noviembre (LA LEY 1767/2003)
introdujo un nuevo apartado 3.º en el art. 248 (ahora tras la reforma del CP (LA LEY 3996/1995) por LO
5/2010 (LA LEY 13038/2010) trasladado al apartado b) del núm. 2 del mencionado precepto) que
considera también reos de estafa y sanciona con la misma pena (clara vulneración del principio de
proporcionalidad, al tratarse de actos preparatorios) a los que fabricaren, introdujeren o facilitaren
programas informáticos específicamente destinados a la comisión de las estafas previstas en dicho
artículo. Es decir, que el legislador da un paso adelante, castigando con la misma pena que el que
ejecuta la manipulación informática defraudatoria, a aquel que sin llegar a efectuar tal conducta, sin
embargo ha creado el programa informático que permite aquella manipulación, o lo facilitare a terceros
que sí ejecutarán tal manipulación, o lo introdujere en un sistema informático para facilitar la misma, o
sencillamente poseyere esa clase de programas informáticos. De este modo, se castigan conductas
ejecutadas sobre precursores, esto es, sobre aquellos elementos necesarios para cometer el fraude,
que en este caso es básicamente el software utilizado para la estafa. Es criticable por cierto la
utilización por parte del legislador de un concepto jurídico indeterminado como es el adverbio
«específicamente» (programas específicamente destinados), ya que dicho vocablo planteará la duda de
si la posesión de un programa informático, entre cuyas finalidades o funciones se encuentre el permitir
la comisión del delito de estafa, pero en el que esta no sea la única función, deberá entenderse como
programa específicamente destinado a la realización de tal conducta delictiva (21) . Quizás el problema
radique en haber tipificado como delito lo que no son sino verdaderos actos preparatorios y con ello
conductas que son anteriores a la ejecución del delito de estafa, lo que permite plantearse, en vía de
hipótesis, que se llegara a sancionar con base en el mismo, a quien facilitase el producto informático a
otro ajeno y sin dominio de la conducta que este desplegase después, con la consecuencia añadida de
que si este fracasa en su intento defraudador, se vería más favorecido que quien facilitó el programa, y

11 / 30
el contrasentido que supondría que, de haber estado de acuerdo este último con el estafador que
fracasa en su intento, resultaría más beneficiado, en la medida que su conducta, así contemplada,
podría ser valorada como una participación en una estafa intentada (22) . De concurrir la tenencia de
programas informáticos que mencionamos en quien posteriormente actúa como scammer, tal acción
delictiva entraría en concurso de leyes con la estafa recogida en el art. 248.2, a) (LA LEY 3996/1995),
que deberá resolverse a favor de este último precepto por el principio de consunción. Lo que está claro
es que cualquiera de esas conductas deberá ir acompañada para su punición, además del ánimo de
lucro del tipo básico, de un elemento subjetivo finalístico consistente en actuar con el ánimo de
cometer el delito de estafa.

A) Momento de la consumación de la estafa en la transferencia electrónica de fondos

Que las formas imperfectas de ejecución caben en la estafa informática no debe ofrecer duda alguna,
tanto a nivel de tentativa inacabada, como de tentativa acabada.

Un tema sumamente importante es el de determinar el momento en el que se consuma el delito de

estafa informática en su modalidad de transferencia electrónica de fondos. Como ya sabemos, es el art.
248-2-a) CP (LA LEY 3996/1995) el que castiga esta conducta. Transferir supone trasladar, cambiar algo
de un lugar a otro. En el sentido del texto, constituye un proceso meramente contable que supone
cargar débitos, descontar activos u ordenar ingresos con la correlativa anotación a favor de otro sujeto,
al que de esta forma se realiza una determinada prestación o servicio. La consumación del delito,
entiendo que se alcanza cuando se produce el perjuicio, que no tiene necesariamente que coincidir con
la realización del asiento contable fraudulento, ya que puede ocurrir que la entidad bancaria o
financiera que ha sido suplantada para llevar a cabo el fraude, se aperciba a tiempo de la operación y
anule la misma, impidiendo así la extracción del dinero (23) . Mientras exista esta posibilidad, el delito
no se habrá consumado. Estos casos, que suelen ser frecuentes, deben calificarse como tentativas
delictivas. Solo una vez retirado el dinero de la cuenta, podemos decir que se ha consumado el delito.
En este sentido se pronuncia el Auto de la Sala Segunda del TS de 12 de noviembre de 2009 (dictado
en una cuestión de competencia), al considerar como delito intentado el supuesto de no llegarse a
extraer la cantidad que se ha transferido.

Alguna resolución jurisprudencial, como la Sentencia de la Audiencia Provincial de Valladolid (Sección

4.ª) núm. 263/2010, de 21 de junio (LA LEY 118162/2010), estima (incorrectamente a mi modo de ver),
que el delito de estafa informática se consuma cuando se apoderan de las cantidades de dinero de la
cuenta del tercero ajeno, porque el perjuicio ya se ha causado a través del artificio informático. Sin
embargo, pienso que ello no siempre es así, ya que mientras no se coloque el dinero fuera del absoluto

12 / 30
control de la entidad bancaria y quepa la posibilidad de reaccionar a tiempo y anular la operación
retornando el dinero a la cuenta base, el delito de estafa informática debe apreciarse exclusivamente
como intentado.

B) Competencia territorial para conocer del delito de estafa

Cuando la estafa se haya consumado en el exterior y el autor se halle en un país extranjero que
persigue este tipo de delitos, se deberá remitir la causa al país de residencia del autor, para que sea
dicho estado el que se encargue de enjuiciar y castigar al responsable, prestándole las autoridades
españolas la máxima colaboración. Los motivos residen en que la consumación de la estafa se habrá
producido en el territorio de otro estado y la actividad engañosa también, y como seguramente habrá
engañado a otras personas (incluso de otros países), es en el estado donde reside el autor y está
residenciada la cuenta receptora de pagos o el domicilio de los envíos, donde se consuma el delito y
donde se puede obtener una visión del importe total de lo defraudado. También la investigación de las
conexiones delictivas se hará mejor en tal país (24) .

Cuando en aplicación de la normativa internacional (Convenio del Consejo de Europa sobre Cibercrimen
hecho en Budapest el 23 de noviembre de 2001, ratificado por España el 20 de mayo de 2010, y
publicada la ratificación y el texto en español en el BOE de 17 de septiembre de 2010), o nacional, se
atribuya la competencia a la jurisdicción española, aunque el delito se haya cometido en el extranjero,
la competencia para su enjuiciamiento corresponderá a la Audiencia Nacional y la instrucción a sus
Juzgados Centrales de Instrucción, (arts. 23 (LA LEY 1694/1985), 65. 1, c y e y 88 de la LOPJ (LA LEY
1694/1985)).

Una cuestión interesante que se puede plantear en este tipo de delincuencia, es la de qué juzgado es el
competente para conocer del delito cuando es cometido en territorio nacional, ya que la acción puede
afectar a diversos partidos judiciales. Pues bien, tratándose de una especie de delito de estafa, es
aplicable aquí el Acuerdo del Pleno no jurisdiccional de la Sala Segunda del Tribunal Supremo de 3 de
febrero de 2005, que acoge el principio de ubicuidad, de tal modo que el delito se comete en todas las
jurisdicciones en las que se haya realizado algún elemento del tipo, en consecuencia, el Juez de
cualquiera de ellas que primero haya iniciado las actuaciones procesales, será en principio competente
para la instrucción de la causa (en este sentido Autos de la Sala Segunda del TS de 4-11-2005, 11-1-
2008, 29-5-2008, de 21-4-2009 y 6-4-2011, este último en un supuesto de phishing, donde las IP de los
correos electrónicos remitidos se localizan en Turquía).

13 / 30
Puede ocurrir que en un partido judicial se llegue a extraer la cantidad y se haya consumado el delito y
en otro no y nos hallemos ante un delito intentado de estafa informática. Es el supuesto contemplado
en el Auto de la Sala Segunda del Tribunal Supremo de 12 de noviembre de 2009 (ponente Sr.
Colmenero Menéndez Luarca), donde en Málaga se llegó a extraer el dinero, mientras que en Murcia
no. En estos casos, dado que son delitos conexos, el art. 18.1.1.º LECrim (LA LEY 1/1882) establece la
competencia del juzgado del territorio en que se haya cometido el delito a que esté señalada pena
mayor, es decir el de Málaga que es donde el delito se ha consumado.

3. El delito de descubrimiento y revelación de secretos

Pero no son los delitos de pertenencia a una organización o grupo criminal y el delito de estafa
informática las únicas infracciones delictivas realizadas por los scammers que utilizan tales métodos
informáticos. Puesto que todos los casos de utilización ilegítima de las claves en el ámbito de internet
que permiten al sujeto hacerse con el patrimonio de la víctima poseen una dinámica comisiva
compuesta por dos fases: a) La sustracción inmaterial de las claves y b) Su uso ilícito, suplantando la
personalidad del verdadero titular (además de la transferencia patrimonial, beneficio y perjuicio) (25) ,
realizar la manipulación informática conllevará siempre un previo descubrimiento de datos informáticos
secretos, su apoderamiento cognitivo y su utilización posterior en perjuicio del titular. Pues bien, dicho
comportamiento es constitutivo de un delito contra la intimidad consistente en el descubrimiento de
datos informáticos secretos previsto en el art. 197.2 CP (LA LEY 3996/1995), ya que se ataca al derecho
a mantener reservados unos datos que afectan a la esfera de la privacidad de la persona. En este caso
el apartado segundo del art. 197 se aplicaría al apoderamiento de información reservada radicada en
PC o terminal ajeno, sin consentimiento del sujeto titular (26) .

Se puede plantear la cuestión de si las cuentas bancarias de las que uno es titular forman parte o
integran una zona espiritual íntima y reservada de una persona insertos dentro de la protección que
dispensa el art. 197.2 CP (LA LEY 3996/1995) o si por el contrario se debe interpretar que los datos
reservados protegidos son únicamente los más sensibles, comprendidos en el núcleo duro de la
privacidad. Pienso que la respuesta debe ser afirmativa, pues es evidente que las cuentas bancarias de
las que uno es titular se configuran como verdaderos datos confidenciales, aunque pertenezcan a una
vertiente económica de esa esfera o zona espiritual íntima y reservada de una persona, que debe
quedar vedada a terceras personas (27) . Así lo ha venido entendiendo tanto el Tribunal Constitucional,
cuando por ejemplo en Sentencia 292/2000, de 30 de noviembre (LA LEY 11336/2000) (FJ 6.º),
consideró que los datos tutelados por el derecho a la libertad informática no son solo los datos íntimos,
sino todos aquellos datos personales cuyo empleo por terceros pueda afectar negativamente a los
derechos de su titular, como el propio Tribunal Supremo, que en Sentencias de la Sala Segunda de 11

14 / 30
de julio de 2001 y 11 de junio de 2004, siguiendo las pautas marcadas por la LO 15/1999, de 13 de
diciembre (LA LEY 4633/1999), de Protección de Datos Personales y la Directiva 95/46/CE (LA LEY
5793/1995), del Parlamento Europeo y del Consejo de la Unión Europea de 24 de octubre de 1995,
relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos y a la libre
circulación de los mismos, consideró que no existen datos personales automatizados reservados y no
reservados, por lo que debe interpretarse que todos los datos personales automatizados quedan
protegidos por la conminación punitiva del art. 197 (LA LEY 3996/1995)-2.º CP. Este enfoque
hermenéutico viene apoyado asimismo por la interpretación sistemática del propio art. 197 referido, ya
que si en él se prevé un tipo agravado para los datos más íntimos y personales (número 6) a sensu
contrario los tutelados en el tipo básico serán los no especialmente protegidos. Secreto por tanto a
efectos del art. 197 será lo desconocido u oculto, refiriéndose a todo conocimiento reservado que el
sujeto activo no conozca, o no esté seguro de conocer y que el sujeto pasivo no desea que se conozca.

La tipicidad de la conducta exige que los datos secretos o íntimos se hallen registrados en ficheros o
soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo, lo que sin duda
se da en el tipo de delincuencia que contemplamos.

Este delito consume al delito de acceso ilícito a los sistemas informáticos del perjudicado, previsto en el
art. 197.3 CP (LA LEY 3996/1995) (introducido por la reforma del CP por LO 5/2010, de 22 de junio (LA
LEY 13038/2010)) (28) , que consiste en «el acceso sin autorización por cualquier medio o
procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, a datos o
programas informáticos contenidos en un sistema informático o en parte del mismo o mantenerse
dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo», sin exigir un
posterior resultado. La autorización deberá ser la que otorgue el propietario del sistema. En el delito del
art. 197.3, se viene a proteger el llamado «domicilio informático», o lo que es lo mismo, el espacio en
que se encuentran los datos informáticos de una persona y que se protegen frente a cualquier tipo de
intromisión no autorizada (29) . El promotor del phishing, no se reduce a acceder al sistema informático
ajeno, sino que además va a utilizar dichos datos con posterioridad en perjuicio de su titular o un
tercero (la entidad bancaria) (30) , por ello el delito previsto en el art. 197.2 (que además lleva prevista
más pena), absorberá prácticamente siempre al del art. 197.3 del mismo texto legal. Los delitos de
phishing y pharming, conllevarán siempre la captación y utilización posterior de datos reservados y
registrados en un determinado fichero de la entidad financiera.

Si el sujeto que ha captado los números de cuentas corrientes que posteriormente son manipuladas, se
los cede a terceras personas para que sean los que realicen la operación informática y extraigan el
dinero en ellas contenidas, incurriría en el tipo cualificado previsto en el núm. 4 del art. 197. Asimismo

15 / 30
y debido a que la sustracción de datos se hará en estos casos normalmente con fines lucrativos,
deberán imponerse las penas en su mitad superior, por imperativo del núm. 7 del art. 197 CP. (LA LEY
3996/1995)

Finalmente el apartado núm. 8 del art. 197, impone la obligación de aplicar las penas superiores en
grado si los hechos se cometiesen en el seno de una organización o grupo criminal, lo cual nos lleva a
pensar la posible concurrencia con el delito de pertenencia a una organización o grupo criminal
previsto en los arts. 570 bis y ss. CP (LA LEY 3996/1995), que ya comentamos en el apartado relativo a
la pertenencia a organización o grupo criminal.

La estructura del tipo delictivo que contemplamos (que exige un acceso y una posterior utilización de
los datos), permitirá la apreciación del delito en grado de tentativa (31)

Este delito permitirá al cedente de datos que resulta engañado, personarse en el proceso como
acusación particular.

4. El posible delito de falsedad documental

En los casos de phishing y similares, normalmente los scammers que crean o modifican documentos
informáticos o electrónicos, están simulando a la vez en todo o en parte un documento normalmente
mercantil (aunque puede ser también público, oficial o privado). Ya dijimos que las técnicas
informáticas permiten modificar un documento en alguna de sus partes, o incluso crear un nuevo
documento e introducirlo en el tráfico jurídico.

Se plantea con ello la cuestión de si en estos casos, podría añadirse un delito de falsedad documental
tipificado en los arts. 390 (LA LEY 3996/1995) y ss. CP.

En esta cuestión se plantea el problema inicial de que toda falsedad documental debe recaer siempre
sobre un documento que responda a la definición legal prevista en el art. 26 CP (LA LEY 3996/1995) y
en principio el documento electrónico no se recoge (al menos expresamente) en dicho precepto, que
considera como tal «todo soporte material que exprese o incorpore datos, hechos o narraciones con
eficacia probatoria o cualquier otro tipo de relevancia jurídica». Sin embargo, en la actualidad tanto la
doctrina como la jurisprudencia aceptan un concepto amplio de documento, incluyendo en él la firma
electrónica y el documento electrónico. Según el art. 3 de la Ley 59/2003, de 19 de diciembre (LA LEY
1935/2003) de firma electrónica, se entiende por firma electrónica el conjunto de datos en forma
electrónica, consignados junto a otros asociados con ellos, que pueden ser utilizados como medio de
identificación del firmante. Y por documento electrónico, la información de cualquier naturaleza en

16 / 30
forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de
identificación y tratamiento diferenciado; de tal manera es así, que la falsificación de la firma
electrónica, recibirá en el ordenamiento penal el mismo tratamiento y respuesta que la falsificación
tradicional (32) . Se considera que la definición de documento que ofrece el art. 26 CP (LA LEY
3996/1995) es amplia, pues se refiere a todo soporte material que incorpore datos con relevancia
jurídica, sin exigir que la forma de materialización o incorporación de datos sea necesariamente escrita.
Se considera que también el soporte informático es un soporte material que puede incorporar datos
con relevancia jurídica. Ya la reforma del Código Penal efectuada por LO 5/2010, de 22 de junio (LA LEY
13038/2010), introdujo en el texto penal dentro de los delitos de falsedades documentales la
falsificación de tarjetas de crédito en el nuevo art. 399 bis (LA LEY 3996/1995). Con ello, el legislador
admite que las tarjetas de crédito, cuya falsificación requiere una manipulación informática de las
bandas magnéticas, son documentos a efectos penales.

También nuestros tribunales admiten que un soporte electrónico puede incorporar un documento a
efectos penales. En este sentido merecen destacar Sentencias de la Sala Segunda del Tribunal
Supremo como las de 30 de octubre de 1998 y 22 de enero de 1999, que incluyen el documento
electrónico en el art. 26 del CP (LA LEY 3996/1995) y, en consecuencia, admiten la falsedad del mismo.

III. RESPONSABILIDAD PENAL DEL MULERO

1. ¿Quiénes son los muleros?

Se denomina phiser-mulo o mulero a las personas que son utilizadas por los que realizan el ataque
informático (scammers) para recibir las transferencias del efectivo de la víctima en su cuenta con el fin
de remitir su importe a otros a través de un medio que permite ocultarlo, quedándose con una
comisión. Son por tanto los colaboradores que desde España ayudan a transportar (de ahí la expresión
mulero) de regreso a su país de origen (normalmente países del Este de Europa) el producto económico
de las actividades ilícitas del fraude informático. Sus servicios se reducen a abrir una cuenta corriente
bancaria a su nombre en España, a recibir transferencias económicas y tras retirar el dinero en
efectivo, enviarlo a las señas que se les ha dado de un país extranjero, mediante transferencias
internacionales por medios de pago (Pay Pal, Money Gram, Western Union etc.), que no dejan prueba
de sus receptores reales (pues se suelen identificar con un número), después de descontar y quedarse
con una comisión. Son los que más a menudo son enjuiciados por los tribunales de justicia, ya que los
verdaderos urdidores del delito, se encuentran en países extranjeros y no suelen llegar a ser
enjuiciados.

17 / 30
2. La actuación con error

Puede ocurrir en primer lugar (casos muy aislados), que el mulero sea víctima de un engaño y actúe
bajo un error invencible de prohibición (aunque algunos autores lo cataloguen como de tipo) (33) que
con base en el art. 14 CP (LA LEY 3996/1995), impida su persecución penal. Serán casos excepcionales,
en los que por los scammers se utilice a personas de escasa formación y unos casi nulos conocimientos
informáticos y bancarios. Nos hallaríamos ante verdaderos supuestos de autoría mediata, en los que se
utiliza al mulero como instrumento del delito perpetrado por el scammer. Supuestos semejantes se
dieron en las Sentencias de la Audiencia Provincial de Madrid de 10 de septiembre de 2008 (LA LEY
270485/2008) y de la Audiencia Provincial de Navarra (Sección Segunda), de 19 de diciembre de 2011.
En esta última, se contempla el supuesto en el que el acusado se hallaba en situación de desempleo
desde agosto de 2009 y buscando empleos por internet, encontró una oferta de «trabajo desde casa»
que ofrecía una empresa que él creía italiana. Aceptó el empleo y rellenó los formularios del contrato
que le remitieron por internet, y para realizar el envío del dinero recibido en su cuenta a Moscú, siguió
las instrucciones que le dio una persona que se identificó como Isabel Ancina Gómez que hablaba en
castellano. Así efectuó dos transferencias de dinero perteneciente a un cliente del BBVA por importe de
5.864,10 euros, cantidad que reclamaba la entidad bancaria que había devuelto la cantidad defraudada
a su cliente. La Sala le absuelve del delito de blanqueo de capitales del que venía siendo acusado, por
no haber quedado demostrada que concurriese la finalidad de ocultar o encubrir el origen ilícito del
dinero ni la de ayudar al partícipe de la infracción penal a eludir las consecuencias legales de sus actos,
ni siquiera aprecia una temeridad en su comportamiento, que podría dar lugar a un delito de blanqueo
por imprudencia. El acusado en este caso creyó que el trabajo era legal.

Sin embargo esos son casos aislados, ya que por regla general los muleros no actúan bajo error y
suelen ser personas bien formadas y con conocimientos informáticos elevados incluso, teniendo por
ello su comportamiento contenido delictivo (34) . Como afirma la Sentencia de la Sala Segunda del
Tribunal Supremo 533/2007, de 12 de junio (LA LEY 51963/2007) «en la sociedad actual el acervo de
conocimiento de cualquier persona de nivel cultural medio, conoce y sabe de la ilicitud de tal
colaboración».

3. Los delitos de estafa informática y de blanqueo de capitales en que pueden incurrir

La cuestión que se plantea, es qué delito (o delitos) cometen esas personas.

Hay que partir de la base de que los muleros están en contacto con los scammers, aunque
normalmente no los conozcan físicamente, ya que estos le avisan de los ingresos y le hacen llegar las

18 / 30
señas a las que deben remitir los envíos de dinero. Es decir, que actúan como una conditio sine qua
non para que se consume el delito de estafa perpetrado por el scammer y lo hacen de común acuerdo
con el autor material de la misma; de ahí que una jurisprudencia mayoritaria venga catalogándolos
como cooperadores necesarios del delito de estafa. En tal sentido se pronuncian las Sentencias del
Tribunal Supremo de 12 de junio de 2007 y 3 de febrero de 2009, cuando confirman las Sentencias
condenatorias dictadas por las Audiencias Provinciales de Madrid y de Burgos respectivamente. La
sentencia referida de 2007, subraya que «se trata de un caso de delincuencia económica de tipo
informático de naturaleza internacional en el que los recurrentes (muleros) ocupan un nivel inferior y
solo tienen un conocimiento necesario para prestar su colaboración, la ignorancia del resto del
operativo no borra ni disminuye su culpabilidad porque fueron conscientes de la antijuricidad de su
conducta, prestando su conformidad con un evidente ánimo de enriquecimiento, ya supieran, no
quisieran saber —ignorancia deliberada—, o les fuera indiferente el origen del dinero que en cantidad
tan relevante recibieron».

Hay comentaristas que opinan, y alguna resolución judicial se ha pronunciado en tal sentido [Sentencia
de la Audiencia Provincial de Valladolid (Sección 4.ª) de 21 de junio de 2010], que cuando interviene el
mulero el delito de estafa ya se encuentra consumado, pues tal consumación se produce cuando el
scammer se apodera de las cantidades de dinero de la cuenta del tercero ajeno, de modo que,
realmente, los muleros participan en una operación posterior que tiene como base dicho fraude o
estafa que ya se ha cometido.

Pienso que semejantes afirmaciones no son correctas y que hasta el momento en que se extrae el
dinero del control de la entidad bancaria el delito no se consuma. Es decir, que mientras exista la
posibilidad de que el afectado y el banco se den cuenta de la operación fraudulenta y eviten la
extracción dineraria, el delito de estafa se encuentra en fase de tentativa. Así lo aseveran Autos de la
Sala Segunda del Tribunal Supremo como los de 24 de abril y 12 de noviembre de 2009, cuando se
pronuncian acerca de la competencia territorial para conocer del delito.

Además el mulero comete el delito de estafa a título de cooperador necesario ya que sin su conducta
extractiva del dinero el delito no se habría consumado, aunque algún comentarista sostenga que
deberían responder a título de cómplices (y solo por delito de receptación o blanqueo), ya que su
cooperación ni es necesaria, ni implica dominio sobre el acto depredador, ni responde a un concierto
delictivo con la actividad del scammer previa, y sí supone una colaboración de menor grado e
intensidad muy al final de la cadena para meramente agotar (que no consumar) la acción (pues la
puede realizar cualquiera, incluso el propio autor) (35) . Sin embargo, estas posturas no dejan de ser
minoritarias y se hallan en contra del sentir de la doctrina mayoritaria y la jurisprudencia, que vienen

19 / 30
considerando su cooperación como una conditio sine qua non del delito de estafa. El hecho de que otra
persona (incluso el propio autor) pueda haber realizado el mismo comportamiento no excluye que sea
una conducta imprescindible para consumar el delito de estafa y en el caso que examinamos sí lo es,
ya que si nadie se prestase a extraer el dinero de la cuenta, el delito nunca quedaría consumado.

Surge la cuestión de si su conducta puede integrar a su vez un delito de receptación o de blanqueo de

capitales.

Pienso que el mulero comete además un delito de blanqueo de capitales previsto en el art. 301 CP (LA
LEY 3996/1995) y no un delito de receptación, ya que la receptación que tipifica el art. 298 CP (LA LEY
3996/1995), exige que el sujeto activo, con ánimo de lucro y con conocimiento de la comisión de un
delito contra el patrimonio o el orden socioeconómico «en el que no haya intervenido ni como autor ni
como cómplice», ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera
u oculte tales efectos. En nuestro caso y dado que el sujeto es cooperador necesario del delito contra el
patrimonio, no puede responder como receptador y sí por el contrario como autor de un delito de
blanqueo de capitales y más teniendo en cuenta el amplio concepto que da el art. 301 CP (LA LEY
3996/1995), ya que conociendo (con al menos dolo eventual), que el dinero extraído y transmitido
tiene su origen en un delito, ayudan a distribuirlo en el mercado lícito, no siendo necesario que
conozcan la identidad de los scammers, que no se precisa para consumar el tipo penal que realizan,
pudiendo realizarlo habiendo cometido incluso (aunque sea a título de partícipe) la actividad delictiva
previa.

Tal como está redactado el art. 301 CP (LA LEY 3996/1995), aunque el mulero actúe en varias
ocasiones y para unos mismos sujetos, no comete un delito de blanqueo continuado, sino un único
delito, ya que la continuidad delictiva está contenida en el tipo penal, pues nos hallamos ante un delito
que engloba la habitualidad, esta no es un requisito que el delito exija para declarar punible la
conducta, sino que puede ser un contenido más del mismo. Existe una equivalencia a efectos de
sanción entre el acto único y la habitualidad (36) . Cuestión distinta es que el sujeto actúe a la vez para
distintos scammers o bandas organizadas, en cuyo caso, sí existe una delimitación concreta de
voluntades de favorecer a varias personas o grupos diferentes, y nada impediría apreciar el delito
continuado en estos supuestos.

Tampoco se dará un delito continuado, cuando concurran entre sí diversas formas de conducta
descritas en el art. 301 (poseer, convertir y transmitir, por ejemplo), pues se trata simplemente de
formas alternativas de previsión de una única conducta criminal, en los que la ley emplea distintas
fórmulas para describir acciones que conllevan el mismo núcleo sustancial del ilícito. Son actos

20 / 30
considerados genéricamente equivalentes y con la misma sanción, de tal manera que pueden ser
sustituidos unos por otros sin comprometer la unidad del delito. Cabe comprobar que el legislador
utiliza el término genérico de «bienes» en plural a la hora de construir los actos del tipo penal,
pensando en la posibilidad de que exista una habitualidad. Para que se aprecie el delito de blanqueo,
no es necesario que exista una resolución judicial que se pronuncie sobre el delito antecedente
concreto (así lo reconoce la Sala Segunda del Tribunal Supremo en Sentencia 115/2007, de 22 de enero
(LA LEY 6637/2007)).

Tras la reforma del art. 301 CP (LA LEY 3996/1995) por LO 5/2010, de 22 de junio (LA LEY 13038/2010),
se recoge expresamente en el mismo el fenómeno del autoblanqueo, o blanqueo realizado por quien ha
cometido el delito previo, que ha sido duramente criticado (no sin razón) por la doctrina penal, que ve
en él un doble castigo por unos mismos hechos delictivos, una por consumar el delito y otra por
agotarlo (con el blanqueo) (37) . La figura del autoblanqueo no es ajena al phishing y pharming objeto
de nuestra atención.

En el caso de que no se logre extraer el dinero de la cuenta corriente y el mulero tenga conocimiento
de la trama, nos hallaremos ante un concurso entre el delito de estafa informática y el de blanqueo de
capitales dolosos y ambos en grado de tentativa.

Cabe la posibilidad, recogida en el núm. 3 del art. 301, de que el mulero cometa el delito de blanqueo
de capitales por imprudencia grave, que se daría, cuando infringiendo el mismo un deber de cuidado y
sospechando que el dinero ingresado en su cuenta procede de una actividad delictiva, no obstante, sin
efectuar ninguna comprobación ulterior, procede a su extracción y posterior envío pactado. El delito de
blanqueo por imprudencia grave, no solo debe apreciarse en aquellos supuestos en los que, en virtud
de la Ley 19/2003, de 4 de julio (LA LEY 1157/2003) sobre el régimen jurídico de los movimientos de
capitales y de las transacciones económicas con el exterior, modificada por la Ley 10/2010, de 28 de
abril (LA LEY 8368/2010), de prevención del blanqueo de capitales y de la financiación del terrorismo,
ciertas personas se hallen especialmente obligadas a cumplir los deberes de cuidado allí contenidos,
sino también en supuestos como el que comentamos (38) .

IV. LA RESPONSABILIDAD CIVIL DERIVADA DEL DELITO DE ESTAFA INFORMÁTICA

El art. 116 CP (LA LEY 3996/1995) dice que «toda persona criminalmente responsable de un delito o
falta lo es también civilmente si del hecho se derivasen daños o perjuicios». «Los autores y los
cómplices, cada uno dentro de su respectiva clase, serán responsables solidariamente entre sí por sus
cuotas, y subsidiariamente por las correspondientes a los demás responsables».

21 / 30
La cuestión que se suscita en este caso es a quién se debe indemnizar como perjudicado por el delito
de estafa, si al titular de la cuenta bancaria de la que se extrae el dinero o a la propia entidad bancaria.

En principio la víctima es el titular de la cuenta, que en la mayoría de los supuestos de phishing

engañoso suele actuar además con negligencia grave.

La Orden EHA/1608/2010, de 14 de junio (LA LEY 12671/2010), de transparencia de las condiciones y

requisitos de información aplicables a los servicios de pago, en desarrollo del art. 18 (LA LEY
20029/2009)de la Ley de Servicios de Pago 16/2009, de 13 de noviembre, obliga imperativamente a la
entidad de crédito a informar al cliente de banca on-line, entre otras, sobre las responsabilidades y
requisitos necesarios para la devolución en caso de operaciones no autorizadas, por lo que el usuario,
será conocedor de que jamás debe facilitar información personal y financiera en respuesta a correos
electrónicos o llamadas telefónicas, que tampoco debe utilizar enlaces incorporados en e-mail o
páginas web de terceros, que la entidad de crédito nunca le va a solicitar por ninguno de estos medios
las claves secretas de autenticación, y de que en el caso de incurrir en el engaño, el banco no será
responsable, salvo causa justificada, del daño que dicha operación le pueda ocasionar (39) . Por otra
parte, tanto el contrato, como la LSP (art. 27) (LA LEY 20029/2009), imponen al usuario la obligación de
tomar todas las medidas razonables a fin de proteger los elementos de seguridad personalizados. El
hecho de que se faciliten claves de acceso a la banca on-line no puede tener más sentido ni otra
significación que la protección respecto de injerencias de terceros, por lo que es particularmente
importante seguir las instrucciones del banco sobre el uso del sistema; habrá que concluir que si el
cliente de banca on-line pese a ser conocedor de todas estas cuestiones es objeto de phishing porque
responde a un ataque, su actuación será calificable como negligente por culpa grave y, en este sentido,
soportará el total de las pérdidas que afronte como consecuencia de operaciones de pago no
autorizadas.

Existe una excepción. Incluso en caso de negligencia grave por phishing, la víctima no será responsable
de las consecuencias económicas que se deriven del fraude, si la entidad de crédito no tiene
disponibles medios adecuados y gratuitos para que pueda notificarse en todo momento la sustracción
de las claves secretas de autenticación, tal y como impone el art. 32-4 LSP. (LA LEY 20029/2009)

Si a pesar de todo, la entidad bancaria (como suele ocurrir con frecuencia), devuelve al titular de la
cuenta el importe de la operación, la misma se subrogará en su lugar a efectos de percibir la
responsabilidad civil por parte de los responsables del delito.

(1)

22 / 30
 Véanse, VELASCO NÚÑEZ, E., «Fraudes informáticos en red: del phishing al pharming», en La
Ley Penal, núm. 37, Sección Estudios, abril 2007, Ed. La Ley, págs. 57 y ss.; del mismo autor,
«Estafa informática y banda organizada. Phishing, pharming, smishing y "muleros"», en La Ley
Penal, núm. 49, Sección Estudios, mayo 2008, Ed. La Ley, págs. 20 y ss.; FERNÁNDEZ TERUELO,
J. G., Cibercrimen. Los delitos cometidos a través de internet, Ed. Constitutio Criminalis Carolina,
2007, págs. 29 y ss.; POVEDA RODA, M., «Descripción y "modus operandi" en la realización de
fraudes mediante internet», en [Link]., Fraude electrónico: entidades financieras y usuarios de
banca. Problemas y soluciones, (Coord. Carolina Sanchís), Ed. Aranzadi, Cizur Menor (Navarra),
2011, págs. 80 y ss.; CRUZ DE PABLO, J. A., Derecho penal y nuevas tecnologías. Aspectos
sustantivos, Ed. Difusión Jurídica y Temas de Actualidad S.A., Madrid, 2006, págs. 40 y ss.

(2)

Véase, POVEDA RODA, M., «Descripción y "modus operandi" en la realización de fraudes

mediante internet», en [Link]., Fraude electrónico: entidades financieras y usuarios de banca.
Problemas y soluciones, o.c., págs. 87 y ss.

(3)

Véanse, CRUZ DE PABLO, J. A., Derecho penal y nuevas tecnologías. Aspectos sustantivos, Ed.
Difusión Jurídica y Temas de Actualidad S.A., Madrid, 2006, pág. 20 y ss.; MATA y MARTÍN, R. M.,
Delincuencia informática y Derecho penal, Edisofer S.L., Madrid, 2001, pág. 23.

(4)

Así las califican, FLORES MENDOZA, F., «Nuevas formas de criminalidad patrimonial a través de
internet», en Revista Penal núm. 29, enero 2012, págs. 77 y ss.

(5)

Véase, CARRETERO SÁNCHEZ, A., «La organización y el grupo criminal en la reforma del Código
Penal», en Diario La Ley, Año XXXDII, núm. 7560, 2 de febrero de 2011, págs. 2 y ss.

(6)

Véanse, CARRETERO SÁNCHEZ, A., «La organización y el grupo criminal en la reforma del
Código Penal», en Diario La Ley, Año XXXII, núm. 7560, 2 de febrero de 2011, págs. 2 y ss.;
MARTELL PÉREZ-ALCALDE, C. y QUINTERO GARCÍA, D., «De las organizaciones y grupos

23 / 30
 criminales (arts. 570 bis, 570 ter y 570 quáter)», en La Reforma Penal de 2010: análisis y
comentarios (Dir. Quintero Olivares), Ed. Thomson-Reuters-Aranzadi, Cizur Menor (Navarra),
2010, págs. 362 y ss.; FLORES MENDOZA, F., «Nuevas formas de criminalidad patrimonial a
través de internet», o.c., pág. 78.

(7)

Véanse, VALLE MUÑIZ, J. M. y QUINTERO OLIVARES, G., «De las estafas», en Comentarios al
Código Penal, Tomo II (Dir. G. Quintero Olivares), Ed. Thomson-Aranzadi, Cizur Menor (Navarra),
2008, págs. 710 y ss.; FERNÁNDEZ TERUELO, J. G., Los delitos cometidos a través de internet,
Ed. Constitutio Criminalis Carolina, 2007, págs. 44 y ss.; MONER MUÑOZ, E., «Las
defraudaciones», en Estudios jurídicos. Ministerio Fiscal, II, Jornadas sobre novedades del nuevo
Código Penal en materia de delitos contra la propiedad, Madrid, 1997, págs. 431 y ss.; AZCONA
ALBARRAN, C. D., Tarjetas de pago y delincuencia patrimonial. Un modelo interpretativo del art.
248.2.c) CP (LA LEY 3996/1995), Ed. Atelier, Barcelona, 2012, págs. 213 y ss.; MATA Y MARTÍN,
R. M., Delincuencia informática y Derecho penal, Edisofer S.L., Madrid, 2001, págs. 44 y ss.;
CRUZ DE PABLO, J. A., Derecho penal y nuevas tecnologías. Aspectos sustantivos, o.c. págs. 38 y
ss.; FLORES MENDOZA, F., «Nuevas formas de criminalidad patrimonial a través de internet», en
Revista Penal núm. 29, o.c., págs. 80 y ss.

(8)

En contra, MATA Y MARTÍN, R. M., Delincuencia informática y Derecho penal, o.c. pág. 46;
CHOCLÁN MONTALVO, J. A., «Infracciones patrimoniales en los procesos de transferencia de
datos», en Delincuencia informática. Problemas de responsabilidad. Cuadernos de Derecho
Judicial, IX- 2002, Consejo General del Poder Judicial, Madrid, 2002, págs. 251 y ss., para quien
desde el punto de vista de la estructura de la estafa, estos supuestos, frecuentemente
catalogados como estafa cibernética, no ofrecen un modelo distinto de la estafa tradicional.

(9)

Véase en tal sentido, la STS de 20 de noviembre de 2001 (Ponente Sr. Martínez Arrieta).

(10)

La Sentencia de la Sala Segunda del TS de 19 de abril de 1991, que contemplaba un supuesto

de hecho exactamente igual al que ahora se tipifica en el art. 248-2.º del vigente Código

24 / 30
 (manipulación de cuentas corrientes por apoderado de entidad bancaria incorporando diversas
cantidades a su peculio) fue resuelto calificando los hechos como constitutivos de un delito de
apropiación indebida, en vez de estafa como venían sancionados en la instancia (Audiencia
Provincial de Granada), manteniendo además el delito de falsedad en documento mercantil.

(11)

Cfr. VALLE MUÑIZ J. M. y QUINTERO OLIVARES, G., «De las estafas», o.c. págs. 710 y ss.; MONER
MUÑOZ, E., «Las defraudaciones», o.c. págs. 431 y ss.

(12)

Así, FERNÁNDEZ TERUELO, J. G., Cibercrimen, o.c. págs. 51 y ss. Postula sustituir el modelo
vigente de estafa informática por uno nuevo que se caracterizase por el castigo de «la ejecución
con ánimo de lucro, de operaciones informáticas no autorizadas perjudiciales para el patrimonio
de otro».

(13)

Véanse, HURTADO ADRIÁN, A., «Estafa informática (art. 248 apdo. 2)», en [Link]., Reforma del
Código Penal. Perspectiva económica tras la entrada en vigor de la LO 5/2010, de 22 de junio
(LA LEY 13038/2010). Situación jurídico-penal del empresario (Dir. Ángel Juanes Peces), Ed. El
Derecho, Madrid, 2010, págs.136 y ss. y 145; FLORES MENDOZA, F., «Nuevas formas de
criminalidad patrimonial a través de internet», en Revista Penal, núm. 29, o.c., págs.80 y ss.

(14)

En este sentido, FLORES MENDOZA, F., «Nuevas formas de criminalidad patrimonial a través de
internet», o.c., págs. 81 y ss.

(15)

El Convenio Europeo sobre Criminalidad del Consejo de Europa, de 23 de noviembre de 2001,

dispone en su art. 8 que «las Partes adoptarán las medidas legislativas o de otro tipo que se
estimen necesarias para prever como infracción penal, conforme a su derecho interno, la
producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de: a.-
La introducción, alteración, borrado o supresión de datos informáticos, b.- Cualquier forma de

25 / 30
 atentado al funcionamiento de un sistema informático, con la intención, fraudulenta o delictiva,
de obtener sin autorización un beneficio económico para sí mismo o para tercero».

(16)

En este sentido., CHOCLÁN MONTALVO, J. A., «Infracciones patrimoniales en los procesos de

transferencia de datos», en Delincuencia informática. Problemas de responsabilidad. Cuadernos
de Derecho Judicial, IX-2002, o.c., pág. 256; VELASCO NÚÑEZ, E., «Estafa informática y banda
organizada. Phishing, pharming y "muleros"», en La Ley Penal núm. 49, o.c., pág. 29.

(17)

Así, CALLE RODRÍGUEZ, M.ª V., «El delito de estafa informática», en La Ley Penal, núm. 37, o.c.,
pág. 51; FLORES MENDOZA, F., «Nuevas formas de criminalidad patrimonial a través de
internet», en Revista Penal, núm. 29, o.c., pág. 78; FERNÁNDEZ TERUELO, J. G., Cibercrimen,
o.c., pág. 52.

(18)

En este sentido, VELASCO NÚÑEZ, E., «Estafa informática y banda organizada. Phishing,
pharming, smishing y muleros», o.c., pág. 29.

(19)

Véase, MANJÓN-CABEZA OLMEDA, A., «Receptación y blanqueo de capitales (arts. 301 y 302)»,
en Comentarios a la Reforma Penal de 2010, (Dir. F. J. Álvarez García y J. L. González Cussac),
Ed. Tirant lo Blanch, Valencia, 2010, págs. 343 y ss.

(20)

VELASCO NÚÑEZ, E., «Fraudes informáticos en red: del phishing al pharming», en La Ley Penal,
núm. 37, Sección Estudios, abril 2007, o.c. pág. 60 y ss.

(21)

Véanse, FERNÁNDEZ TERUELO, J. G., Cibercrimen. Los delitos cometidos a través de internet,
o.c. págs. 52 y ss.; CRUZ DE PABLO, J. A., Derecho penal y nuevas tecnologías. Aspectos
sustantivos, o.c., págs. 46 y s.

26 / 30
(22)

Véase, HURTADO ADRIÁN, A., «Estafa informática (Art. 248 apdo. 2)», en Reforma del Código
Penal (LA LEY 3996/1995). Perspectiva económica tras la entrada en vigor de la LO 5/2010 (LA
LEY 13038/2010), o.c., pág. 146.

(23)

Véase, CALLE RODRÍGUEZ, M.ª V., «El delito de estafa informática», en La Ley Penal, núm. 37,
Año IV, abril 2007, pág. 48. Para esta autora, la consumación se alcanza cuando se produce el
perjuicio, pero afirma que ello coincidirá con la realización del asiento contable.

(24)

CABEDO VILLAMÓN., F., ORTIZ NAVARRO., J. F., AGUADO LÓPEZ, S., «Criterios de los órganos
judiciales y el ministerio fiscal, en la investigación y enjuiciamiento de los fraudes por internet»,
en [Link]., Fraude electrónico: entidades financieras y usuarios de banca. Problemas y
soluciones, (Coord. Carolina Sanchís), Ed. Thomson-Reuters-Aranzadi, Cizur Menor (Navarra),
pág. 122.

(25)

Véase, FERNÁNDEZ TERUELO, J. G., Cibercrimen. Los delitos cometidos a través de internet, Ed.
Constitutio Criminalis Catrolina, 2007, págs. 51 y ss.

(26)

En este sentido, VELASCO NÚÑEZ, E., «Fraudes informáticos en red: del phishing al pharming»,
en La Ley Penal, núm. 37, abril 2007, pág. 61; FERNÁNDEZ TERUELO, J. G., Cibercrimen. Los
delitos cometidos a través de internet, o.c., págs.134 y ss. Véase también sobre el tema, RUIZ
MARCO, F., Los delitos contra la intimidad. Especial referencia a los ataques cometidos a través
de la informática, Ed. Colex, Madrid, 2001, págs. 76 y ss.

(27)

En este sentido, CRUZ DE PABLO, J. A., Derecho penal y nuevas tecnologías. Aspectos
sustantivos, o.c, págs. 32 y ss.

27 / 30
(28)

Sus antecedentes hay que buscarlos en la Decisión Marco 2005/222/JAI (LA LEY 3519/2005) del
Consejo de la Unión Europea de 24 de febrero de 2005, relativa a los ataques a los sistemas de
información, sin olvidarnos del Convenio sobre Ciberdelincuencia del Consejo de Europa hecho
en Budapest el 23 de noviembre de 2001.

(29)

Véase, CARRASCO ANDRINO, M.ª M., «El acceso ilícito a los sistemas informáticos», en
Comentarios a la reforma penal de 2010 (Dir. F. J. Álvarez García y J. L. González Cussac), Ed
Tirant lo Blanch, Valencia 2010, págs. 250 y ss.; MATA y MARTÍN, R. M., Delincuencia informática
y Derecho penal, o.c., págs. 132 y ss.; HURTADO ADRIÁN, A., «Accesos informáticos ilícitos», en
[Link]., Perspectiva económica tras la entrada en vigor de la LO 5/2010, de 22 de junio (LA LEY
13038/2010). Situación jurídico-penal del empresario (Dir. Ángel Juanes), Ed. El Derecho, Madrid,
2010, págs. 123 y ss.

(30)

La cláusula «en perjuicio del titular de los datos o de un tercero», ha sido interpretada por unos
autores como un elemento subjetivo del injusto que se debe añadir al dolo para que se cometa
el delito, mientras que otros autores (con mayor acierto a mi modo de ver) le otorgan un sentido
objetivo, como equivalente a aptitud de perjuicio, al no existir razones interpretativas o de
política criminal que lleven a un resultado distinto. Por todos véase, FERNÁNDEZ TERUELOS, J.
G., Cibercrimen. Los delitos cometidos a través de internet, o.c. págs. 138 y ss.

(31)

Véase, RUIZ MARCO, F., Los delitos contra la intimidad. Especial referencia a los ataques
cometidos a través de la informática, o.c., pág. 79.

(32)

Véanse, ARMENTEROS LEÓN, M., Los delitos de falsedad documental, Ed. Comares, Granada,
2011, págs. 119 y ss.; CABEDO VILLAMÓN, F., ORTIZ NAVARRO, J. F., y AGUADO LÓPEZ, S.,
«Criterios de los órganos judiciales y del ministerio fiscal, en la investigación y enjuiciamiento de
los fraudes por internet», en [Link]., Fraude electrónico: entidades financieras y usuarios de

28 / 30
 banca. Problemas y soluciones, (Coord. Carolina Sanchís), Ed. Thomson-Reuters-Aranzadi, Cizur
Menor (Navarra), 2011, pág. 157 y ss.; BACIGALUPO ZAPATER, E., «Documentos electrónicos y
delitos de falsedad documental», en Delincuencia informática. Problemas de responsabilidad,
Cuadernos de Derecho Judicial, IX-2002, CGPJ, Madrid, 2002, págs. 291 y ss.

(33)

En tal sentido véase, MARTÍNEZ-BUJÁN PÉREZ, C., Derecho penal económico y de la empresa,
Parte especial, 3.ª ed., Ed Tirant lo Blanch, Valencia 2011, pág. 496.

(34)

Véanse, VELASCO NÚÑEZ, E., «Fraudes informáticos en red: del phishing al pharming», o.c.,
págs. 63 y ss.; del mismo autor, «Estafa informática y banda organizada. Phishing, pharming,
smishing y muleros», o.c., págs. 24 y ss.; CABEDO GUILLAMÓN, F., ORTIZ NAVARRO, J. F., y
AGUADO LÓPEZ, S., «Criterios de los órganos judiciales y el ministerio fiscal, en la investigación
y enjuiciamiento de los fraudes por internet», en [Link]., Fraude electrónico: entidades
financieras y usuarios de banca. Problemas y soluciones, o.c., págs. 149 y ss. y 165 y ss.

(35)

En tal sentido, VELASCO NÚÑEZ, E., «Estafa informática y banda organizada», o.c., pág. 27.

(36)

Así, VELASCO NÚÑEZ, E., «Estafa informática y banda organizada», o.c., pág. 29.

(37)

Véase, MANJÓN-CABEZA OLMEDA, A., «Receptación y blanqueo de capitales», en Comentarios a

la Reforma Penal de 2010, (Dir. F. Javier Álvarez y José Luis González Cussac), Ed. Tirant lo
Blanch, Valencia, 2010, págs. 343 y ss.

(38)

Véanse, ROBLES PLANAS, R., y PASTOR MUÑOZ, N., «Delitos contra el patrimonio, II», en [Link].,
Lecciones de Derecho penal, Parte especial, Ed. Atelier, Barcelona, 2006, pág. 252.

29 / 30
(39)

Véase, MARTÍ MIRAVALLES, J., «Banca "on line" y responsabilidad por daños: análisis crítico de la
jurisprudencia reciente en materia de "phishing" engañoso», en [Link]. Fraude electrónico:
entidades financieras y usuarios de banca, Problemas y soluciones (Coord. Carolina Sanchís),
Ed. Thomson-Reuters-Aranzadi, Cizur Menor, Navarra, 2011, págs. 246 y ss.

30 / 30