En el TAC jurídico de hoy vamos a comentar el phishing y la estafa combinada. ¡Vamos allá!
En los últimos años el phishing ha evolucionado desde simples correos falsos hasta complejas operaciones delictivas coordinadas a nivel internacional. El Código Penal español regula estas conductas principalmente en los delitos de estafa (arts. 248–251 CP), delitos informáticos y accesos ilícitos (art. 197 CP).
La modalidad que más crecimiento está experimentando es la denominada “estafa doble”, en la que la víctima es engañada dos veces por la misma red criminal.
¿En qué consiste el “Phishing”?
El phishing consiste en obtener datos confidenciales mediante engaño, para realizar actos ilícitos como transferencias o compras. Jurídicamente suele calificarse como:
1.- Estafa informática (art. 248.2 CP): utilizar datos obtenidos fraudulentamente para realizar operaciones sin consentimiento.
2.- Usurpación de identidad (art. 401 CP): si se suplanta a una persona para generar confianza.
3.- Delito de descubrimiento y revelación de secretos (art. 197 CP): cuando se accede a datos o cuentas sin autorización.
¿En qué consiste la “estafa doble”?
Es una cadena delictiva en dos fases:
Fase 1: Estafa inicial
El delincuente obtiene claves o autoriza pagos mediante engaño.
Fase 2: Segunda estafa (más sofisticada)
Horas o días después, los delincuentes vuelven a contactar haciéndose pasar por:
1.- El propio banco
2.- Un agente de la Unidad de Delitos Telemáticos
3.- Un “experto en ciberseguridad” o un servicio falso de recuperación de fondos
Solicitan datos adicionales, pagos o acceso remoto al dispositivo.
Todo ello encaja en:
1.- Estafa agravada (art. 250 CP)
2.- Blanqueo o transferencia a cuentas mulas (arts. 301 CP y 298 CP)
3.- Intrusiones tecnológicas (art. 197 bis CP)
Ejemplo práctico:
María recibe un SMS que parece enviado por su banco avisando de un “bloqueo de seguridad”. Al pulsar el enlace, accede a una web idéntica a la oficial e introduce sus claves de acceso. Esa información llega en tiempo real a los estafadores (Phishing).
A los pocos minutos —antes de que María sospeche— recibe una llamada desde un número que aparece en Google como el del banco. El supuesto “gestor de seguridad” le dice que han detectado movimientos sospechosos en su cuenta y que para protegerla deben verificar su identidad y autorizar un bloqueo urgente.
Como prueba de legitimidad, el falso gestor le facilita datos reales de su cuenta (número parcial de tarjeta, nombre completo, últimos movimientos), obtenidos gracias a las claves captadas por el phishing.
María, confiada, dicta los códigos que le llegan por SMS creyendo que son para “bloquear operaciones”.
En realidad, esos códigos se corresponden con transferencias de alto importe que los delincuentes están realizando en ese mismo instante desde su banca online.
Resultado:
a. Primera estafa: obtención de claves mediante phishing.
b. Segunda estafa (instantánea): uso de los códigos facilitados por la víctima durante la llamada para autorizar transferencias elevadas.
¿Cómo operan las organizaciones criminales?
1.- Programadores que diseñan páginas falsas simulando las reales (mismo logo, fondo e información).
2.- Equipos de ingeniería social
3.- Cuentas “mula” para recibir fondos
4.- Cobros fraccionados para evitar detecciones bancarias
Por su estructura, estos casos suelen incorporar el tipo penal de organización criminal (art. 570 bis CP).
¿Qué hacer en los primeros 30 minutos?
1. Bloquear tarjetas y banca online.
2. Cambiar todas las contraseñas.
3. Ponerse en contacto directamente con el banco para generar la incidencia y congelar las transferencias que se puedan llegar a hacer.
4. Desconectar el móvil/PC de redes si se permitió acceso remoto.
5. Guardar pruebas: capturas, correos, números de teléfono.
6. Presentar denuncia inmediata.
7. Contactar con un penalista especializado en ciberdelitos.
El phishing y la estafa combinada representan hoy una de las modalidades delictivas más peligrosas por su capacidad para obtener datos sensibles y, acto seguido, utilizarlos en tiempo real mediante llamadas suplantadas que simulan ser del propio banco. Esta doble acción —captación previa de claves y ejecución inmediata de transferencias con la colaboración involuntaria de la víctima— demuestra un alto nivel de coordinación criminal y una explotación directa del factor psicológico. La rapidez con la que operan estas organizaciones exige una reacción inmediata y asesoramiento jurídico especializado para limitar los daños, denunciar adecuadamente y analizar la posible responsabilidad de las entidades implicadas. La prevención y la educación digital siguen siendo la herramienta más efectiva para protegerse frente a estas amenazas crecientes.
Artículo realizado por TAC. Estudio jurídico a través de IA Conversa.
