
Abogados Penalistas en Ciberestafas y Phishing
Defensa técnica en delitos de estafa informática. Phishing, Smishing y el fraude del CEO
Última actualización:
Ciberestafas y Phishing: Modalidades, Víctima y Defensa (Art. 249 CP)
La estafa informática del Art. 249 CP es el tipo penal especialmente diseñado por el legislador para sancionar las defraudaciones cometidas mediante manipulación tecnológica o ingeniería social digital. Castiga a quien con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consiguiera una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. El bien jurídico protegido es el patrimonio, pero la especificidad del medio comisivo (técnicas de phishing, smishing, vishing, spoofing, malware bancario, BEC) ha obligado a desarrollar un cuerpo jurisprudencial específico sobre la idoneidad del engaño en entornos digitales. La jurisprudencia del Tribunal Supremo ha consolidado que la manipulación informática incluye tanto la alteración técnica de sistemas como las técnicas de ingeniería social mediadas por TIC, dado que la víctima es engañada por canales digitales aprovechando vulnerabilidades cognitivas estandarizadas. Esta página se centra en las modalidades de ciberestafa y en la actuación de la víctima; para el análisis del tipo penal (Art. 249.1.a) y la estrategia de defensa del investigado, vea estafa informática.
Las modalidades comisivas en el ciberfraude se han diversificado extraordinariamente en los últimos años. El phishing y sus variantes (smishing por SMS, vishing por voz) consisten en el envío masivo o dirigido de comunicaciones suplantando entidades de confianza (bancos, AEAT, plataformas de pago) para inducir a la víctima a entregar credenciales o autorizar movimientos. El spear phishing es la versión dirigida y personalizada, fundamental en el fraude al CEO o BEC (Business Email Compromise), donde los atacantes suplantan al consejero delegado o a un proveedor habitual mediante correos electrónicos clonados para ordenar transferencias urgentes a cuentas fraudulentas. El SIM swapping consiste en el duplicado fraudulento de la tarjeta SIM para interceptar los SMS de doble factor de autenticación y vaciar las cuentas bancarias. El uso fraudulento de Bizum mediante solicitudes de cobro disfrazadas de pagos, las estafas en marketplaces (Wallapop, Vinted, segunda mano) y la estafa del hijo en apuros por WhatsApp completan el cuadro de modalidades más frecuentes.
Las penas previstas son las de la estafa: prisión de 6 meses a 3 años en el tipo básico, prisión de 1 a 6 años y multa de 6 a 12 meses cuando concurra el agravante del Art. 250 CP (cuantía superior a 50.000 €, abuso de credibilidad empresarial, multitud de víctimas en delito masa), y prisión de 4 a 8 años en el tipo híper-agravado del Art. 250.2 cuando se superen los 250.000 €. La cooperación necesaria de quien actúa como mulero bancario —recibiendo y reenviando los fondos defraudados— se castiga con las mismas penas y suele concurrir con blanqueo de capitales del Art. 301 CP (prisión de 6 meses a 6 años). Las personas jurídicas titulares de los servicios de pago pueden responder por negligencia en sus deberes de diligencia conforme a la Ley 4/2020 de Servicios de Pago, lo que abre la reclamación civil al banco por las cantidades defraudadas cuando no se acrediten medidas de seguridad robustas o se omitan alertas antifraude exigibles.
La defensa técnica en estafa informática se construye sobre cuatro ejes consolidados. Primero, para la defensa del muleros bancario o cooperador acusado: acreditación del engaño previo y ausencia de dolo; los autores intelectuales suelen captar a los muleros mediante ofertas de empleo falsas ("agente financiero", "procesador de pagos"), lo que permite degradar la conducta de dolo directo a imprudencia o, en su caso, articular la atipicidad por error sobre el origen ilícito de los fondos. Segundo, para la defensa del directivo en supuestos de BEC: diligencia debida del empleado y sofisticación técnica del engaño; la acreditación de protocolos internos seguidos y de medidas de verificación razonables exonera de responsabilidad por administración desleal. Tercero, para la víctima frente al banco: reclamación civil ex Ley 4/2020 de Servicios de Pago, que invierte la carga de la prueba e impone al banco demostrar la negligencia grave del usuario; la jurisprudencia ha consolidado que la mera entrega de credenciales bajo engaño sofisticado no constituye negligencia grave. Cuarto, la identificación del autor material mediante peritaje forense informático, trazado de direcciones IP, análisis de cabeceras de correo y rastreo de flujos en exchanges.
En la práctica forense actual, las estafas informáticas son el delito patrimonial de mayor incremento estadístico en España, según los informes anuales de la Fiscalía General del Estado y del INCIBE. La Ley Orgánica 1/2025 de Eficiencia del Servicio Público de Justicia, la Ley 4/2020 de Servicios de Pago que traspone PSD2, la NIS2 sobre ciberseguridad y la jurisprudencia consolidada del TS y de las Audiencias Provinciales han fortalecido tanto los mecanismos de persecución como las garantías de la víctima. En Alonso Sala, con +15 años de experiencia en delitos económicos y un equipo multidisciplinar de abogados penalistas y peritos en ciberseguridad forense, asumimos las tres líneas de actuación principales: defensa técnica de muleros bancarios y empleados acusados en supuestos de BEC, articulación de la acusación particular para identificar al estafador, embargar los fondos y solicitar la cooperación judicial internacional, y reclamación civil al banco por negligencia en sus deberes de diligencia conforme a la normativa vigente.
Phishing Bancario: ¿Quién Paga el Pato?
Si le han vaciado la cuenta mediante Phishing o Smishing, el banco casi siempre intentará culparte alegando que diste sus claves ("Negligencia Grave"). Sin embargo, la Ley de Servicios de Pago (LSP) es muy garantista con el usuario.
Para que el banco se libre de devolver el dinero, tiene que probar que su negligencia fue "grave". Los tribunales consideran que si el engaño fue muy creíble (SMS en el mismo hilo que los legítimos del banco, web clonada perfecta), NO hay culpa grave del usuario y el banco DEBE devolver los fondos.
Muleros Bancarios (Money Mules)
Muchas personas (especialmente jóvenes) son captadas con ofertas de trabajo falsas ("procesador de pagos", "agente financiero") para recibir dinero en su cuenta y reenviarlo a cambio de una comisión. Sin saberlo, están blanqueando dinero de estafas.
Estrategia de Defensa
La Fiscalía suele acusar de estafa (cooperador necesario) y blanqueo de capitales. Nuestra defensa se basa en acreditar el <strong>engaño previo</strong> y la falta de "dolo". Luchamos para demostrar que el cliente fue utilizado y que no conocía el origen ilícito del dinero, degradando la conducta a una imprudencia que, en el peor de los casos, reduce drásticamente la pena.
¿Por qué Alonso Sala en Ciberestafas?
En ciberestafas, la velocidad de respuesta es crítica. Trabajamos con peritos informáticos forenses para rastrear fondos y demostrar la sofisticación técnica del engaño.
- verifiedRespuesta rápida para bloqueo de transferencias y reclamaciones bancarias.
- verifiedRed de peritos forenses en ciberseguridad y trazabilidad blockchain.
- verifiedExperiencia en defensa de 'muleros bancarios' inocentes.
- verifiedLitigio especializado contra entidades bancarias por negligencia en seguridad.
Guía de Defensa en Delitos contra el Patrimonio: Estrategia y Penas
Los delitos contra el patrimonio y el orden socioeconómico se regulan en el Título XIII del Código Penal (Arts. 234-304 CP). Son los delitos más frecuentes en los juzgados españoles y abarcan desde el hurto leve hasta la estafa millonaria. La diferencia entre una absolución y años de prisión depende, con frecuencia, de un solo elemento típico: la cuantía, el método empleado o la existencia de antecedentes penales.
Cuadro Comparativo de Penas: Hurto, Robo y Estafa
| Delito | Artículo CP | Elemento Clave | Pena Base |
|---|---|---|---|
| Hurto leve | Art. 234.2 | <400€, sin fuerza | Multa 1-3 meses |
| Hurto | Art. 234.1 | >400€, sin fuerza | 6 meses – 18 meses |
| Hurto agravado (235 CP) | Art. 235 | Objeto especial / multi-reincidencia | 1 – 3 años |
| Robo con fuerza | Art. 240 | Palanca, ganzúa, puerta forzada | 1 – 3 años |
| Robo con violencia | Art. 242 | Intimidación o violencia directa | 2 – 5 años |
| Estafa | Art. 249 | Engaño + perjuicio económico | 6 meses – 3 años |
| Receptación | Art. 298 | Conocimiento del origen ilícito | 6 meses – 2 años |
Claves de la Defensa Penal en Delitos Patrimoniales
Impugnar el animus lucrandi
Acreditar que no existía intención de lucro — clave en imputaciones de hurto entre conocidos o disputas de propiedad.
Cuestionar la valoración del objeto
La diferencia entre 399€ y 400€ supone pasar de delito leve (multa) a delito menos grave (hasta 18 meses). La pericial de tasación es estratégica.
Acreditar consentimiento previo
En hurtos entre personas relacionadas, demostrar que el acusado creía tener derecho sobre el objeto es una defensa eficaz.
Análisis de antecedentes (multirreincidencia)
El Art. 235.7 CP agrava el hurto cuando hay más de dos condenas previas. Impugnar el cómputo correcto de antecedentes es esencial.
Cadena de custodia (receptación)
Si el fiscal no prueba que el acusado sabía el origen ilícito del bien, no hay delito de receptación. Exigir la prueba del 'conocimiento'.
Error de tipo en estafa (Art. 14 CP)
En fraudes comerciales, demostrar que el acusado creía sinceramente en la veracidad de sus representaciones elimina el dolo y por tanto el delito.
⚡ Tiempo Crítico: Conservación de Pruebas
En delitos patrimoniales, las evidencias digitales — cámaras de seguridad, geolocalización del móvil, logs de cajero — se sobreescriben habitualmente en 30 días. Contacte con abogado especialista inmediatamente tras la detención o la citación para preservar pruebas de descargo.
Ciberestafas y Phishing: Marco Legal y Defensa
¿Qué es el 'fraude al CEO' o BEC?expand_more
He sido víctima de phishing, ¿el banco me devuelve el dinero?expand_more
¿Son seguras las compras en Wallapop o Vinted?expand_more
Me estafaron con una inversión en criptomonedas, ¿puedo hacer algo?expand_more
¿Cómo me protejo de las ciberestafas?expand_more
Si soy víctima, ¿qué hago primero?expand_more
¿Qué es el SIM Swapping?expand_more
¿Me pueden acusar si fui 'mulero' sin saberlo?expand_more
¿Qué es el Vishing?expand_more
¿Las estafas de Bizum son recuperables?expand_more
¿Qué hago si vendí en Wallapop y el comprador dice que no le llegó?expand_more
¿Puedo demandar a la plataforma (Vinted, Wallapop)?expand_more
¿Es delito comprar en una web falsa si no me envían nada?expand_more
¿Qué es el 'Hijo en Apuros' (WhatsApp)?expand_more
¿Busca un abogado especialista en Ciberestafas y Phishing?
Como despacho penalista de ámbito nacional, ofrecemos defensa penal especializada en sede judicial en Madrid y resto de España. Tratamos cada caso de Ciberestafas y Phishing con la urgencia y el rigor técnico que requiere, elaborando estrategias de defensa sólidas desde la primera citación.
¿Necesita Asistencia Legal Especializada?
El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.