Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN

Abogados Penalistas en Ciberestafas y Phishing

Defensa técnica en delitos de estafa informática. Phishing, Smishing y el fraude del CEO

Última actualización:

Ciberestafas y Phishing: Modalidades, Víctima y Defensa (Art. 249 CP)

La estafa informática del Art. 249 CP es el tipo penal especialmente diseñado por el legislador para sancionar las defraudaciones cometidas mediante manipulación tecnológica o ingeniería social digital. Castiga a quien con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consiguiera una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. El bien jurídico protegido es el patrimonio, pero la especificidad del medio comisivo (técnicas de phishing, smishing, vishing, spoofing, malware bancario, BEC) ha obligado a desarrollar un cuerpo jurisprudencial específico sobre la idoneidad del engaño en entornos digitales. La jurisprudencia del Tribunal Supremo ha consolidado que la manipulación informática incluye tanto la alteración técnica de sistemas como las técnicas de ingeniería social mediadas por TIC, dado que la víctima es engañada por canales digitales aprovechando vulnerabilidades cognitivas estandarizadas. Esta página se centra en las modalidades de ciberestafa y en la actuación de la víctima; para el análisis del tipo penal (Art. 249.1.a) y la estrategia de defensa del investigado, vea estafa informática.

Las modalidades comisivas en el ciberfraude se han diversificado extraordinariamente en los últimos años. El phishing y sus variantes (smishing por SMS, vishing por voz) consisten en el envío masivo o dirigido de comunicaciones suplantando entidades de confianza (bancos, AEAT, plataformas de pago) para inducir a la víctima a entregar credenciales o autorizar movimientos. El spear phishing es la versión dirigida y personalizada, fundamental en el fraude al CEO o BEC (Business Email Compromise), donde los atacantes suplantan al consejero delegado o a un proveedor habitual mediante correos electrónicos clonados para ordenar transferencias urgentes a cuentas fraudulentas. El SIM swapping consiste en el duplicado fraudulento de la tarjeta SIM para interceptar los SMS de doble factor de autenticación y vaciar las cuentas bancarias. El uso fraudulento de Bizum mediante solicitudes de cobro disfrazadas de pagos, las estafas en marketplaces (Wallapop, Vinted, segunda mano) y la estafa del hijo en apuros por WhatsApp completan el cuadro de modalidades más frecuentes.

Las penas previstas son las de la estafa: prisión de 6 meses a 3 años en el tipo básico, prisión de 1 a 6 años y multa de 6 a 12 meses cuando concurra el agravante del Art. 250 CP (cuantía superior a 50.000 €, abuso de credibilidad empresarial, multitud de víctimas en delito masa), y prisión de 4 a 8 años en el tipo híper-agravado del Art. 250.2 cuando se superen los 250.000 €. La cooperación necesaria de quien actúa como mulero bancario —recibiendo y reenviando los fondos defraudados— se castiga con las mismas penas y suele concurrir con blanqueo de capitales del Art. 301 CP (prisión de 6 meses a 6 años). Las personas jurídicas titulares de los servicios de pago pueden responder por negligencia en sus deberes de diligencia conforme a la Ley 4/2020 de Servicios de Pago, lo que abre la reclamación civil al banco por las cantidades defraudadas cuando no se acrediten medidas de seguridad robustas o se omitan alertas antifraude exigibles.

La defensa técnica en estafa informática se construye sobre cuatro ejes consolidados. Primero, para la defensa del muleros bancario o cooperador acusado: acreditación del engaño previo y ausencia de dolo; los autores intelectuales suelen captar a los muleros mediante ofertas de empleo falsas ("agente financiero", "procesador de pagos"), lo que permite degradar la conducta de dolo directo a imprudencia o, en su caso, articular la atipicidad por error sobre el origen ilícito de los fondos. Segundo, para la defensa del directivo en supuestos de BEC: diligencia debida del empleado y sofisticación técnica del engaño; la acreditación de protocolos internos seguidos y de medidas de verificación razonables exonera de responsabilidad por administración desleal. Tercero, para la víctima frente al banco: reclamación civil ex Ley 4/2020 de Servicios de Pago, que invierte la carga de la prueba e impone al banco demostrar la negligencia grave del usuario; la jurisprudencia ha consolidado que la mera entrega de credenciales bajo engaño sofisticado no constituye negligencia grave. Cuarto, la identificación del autor material mediante peritaje forense informático, trazado de direcciones IP, análisis de cabeceras de correo y rastreo de flujos en exchanges.

En la práctica forense actual, las estafas informáticas son el delito patrimonial de mayor incremento estadístico en España, según los informes anuales de la Fiscalía General del Estado y del INCIBE. La Ley Orgánica 1/2025 de Eficiencia del Servicio Público de Justicia, la Ley 4/2020 de Servicios de Pago que traspone PSD2, la NIS2 sobre ciberseguridad y la jurisprudencia consolidada del TS y de las Audiencias Provinciales han fortalecido tanto los mecanismos de persecución como las garantías de la víctima. En Alonso Sala, con +15 años de experiencia en delitos económicos y un equipo multidisciplinar de abogados penalistas y peritos en ciberseguridad forense, asumimos las tres líneas de actuación principales: defensa técnica de muleros bancarios y empleados acusados en supuestos de BEC, articulación de la acusación particular para identificar al estafador, embargar los fondos y solicitar la cooperación judicial internacional, y reclamación civil al banco por negligencia en sus deberes de diligencia conforme a la normativa vigente.

account_balance

Phishing Bancario: ¿Quién Paga el Pato?

Si le han vaciado la cuenta mediante Phishing o Smishing, el banco casi siempre intentará culparte alegando que diste sus claves ("Negligencia Grave"). Sin embargo, la Ley de Servicios de Pago (LSP) es muy garantista con el usuario.

Para que el banco se libre de devolver el dinero, tiene que probar que su negligencia fue "grave". Los tribunales consideran que si el engaño fue muy creíble (SMS en el mismo hilo que los legítimos del banco, web clonada perfecta), NO hay culpa grave del usuario y el banco DEBE devolver los fondos.

Muleros Bancarios (Money Mules)

Muchas personas (especialmente jóvenes) son captadas con ofertas de trabajo falsas ("procesador de pagos", "agente financiero") para recibir dinero en su cuenta y reenviarlo a cambio de una comisión. Sin saberlo, están blanqueando dinero de estafas.

Estrategia de Defensa

La Fiscalía suele acusar de estafa (cooperador necesario) y blanqueo de capitales. Nuestra defensa se basa en acreditar el <strong>engaño previo</strong> y la falta de "dolo". Luchamos para demostrar que el cliente fue utilizado y que no conocía el origen ilícito del dinero, degradando la conducta a una imprudencia que, en el peor de los casos, reduce drásticamente la pena.

security

¿Por qué Alonso Sala en Ciberestafas?

En ciberestafas, la velocidad de respuesta es crítica. Trabajamos con peritos informáticos forenses para rastrear fondos y demostrar la sofisticación técnica del engaño.

  • verifiedRespuesta rápida para bloqueo de transferencias y reclamaciones bancarias.
  • verifiedRed de peritos forenses en ciberseguridad y trazabilidad blockchain.
  • verifiedExperiencia en defensa de 'muleros bancarios' inocentes.
  • verifiedLitigio especializado contra entidades bancarias por negligencia en seguridad.

Guía de Defensa en Delitos contra el Patrimonio: Estrategia y Penas

Los delitos contra el patrimonio y el orden socioeconómico se regulan en el Título XIII del Código Penal (Arts. 234-304 CP). Son los delitos más frecuentes en los juzgados españoles y abarcan desde el hurto leve hasta la estafa millonaria. La diferencia entre una absolución y años de prisión depende, con frecuencia, de un solo elemento típico: la cuantía, el método empleado o la existencia de antecedentes penales.

Cuadro Comparativo de Penas: Hurto, Robo y Estafa

DelitoArtículo CPElemento ClavePena Base
Hurto leveArt. 234.2<400€, sin fuerzaMulta 1-3 meses
HurtoArt. 234.1>400€, sin fuerza6 meses – 18 meses
Hurto agravado (235 CP)Art. 235Objeto especial / multi-reincidencia1 – 3 años
Robo con fuerzaArt. 240Palanca, ganzúa, puerta forzada1 – 3 años
Robo con violenciaArt. 242Intimidación o violencia directa2 – 5 años
EstafaArt. 249Engaño + perjuicio económico6 meses – 3 años
ReceptaciónArt. 298Conocimiento del origen ilícito6 meses – 2 años

Claves de la Defensa Penal en Delitos Patrimoniales

Impugnar el animus lucrandi

Acreditar que no existía intención de lucro — clave en imputaciones de hurto entre conocidos o disputas de propiedad.

Cuestionar la valoración del objeto

La diferencia entre 399€ y 400€ supone pasar de delito leve (multa) a delito menos grave (hasta 18 meses). La pericial de tasación es estratégica.

Acreditar consentimiento previo

En hurtos entre personas relacionadas, demostrar que el acusado creía tener derecho sobre el objeto es una defensa eficaz.

Análisis de antecedentes (multirreincidencia)

El Art. 235.7 CP agrava el hurto cuando hay más de dos condenas previas. Impugnar el cómputo correcto de antecedentes es esencial.

Cadena de custodia (receptación)

Si el fiscal no prueba que el acusado sabía el origen ilícito del bien, no hay delito de receptación. Exigir la prueba del 'conocimiento'.

Error de tipo en estafa (Art. 14 CP)

En fraudes comerciales, demostrar que el acusado creía sinceramente en la veracidad de sus representaciones elimina el dolo y por tanto el delito.

⚡ Tiempo Crítico: Conservación de Pruebas

En delitos patrimoniales, las evidencias digitales — cámaras de seguridad, geolocalización del móvil, logs de cajero — se sobreescriben habitualmente en 30 días. Contacte con abogado especialista inmediatamente tras la detención o la citación para preservar pruebas de descargo.

quiz

Ciberestafas y Phishing: Marco Legal y Defensa

¿Qué es el 'fraude al CEO' o BEC?expand_more
Es una estafa donde los criminales suplantan el email del CEO de una empresa para ordenar al departamento financiero que haga una transferencia urgente y confidencial a una cuenta fraudulenta. Defendemos al empleado que la realiza, probando que fue víctima de un engaño sofisticado.
He sido víctima de phishing, ¿el banco me devuelve el dinero?expand_more
Depende. Si el banco no tenía medidas de seguridad robustas (doble factor de autenticación) o si no actuó rápido tras su aviso, se le puede exigir la devolución. Si el error fue tuyo por dar las claves, la responsabilidad es más discutible, pero aún se puede pelear.
¿Son seguras las compras en Wallapop o Vinted?expand_more
Son plataformas seguras si usas sus sistemas integrados de pago y envío. El riesgo surge cuando el vendedor le pide salir de la plataforma y pagar por Bizum o transferencia. Si lo hace y no te envían el producto, es estafa, pero más difícil de reclamar.
Me estafaron con una inversión en criptomonedas, ¿puedo hacer algo?expand_more
Es muy complicado. El dinero suele acabar en 'wallets' anónimas en el extranjero. Podemos interponer una querella para que la policía intente rastrear los fondos en la blockchain, pero la recuperación es rara. La prevención es clave: desconfía de rentabilidades garantizadas.
¿Cómo me protejo de las ciberestafas?expand_more
Desconfía de urgencias y chollos. Nunca des sus claves por email o SMS. Usa siempre doble factor de autenticación. Verifica las transferencias importantes por teléfono. Usa los sistemas de pago seguros de las plataformas.
Si soy víctima, ¿qué hago primero?expand_more
1. Contacte a su banco INMEDIATAMENTE para intentar cancelar la transferencia. 2. Denuncia en Policía Nacional o Guardia Civil, aportando todas las pruebas (emails, capturas, etc.). 3. Contacte a un abogado para valorar querella penal y reclamación contra el banco.
¿Qué es el SIM Swapping?expand_more
Los ciberdelincuentes consiguen duplicar su tarjeta SIM para interceptar los SMS de doble factor del banco. Para evitarlo, usa apps de autenticación (Google Authenticator) en vez de SMS.
¿Me pueden acusar si fui 'mulero' sin saberlo?expand_more
Sí, la Fiscalía suele acusar de estafa en cooperación necesaria y blanqueo. Nuestra defensa se centra en probar el engaño previo y la ausencia de dolo (desconocimiento del origen ilícito).
¿Qué es el Vishing?expand_more
Phishing por llamada telefónica. Te llaman haciéndose pasar por el banco para que des códigos de verificación. NUNCA des códigos por teléfono, el banco jamás los pide.
¿Las estafas de Bizum son recuperables?expand_more
Es muy difícil. Bizum es pago instantáneo. Si enviaste dinero voluntariamente (aunque fuera engañado), el banco dirá que autorizaste la operación. Hay que pelear demostrando el engaño y la falta de alertas del banco.
¿Qué hago si vendí en Wallapop y el comprador dice que no le llegó?expand_more
Siempre envía con seguimiento y firma. Si usaste Wallapop Envíos, la plataforma protege. Si enviaste por su cuenta sin tracking, es muy difícil demostrar que enviaste algo.
¿Puedo demandar a la plataforma (Vinted, Wallapop)?expand_more
Solo si la plataforma facilitó activamente el fraude o no cumplió con sus propios protocolos de seguridad. Normalmente se exoneran en sus términos de uso, pero se puede pelear en casos de negligencia grave.
¿Es delito comprar en una web falsa si no me envían nada?expand_more
Sí, es una estafa básica. El problema suele ser localizar al autor si la web está en el extranjero. Recomendamos denunciar siempre para que la policía pueda solicitar el bloqueo del dominio y rastrear la cuenta de destino del dinero.
¿Qué es el 'Hijo en Apuros' (WhatsApp)?expand_more
Es una estafa masiva donde te escriben desde un número desconocido fingiendo ser su hijo ('se me rompió el móvil, este es mi nuevo número') y pidiendo dinero urgente. Los bancos a veces deniegan la devolución alegando que hizo la transferencia voluntariamente. Nosotros pleiteamos esos casos alegando vicio en el consentimiento por manipulación emocional y falta de medidas de seguridad del banco (si no saltaron las alertas antifraude).

¿Busca un abogado especialista en Ciberestafas y Phishing?

Como despacho penalista de ámbito nacional, ofrecemos defensa penal especializada en sede judicial en Madrid y resto de España. Tratamos cada caso de Ciberestafas y Phishing con la urgencia y el rigor técnico que requiere, elaborando estrategias de defensa sólidas desde la primera citación.

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

call