En las redes sociales de la Policía Nacional no se para de insistir en la importancia de la prevención en las ciberestafas, que lamentablemente siguen aumentando diariamente, y son el plato estrella en las Oficinas de Denuncias y Atención al Ciudadano de las comisarías de todo el país.
Una de ellas es el archiconocido delito de phishing, una modalidad de estafa informática muy utilizada por los ciberdelincuentes por su sencillez y efectividad, donde a través de páginas fraudulentas se consiguen contraseñas (normalmente bancarias) procediendo después a su utilización en perjuicio de su titular.
Si bien es cierto que sobre este delito hay ríos de tinta, lo que venimos a comentar hoy es una figura no tan conocida popularmente como es el denominado “mulero bancario” o “cibermula”.
Como ocurre en los delitos contra el patrimonio offline, uno de los problemas a solventar por el delincuente es la salida al tráfico del objeto del delito, siendo una de las opciones clásicas el mercado negro o el papel del perista.
Sin embargo en este delito esta forma de actuar se verá muy limitada por su propia naturaleza, teniendo que optar estos ciberdelincuentes por transferencias bancarias a terceros, es decir, al tráfico legal.
Las cantidades de dinero obtenidas mediante el delito de phishing resultan ser tan elevadas que los ciberdelincuentes han tenido verdaderas dificultades para poder manejar y aprovechar este beneficio económico, para ello han ideado la forma de ir moviendo el dinero con la finalidad de dejar el mínimo rastro posible para así sustraerse de la acción policial y aquí es donde entra en juego la figura del mulero bancario y por tanto la segunda parte del delito, que es la más desconocida.
Los ciberdelincuentes, aparte de enviar correos masivos con la finalidad de obtener las contraseñas bancarias de forma fraudulenta aduciendo algún tipo de “problema de seguridad” o “accesos no autorizados” también enviarán de la misma forma correos donde ofrecerán una suculenta oferta de trabajo.
Este supuesto trabajo, consiste en aportar una cuenta bancaria para recibir cantidades de dinero y transferirlas a otras cuentas que le son aportadas por los ciberdelincuentes, recibiendo como contraprestación un porcentaje de esas cantidades, siendo normalmente entre un cinco y un diez por ciento en una suerte de “intermediario financiero” o “gestor económico”.
Es en este momento, cuando el mulero realizaría esas transferencias a las cuentas indicadas, que normalmente serán paraísos fiscales o cuentas establecidas en terceros países que no hayan suscrito el Convenio sobre la Ciberdelincuencia o incluso una conversión a criptoactivos, y el delito finalmente quedaría consumado.
Como ya es conocido, nuestro Código Penal no regula los delitos informáticos ad hoc, sino que estos se han adaptar a tipos ya establecidos, con determinadas adaptaciones. Esto precisamente es lo que ocurre con el phishing, que es una modalidad informática de la estafa ordinaria.
La estafa ordinaria, regulada en el art. 248 de nuestro Código Penal define como elementos fundamentales para su producción el engaño bastante (elemento nuclear de la misma con suficiente verosimilitud y previo al desplazamiento patrimonial), el ánimo de lucro, el error (la confusión provocada por el engaño bastante), el acto de disposición y por último el perjuicio propio o de tercero.
En la estafa que nos corresponde analizar hoy, cuyo encaje penal se encuentra en la actual redacción del art. 249.1 a) observamos que desaparecen dos de los elementos de la estafa ordinaria que son el error y el engaño bastante (véase STS 692/2006 de 26 de junio) para dejar paso a un nuevo elemento definitorio del delito que será la manipulación informática.
La problemática surge cuando, en atención a los hechos constitutivos del delito, tenemos que encontrar un encaje jurídico al grado de participación del mulero bancario en estos hechos: ¿es un cooperador necesario de delito de estafa informática?, ¿Es un receptador? ¿O es autor de un delito de blanqueo de capitales?
No es nada pacífica la jurisprudencia sobre la calificación jurídica de este sujeto puesto que habría que cerciorarse del grado de conocimiento que tiene sobre el delito que se está cometiendo.
En primer lugar, desde nuestro punto de vista el delito de receptación quedaría descartado por su propio iter criminis, ya que el delito de receptación siempre se produce posteriormente al delito, y sin embargo sin la intervención del mulero, el delito de estafa todavía no se habría consumado.
En la mayoría de los casos los tribunales han entendido que el mulero es un cooperador necesario del delito de estafa informática del 249.1.a) por ser su intervención imprescindible para la consumación del delito (y según la doctrina de los bienes escasos, con algún elemento no común), si bien su participación ha de ser voluntaria, consciente y dolosa.
El problema surge respecto al dolo en este delito puesto que ha de contar con sus dos elementos: el elemento cognitivo (saber perfectamente lo que hace) y volitivo (la voluntad de querer llevarlo a cabo).
Desde nuestra perspectiva no en todos los casos las conductas del mulero serán dolosas, y por ello se nos abre la posible calificación como autor de un delito de blanqueo de capitales en su modalidad de imprudencia grave recogida en el art. 301.3 CP.
Para ello hemos de citar necesariamente la doctrina de la «ignorancia deliberada», de origen anglosajón (willfull blindness), que la jurisprudencia ha definido como “la posición de quien pudiendo y debiendo conocer la naturaleza del acto o colaboración que se le pide, se mantiene en situación de no querer saber” (véase STS 131/2022, de 17 de febrero; 292/2021, de 8 de abril; 726/2020, de 11 de marzo y 725/2020, de 3 de marzo)
Desde nuestro punto de vista, y por supuesto habrá de estarse al caso concreto, puede resultar útil este encaje cuando se corrobore que el sujeto, omitiendo el deber general de cuidado o diligencia, no realizare las pesquisas necesarias para saber exactamente en alcance de este supuesto trabajo, ni haya si quiera realizado una búsqueda en internet sobre la naturaleza de esta gestión, habida cuenta de la ingente cantidad de información que obran en los motores de búsqueda de las numerosas plataformas sobre este tipo de fraudes.
Con toda esta información, insistimos, que habrá de estarse al caso concreto, pero podemos concluir en que los hechos probados donde se pueda inferir el elemento subjetivo junto con el comportamiento del sujeto durante todo el iter criminis determinarán la valoración de un delito u otro, siendo en todos los casos un elemento a tener en cuenta para la investigación de este tipo de fraudes, que por su naturaleza y circunstancias suponen tremenda dificultad para las unidades encargadas de su investigación.
Un artículo de la plataforma Derecho a la Escuela Nacional de Policía “Derechoenp”
