El párrafo segundo del art. 248 del Código Penal señala que: «También se consideran reos de estafa los que con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero».
- Imagen tomada de http://www.hoytecnologia.com
El Código Penal de 1995 introdujo este párrafo 2.º para tipificar como estafa los actos de apropiación de patrimonios ajenos realizados mediante manipulaciones o artificios en máquinas, para conseguir que éstas, a consecuencia de una conducta engañosa, actúen, en su automatismo, en perjuicio de tercero.
El phishing (pesca, en inglés) es una técnica fraudulenta que generalmente se realiza enviando mensajes de correo-electrónico reportados desde diversos sitios de la Red (pero también a través de virus o enlaces de páginas web) principalmente a usuarios de la Banca on-line en cuyos textos, haciéndose pasar por los servicios de seguridad del Banco, apremian y urgen a los usuarios a veces bajo amenazas de anular la cuenta al conectarse a una página web perfectamente imitada, pero falsa, y en ella a ceder los códigos de acceso y contraseñas secretas de seguridad, que una vez conocidas por los delincuentes, les permiten usarlas y quedarse con el dinero de sus víctimas (los que pican el anzuelo).
Se trata en definitiva de la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de los clientes de la Banca electrónica, con la finalidad posterior de realizar transferencias económicas no autorizadas, de «pescar» los datos protegidos y secretos del particular cliente bancario, por medio de diversas modalidades informáticas y con técnicas propias de delincuentes organizados .
En el smishing (phishing por SMS) se suelen enviar los mensajes a través del teléfono móvil, y lo que se pide en sus textos engañosos es el número de tarjeta y la fecha de caducidad, y con esa información los delincuentes confeccionan tarjetas de crédito falsas (skimming) que usan para adquirir productos en el mercado, cargados contra la cuenta asociada del engañado.
Ambas son modalidades de estafa sociológica, pues precisan el concurso de la actuación errónea de una persona para funcionar, a diferencia del pharming, en donde no se necesita, tratándose de una mera estafa maquinal.
Por su lado, el pharming es una modificación técnica de las direcciones DNS (domain name server) del servidor informático o del archivo hosts, de alojamiento del PC, hecha por el pharmer, tras la que, quien teclea en la barra del buscador las señas generalmente de Bancos on-line no accede a la página web solicitada, sino que el pharming redirecciona a otra imitación exacta (o casi) induciendo a error al creer que está operando en la página original del banco y entregando voluntariamente las claves de acceso al estafador, pudiendo desde ese mismo momento realizar a su favor transferencias inconsentidas por el titular, a quien sencillamente le indican que en ese momento no pueden atender por razones técnicas.
En el Phishing ocurre algo parecido a lo comentado respecto de la delincuencia que usa suplantadamente las tarjetas bancarias de una manera técnicamente correcta.
El artificio, lo mendaz en el Phishing es la actuación del scammer de engañar al dueño de la cuenta bancaria defraudada mediante el envío del mensaje que, quien lo recibe, es incapaz de pensar que provenga de alguien distinto de su Banco en el que, haciéndose pasar por sus servicios de seguridad, esto es mediante una nueva suplantación de personalidad, le pide que le recuerde sus claves y contraseñas secretas, de modo que quienes «pican» y las dan, luego descubren que el scammer las ha usado, obviamente sin su conocimiento y consentimiento, para hacer que el mecanismo preprogramado de su Banca on line, funcionando correctamente y sin forzamiento alguno por lo tanto sin manipulación, pero bajo la suplantación de su personalidad que en el sistema se pide al recabar del usuario la identificación y la contraseñay éste les dé a ellos en perjuicio de su propietario, el dinero así estafado.
* Se puede ampliar información en el artículo de Eloy Velasco Núñez, «Fraudes informáticos en Red: del phishing al Pharming», Rev. La Ley penal, núm. 37, año IV, abril 2007, págs. 57-66.
Bitácora de Ignacio Martínez San Macario 
Muy interesante Nacho,
Me sumo a tus observaciones y además, me gustaría proponerte un tema de análisis interesante y son las «pruebas» telemáticas… (algunos las llaman evidencias electrónicas) para crear una suite de referencias que permitan a nuestros alumnos ir estudiándolas. Me lo apunto para dentro de dos post… aún tengo que publicar el de Zara.
😉
Lo tengo en mente yo también, aunque quizas sean varios los post que ocupen, así que propuesta recogida. Te iré mandando lo que vaya preparando al respecto. Aunque mis clases no empiezan hasta el segundo cuatrimestre, voy preparando todos los materiales. Me gusta la idea de crear una suite de materiales aparte del aula virtual (que en la UAH nos habilitan para comunicar con los alumnos). Seguimos viéndolo. Un abrazo Luis Manuel.