La adaptación de los amigos de lo ajeno: las estafas informáticas y el SIM swapping

Dic 30, 2023 | Dogmática penal

Stéphanie Rivera

La delincuencia se adapta a las nuevas tecnologías, a pesar de los controles, hasta el punto de que a nadie le sorprende ya que las estafas informáticas y, entre ellas, el SIM swapping, estén a la orden del día

Desde hace relativamente poco tiempo, hemos ido sustituyendo las antiguas libretas bancarias y tarjetas de débito o crédito, por el ordenador y el móvil para realizar distintas gestiones. La facilidad para proceder al pago de un producto o un servicio utilizando la tecnología NFC (Near Field Communication) es innegable: nos olvidamos de la tarjeta de plástico y sus problemas con la banda y el chip.

Lamentablemente, si la tecnología progresa, la actividad de los amigos de lo ajeno evoluciona casi simultáneamente, precisamente porque se sirven de los nuevos medios tecnológicos. Y ello a pesar de la innovación en los controles de acceso a nuestras cuentas, como los sistemas de verificación en dos pasos o los biométricos.

La vinculación de nuestras distintas cuentas -bancarias, de plataformas de pago o redes sociales- a un terminal móvil, con el que interactuamos casi automáticamente y, aunque cueste reconocerlo, alguna vez también involuntariamente, añade un peso adicional a la necesidad de estar siempre alerta, revisando movimientos u operaciones extraños. Ya no sorprende a nadie que las estafas informáticas estén a la orden del día y que el legislador haya tenido que ir adaptando el tipo de la estafa.

De ahí que en el art. 249.1.a) CP, se haya determinado que también cometen este delito “[l]os que, con ánimo de lucro, obstaculizando o interfiriendo indebidamente en el funcionamiento de un sistema de información o introduciendo, alterando, borrando, transmitiendo o suprimiendo indebidamente datos informáticos o valiéndose de cualquier otra manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”.

 La estructura típica del delito de estafa consiste en:

  1. Engaño bastante por parte del autor del delito
  2. La producción de un error en el sujeto pasivo de la acción
  3. Un acto de disposición patrimonial del sujeto pasivo, consecuencia del error, en beneficio del autor o terceros
  4. Un perjuicio patrimonial para la víctima, vinculado causalmente a la acción engañosa
  5. La conducta engañosa ha de haber sido ejecutada con dolo y ánimo de lucro

Sin embargo, en la estafa informática el elemento del engaño es sustituido por la acreditación de una manipulación informática o artificio semejante (v. gr. alteración de elementos físicos, que permiten la programación de la máquina, o introducción de datos falsos). Esto se debe a que la máquina actúa, como consecuencia de una actuación ilegítima del sujeto activo, de acuerdo con su función mecánica propia, no “en error” (por todas, STS 838/2023, de 16 de noviembre de 2023, núm. rec. 7198/2021, Fundamento de Derecho Cuarto).

Por consiguiente, el tipo objetivo requiere, además de la manipulación informática o artificio semejante, la transferencia no consentida de activos y la producción de un perjuicio patrimonial efectivo. A su vez, el tipo subjetivo lo integran el dolo y el ánimo de lucro.

Una reciente modalidad de estafa informática consiste en el SIM swapping, que se caracteriza porque los sujetos intervinientes:

  1. Han obtenido previa e ilícitamente, usualmente a través del phishing, pharming, smishing o vishing, datos especialmente sensibles de una persona: su nombre completo, número de DNI, dirección, número de teléfono, número de cuenta bancaria, etc.
  2. Con esa información, proceden a suplantar la identidad de esa persona o a engañar al empleado de la operadora de telefonía móvil para obtener un duplicado de la tarjeta SIM
  3. Una vez obtienen el duplicado, lo utilizan en otro terminal, restablecen las contraseñas -incluidas las de las cuentas bancarias o de plataformas de pago como Bizum o PayPal-, y dejan a la víctima sin acceso al servicio en su terminal móvil
  4. Inmediatamente, con el objetivo de eludir la detección, realizan, por ejemplo, varias órdenes de pago o transferencias, evidentemente no autorizadas por el titular

La estructura del SIM swapping es particular, porque la obtención de los datos sensibles de la víctima y, a partir de esta información, la obtención del duplicado de la tarjeta SIM son previos a la manipulación informática.

En este delito y en aquellos vinculados a la ingeniería social, resulta característico que intervengan una pluralidad de sujetos, con una distribución de roles estratégica dependiendo del concreto modus operandi: hackers o piratas informáticos, captadores, falsos operadores telefónicos, etc. No todos tendrán necesariamente el mismo grado de participación.

Para determinar la coautoría se requiere la existencia de una decisión conjunta (elemento subjetivo de la coautoría) y el dominio funcional del hecho con aportación de una acción en la fase ejecutiva (elemento objetivo de la coautoría). De acuerdo con la jurisprudencia, “[s]on pues coautores los que conscientemente realizan una parte necesaria en la ejecución del plan global, siempre que tengan un dominio funcional del hecho, de suerte que pueda predicarse que el hecho pertenece a todos los intervinientes en su ejecución (…), diferenciándose la autoría material y directa, de la cooperación, en que el cooperador no ejecuta el hecho típico, desarrollando únicamente una actividad adyacente, colateral y distinta, pero íntimamente relacionada con la del autor material, pudiendo calificarse de necesaria cuando la actividad coadyuvante resulta imprescindible para la consumación de los comunes propósitos criminales asumidos por unos y otros (…) y de la complicidad cuando la aportación, sin ser imprescindible, sea de alguna forma relevante, en el sentido de favorecer o facilitar la acción o de la producción del resultado” (STS 1004/2022, de 28 de diciembre de 2022, núm. rec. 5665/2020, Fundamento de Derecho Quinto).

En general, en las estafas informáticas, también resulta frecuente la intervención de una pluralidad de mulas o cibermulas, que son los titulares de las cuentas de destino de las cantidades sustraídas. Habitualmente, por la dificultad de trazar el origen de las operaciones, las mulas suelen ser los únicos procesados y carecen de información suficiente para identificar a otros responsables. Sin embargo, no se trata de meros hombres de paja, sino que las mulas son conscientes de su participación en la trama o estructura delictiva y pretenden lucrarse con parte de lo recibido.

Así, por ejemplo, en la SAP de Valladolid 83/2023 (Sección 4ª), de 24 de abril de 2023, núm. rec. 183/2023, Fundamento de Derecho Segundo, se determinó que, aunque la mula no hubiera participado en la obtención del duplicado de la tarjeta SIM ni en la manipulación informática, devino cooperador necesario porque fue el receptor final de las cantidades transferidas a las cuentas de un tercero interpuesto (hombre de paja), que creía hacerle un favor al carecer aquél de una cuenta operativa.

Respecto del elemento subjetivo, a partir de la prueba practicada, se puede llegar a inferir el pleno conocimiento de la naturaleza defraudatoria de la acción de la mula. Tal y como confirma el Tribunal Supremo, “[s]in necesidad de acudir a la teoría de la «ignorancia deliberada», la actuación descrita implica una cooperación necesaria en la comisión del delito descrito, que ninguna persona con un conocimiento medio de la realidad en la que vive puede desconocer, pues nadie recibe en su cuenta un dinero sin haber dado nada a cambio, ni recibe un préstamo o dinero para financiar un proyecto, sin firmar un contrato que asegure las condiciones de su devolución” (STS 1004/2022, Fundamento de Derecho Primero).

Otro ejemplo de condena a una mula como cooperador necesario de SIM swapping se halla en la SAP de Soria 70/2023 (Sección 1ª), de 21 de julio de 2023, núm. rec. 2/2023, Fundamento de Derecho Cuarto, en la que tampoco se consideró acreditada la intervención de la mula en la manipulación informática.

La Audiencia Provincial de Soria consideró relevante a efectos de la cooperación necesaria: i) que la mula abriera la cuenta de ahorro, depositando únicamente cincuenta euros, y solicitara veinte tarjetas de crédito/débito -todas enviadas a su domicilio- sólo unos días antes de aquél en el que se solicitó el duplicado de la tarjeta SIM de la víctima y se realizaron las transferencias desde sus cuentas bancarias; ii) unos minutos después de que se realizaran dichas transferencias, se extrajeron diversas cantidades de dinero desde diferentes cajeros, utilizando las tarjetas distribuidas a terceros.

En cualquier caso, la identificación de los autores y, en concreto, de quienes hayan realizado la manipulación informática dependerá de la averiguación y aportación de los números de IMEI (International Mobile Equipment Identity) de los terminales móviles o las IP (Internet Protocol) de los ordenadores empleados para activar los duplicados de las tarjetas SIM de la víctima.

Plantee su duda o cuestión aquí.