Artículo 248 del Código Penal: Estafa Informática

Introducción

El 81,3% de las denuncias por delitos informáticos en España corresponden a estafas mediante manipulación informática, según la Memoria de la Fiscalía General del Estado 2025. Con más de 387.000 denuncias anuales por estafa informática (Art. 248.2 CP) y un crecimiento del 18,7% respecto a 2024, este delito se ha convertido en la principal amenaza patrimonial digital para ciudadanos y empresas españolas.

El artículo 248 del Código Penal tipifica la estafa tradicional, mientras que el artículo 248.2 CP extiende específicamente la protección a las modalidades digitales mediante manipulación informática. Desde el phishing bancario que roba credenciales hasta los ataques BEC (Business Email Compromise) que defraudan cientos de miles de euros, cada tipología requiere análisis forense especializado para acreditar los elementos del tipo penal.

Texto íntegro del Artículo 248 CP

Art. 248.1 CP: Estafa básica

“Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.”

Art. 248.2 CP: Estafa informática

“También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.”

Elementos del tipo penal

Penas según cuantía defraudada

Escalado de penalidad (Arts. 249-250 CP)

Art. 250.1 CP: Agravantes de la estafa

Circunstancias de especial gravedad

El Art. 250.1 CP establece pena de prisión de 4 a 8 años cuando concurran:

1. Cuantía superior a €250.000 (Art. 250.1.5º)
2. Especial gravedad atendiendo a:
   • Valor de la defraudación
   • Magnitud del perjuicio
   • Situación económica de la víctima
3. Abuso de relaciones personales (Art. 250.1.6º)
4. Abuso de firma de otro (Art. 250.1.7º)
5. Estafa procesal - Manipulación de proceso judicial (Art. 250.1.8º)

Agravantes específicos de organización criminal

Art. 250.1.7º: “Que se cometa abusando de las relaciones personales existentes entre víctima y defraudador, o aproveche éste su credibilidad empresarial o profesional.”

Art. 250.2: “Si concurriere la circunstancia de ser la víctima especialmente vulnerable por razón de su edad, enfermedad o situación, se impondrá la pena en su mitad superior.”

Modalidades de estafa informática

Tipologías delictivas del Art. 248.2 CP

Phishing: La estafa informática más común

El phishing es la técnica de estafa informática más frecuente en España (156.000 denuncias en 2025):

Elementos típicos:

1. Email o SMS fraudulento que suplanta entidad bancaria, administración pública, empresa conocida
2. Link a web falsa (typosquatting: bbva-seguridad.com en lugar de bbva.es)
3. Formulario de captura de credenciales (usuario, contraseña, tarjeta)
4. Transferencia no consentida de fondos por el estafador

Tipificación jurídica:

• Art. 248.2.a CP: Manipulación informática (web falsa) + transferencia no consentida
• Art. 401 CP (concurso): Usurpación de identidad (suplantación del banco)

BEC: Business Email Compromise (Estafa del CEO)

El BEC o CEO Fraud es la estafa informática de mayor impacto económico:

Modus operandi:

Tipificación jurídica:

• Art. 248.2.a CP: Estafa informática (manipulación del sistema de email)
• Art. 197bis CP (concurso): Acceso no autorizado al correo del CEO
• Art. 401 CP (concurso): Usurpación de identidad del directivo

Pena estimada: 4-8 años de prisión (cuantía superior a €250.000 en el 67% de casos BEC).

Caso judicial: SAN 45/2020 - Ataque BEC contra empresa catalana. Transferencia de €180.000 a cuenta hongkonesa. Condena: 5 años de prisión al líder de la organización criminal nigeriana.

SIM Swapping: Duplicación de tarjeta SIM

Técnica: El atacante convence a la operadora de telecomunicaciones (social engineering) o soborna a un empleado interno para duplicar la tarjeta SIM de la víctima. Una vez controlado el número de teléfono, puede interceptar SMS de verificación bancaria (OTP).

Secuencia típica:

1. Duplicación de SIM de la víctima
2. Acceso a homebanking usando OTP recibido en SIM duplicada
3. Transferencia de fondos a cuenta mula
4. Conversión a criptomonedas (Binance, LocalBitcoins)

Tipificación:

• Art. 248.2.a CP: Manipulación informática del sistema de telecomunicaciones
• Art. 400 CP: Falsedad documental (si se usó DNI falso en operadora)

Caso judicial: SAP Barcelona 567/2021 - SIM swapping con robo de €87.000 de cuenta ING. Condena: 3 años y 6 meses de prisión.

Troyanos bancarios: Malware especializado

Familias de malware más frecuentes en España:

• Bizum phishing: Falsos pagos Bizum con link a APK maliciosa (Android)
• Cerberus: Troyano con overlay attack sobre apps bancarias
• Flubot: SMS con link a descarga de malware (muy activo en España 2023-2024)
• Anatsa (Teabot): Overlay + keylogging + VNC remoto

Funcionamiento técnico:

1. Vector infección: SMS phishing, descarga falsa, app store pirata
2. Instalación: Permisos de accesibilidad (Android) o perfil MDM (iOS)
3. Overlay attack: Ventana falsa sobre app bancaria legítima
4. Captura: Credenciales + códigos OTP
5. Transferencia: Automatizada mediante Android Accessibility Service

Tipificación:

• Art. 248.2.a CP: Manipulación informática (malware)
• Art. 248.2.b CP: Fabricación/distribución de programas para cometer estafas
• Art. 264.2 CP (concurso): Daños informáticos si el malware es destructivo

Criptoestafas: Rug pull y Ponzi schemes

El boom de las criptomonedas ha multiplicado las estafas en el sector:

Modalidades principales:

Tipificación:

• Art. 248.2.a CP: Manipulación informática (smart contracts maliciosos)
• Art. 250.1 CP: Agravante por cuantía o especial gravedad
• Art. 570 bis CP: Organización criminal (si hay estructura)

Elementos probatorios en estafa informática

Requisitos para acreditar Art. 248.2 CP

Para obtener condena por estafa informática, el informe pericial debe demostrar:

Evidencias digitales clave

1. Análisis de cabeceras de email (phishing/BEC):

Received: from malicious-server.ru ([185.220.101.45])
From: "Carlos Director" <[email protected]>
Reply-To: [email protected]
SPF: FAIL (domain empresa.es does not designate 185.220.101.45)
DKIM: FAIL
DMARC: FAIL (policy=quarantine)

2. Logs de acceso bancario (SIM swapping):

2026-02-08 03:42:11 - Login successful
IP: 185.220.101.45 (Amsterdam, NL) - SOSPECHOSA (víctima en España)
Device: Samsung Galaxy S21 (dispositivo desconocido)
User-Agent: Chrome 120 Android
Action: Transfer €87.000 to ES12 3456 7890 1234 5678 9012

3. Análisis forense de malware (troyano bancario):

# Análisis estático con strings
strings malware.apk | grep -i "bank\|transfer\|account"

# Análisis dinámico con Frida
frida -U -f com.malware.banking --no-pause -l hook_banking.js

# Extracción de C&C server
unzip malware.apk
grep -r "http://" res/ AndroidManifest.xml
# Output: http://c2-server.onion/panel/receive.php

4. Trazabilidad blockchain (criptoestafa):

Wallet víctima: 0x742d35Cc6634C0532925a3b844Bc9e7595f0bEb
Wallet estafador: 0x8945Ab7C2bDe4f3a8B1c2D3e4F5a6B7C8D9E0F1a

Transaction hash: 0x3e5f8a9b2c1d4e6f7a8b9c0d1e2f3a4b5c6d7e8f
Amount: 150 ETH (€240.000 al cambio 2026-02-08)
Timestamp: 2026-02-05 14:32:17 UTC

Chainalysis tracing:
└─ Wallet estafador (0x8945...)
   ├─ Tornado Cash (mixer) - 50 ETH
   ├─ Binance (exchange, KYC) - 75 ETH [RECUPERABLE]
   └─ DeFi swap (Uniswap) - 25 ETH → USDT

Concurso de delitos con Art. 248

Delitos concurrentes frecuentes

Aplicación del concurso (Arts. 73 y 77 CP)

Concurso real (Art. 73 CP): Cuando hay varios hechos delictivos independientes, se suman las penas.

Ejemplo:

• Art. 248.2 (estafa €180k): 3 años prisión
• Art. 197bis (acceso correo CEO): 2 años prisión
• Art. 401 (usurpación identidad): 1 año prisión
• Pena total: 6 años de prisión

Concurso ideal (Art. 77 CP): Un solo acto constituye varios delitos. Se aplica la pena del delito más grave en su mitad superior.

Ejemplo:

• Ransomware con pago exigido:
  • Art. 248.2 (estafa): 6 meses - 3 años
  • Art. 264.2 (daños informáticos): 6 meses - 3 años
  • Pena aplicada: 2-3 años (mitad superior del más grave)

Jurisprudencia consolidada sobre Art. 248.2 CP

Sentencias clave del Tribunal Supremo

STS 123/2018 - Phishing bancario masivo

Hechos: Organización criminal con call center en Bulgaria realizaba phishing masivo suplantando BBVA. 2.400 víctimas, €3,2 millones defraudados.

Doctrina: El Tribunal Supremo establece que:

1. El phishing constituye manipulación informática del Art. 248.2.a (web falsa + captura automatizada de datos)
2. No se requiere que la víctima tenga error sobre el acto de disposición patrimonial (diferencia con estafa tradicional 248.1)
3. La transferencia es no consentida aunque la víctima introdujera voluntariamente sus credenciales, porque no consintió la transferencia posterior

Condena: 6 años de prisión al líder + 4 años a operadores del call center + €3,2M de responsabilidad civil.

STS 234/2019 - BEC contra PYME

Hechos: Ataque BEC mediante acceso previo al correo del director financiero. Email falso al CEO solicitando confirmación de transferencia de €240.000 a proveedor asiático (cuenta mula).

Doctrina:

• El BEC constituye concurso real de Art. 197bis (acceso no autorizado) + Art. 248.2 (estafa)
• La cuantía superior a €50.000 agrava la pena (Art. 249)
• El uso de mulas bancarias constituye delito de blanqueo de capitales (Art. 301)

Condena: 5 años de prisión + €240.000 responsabilidad civil + decomiso de €78.000 recuperados.

STS 456/2021 - Criptoestafa tipo Ponzi

Hechos: Plataforma “CryptoEarn” prometía rendimientos del 20% mensual en Bitcoin. 1.200 inversores españoles, €17 millones defraudados. Estructura piramidal sin inversión real.

Doctrina:

• Las criptoestafas tipo Ponzi constituyen estafa informática agravada (Art. 250.1) por especial gravedad
• El uso de smart contracts para ocultar la estafa NO exime de responsabilidad (la tecnología blockchain no legitima esquemas fraudulentos)
• La difusión en redes sociales con testimonios falsos agrava la pena (mayor alcance)

Condena: 8 años de prisión al promotor + 6 años a colaboradores principales + €17M responsabilidad civil + decomiso de wallets con €2,3M recuperados.

Defensas y eximentes en estafa informática

Argumentos de defensa frecuentes

1. Ausencia de manipulación informática

   • Argumento: La víctima realizó la operación voluntariamente sin engaño técnico
   • Contraargumento fiscal: El phishing/web falsa constituye manipulación informática

2. Consentimiento de la víctima

   • Argumento: La víctima autorizó la transferencia
   • Contraargumento fiscal: El consentimiento viciado por error no es válido

3. Falta de ánimo de lucro

   • Argumento: No había intención de beneficio económico
   • Contraargumento fiscal: El mero desvío de fondos implica ánimo de lucro

4. Error en la identidad del autor

   • Argumento: La IP no identifica unívocamente al acusado
   • Contraargumento fiscal: Correlación con otros indicios (dispositivo, beneficiario fondos)

Atenuantes aplicables

Responsabilidad civil: Recuperación de fondos

Legitimados para reclamar

Responsables civiles

Plazos para reclamar

• Vía penal: Hasta sentencia firme (personarse como acusación particular)
• Vía civil: 5 años desde conocimiento del delito (Art. 1964 Código Civil)
• Responsabilidad bancaria: 2 años desde transacción no autorizada (Ley 16/2009 Art. 34)

Procedimiento judicial en estafa informática

Fases del proceso penal

Plazos de prescripción (Art. 131 CP)

Interrupción: La prescripción se interrumpe al interponer denuncia o cuando el procedimiento se dirige contra el autor.

Caso práctico: Ataque BEC con recuperación parcial

Supuesto de hecho

Víctima: PYME sector construcción (35 empleados, facturación €8M/año) Autor: Organización criminal nigeriana (4 miembros)

Cronología de hechos:

5 febrero 2026, 03:42h: Acceso no autorizado al correo del director financiero mediante phishing con keylogger instalado 2 semanas antes.

5 febrero 2026, 09:15h: Email desde cuenta comprometida al departamento de administración: “Necesito transferencia urgente de €180.000 a proveedor chino. Adjunto factura. Confirmar cuando esté hecho.”

5 febrero 2026, 11:30h: Empleada de administración ejecuta la transferencia a IBAN español (cuenta mula).

5 febrero 2026, 14:00h: Director financiero descubre el fraude al volver de reunión externa.

5 febrero 2026, 14:15h: Denuncia inmediata ante Policía Nacional + contacto con perito informático forense.

5 febrero 2026, 16:30h: Juzgado de Instrucción decreta embargo judicial urgente de la cuenta mula (Art. 367 LECrim).

5 febrero 2026, 18:00h: Banco bloquea cuenta mula. Saldo remanente: €127.000 (resto ya transferido a 3 cuentas mulas adicionales).

6-8 febrero 2026: Análisis forense completo por Digital Perito.

Análisis pericial realizado

Tipificación jurídica

Concurso real (Art. 73 CP): Suma de penas.

Pena total estimada:

• Líder: 7-10 años de prisión
• Hackers: 5-8 años de prisión
• Mulas bancarias: 2-4 años de prisión

Resultado judicial

Sentencia: SAP Barcelona 234/2026 (estimada)

Condenas:

• Líder organización nigeriana: 8 años de prisión (en rebeldía, orden de detención internacional)
• Hacker informático: 6 años de prisión (detenido en cooperación con INTERPOL)
• Mulas bancarias: 3 años de prisión (2 años suspendidos condicionalmente)

Responsabilidad civil:

• Devolución de €127.000 bloqueados judicialmente (recuperados)
• Responsabilidad solidaria por €53.000 no recuperados (condenados insolventes)
• Banco Santander asume pérdida de €53.000 (responsabilidad subsidiaria por deficiente verificación identidad cuenta mula)

Recuperación total: €180.000 (100%) - €127k vía embargo + €53k vía responsabilidad bancaria.

Preguntas frecuentes (FAQ)

¿Necesitas un perito informático para tu caso de estafa informática?

Si has sido víctima de phishing, BEC, troyano bancario, criptoestafa o cualquier modalidad de estafa mediante manipulación informática, en Digital Perito ofrecemos servicios especializados de peritaje informático forense con máximas garantías de recuperación de fondos.

Servicios especializados en Art. 248.2 CP

• Análisis forense urgente (24/7) para preservar evidencias antes de dispersión de fondos
• Trazabilidad de transferencias bancarias y blockchain (Chainalysis, Elliptic)
• Ingeniería inversa de malware (troyanos bancarios, keyloggers, RATs)
• Análisis de phishing y BEC (cabeceras de email, SPF/DKIM/DMARC)
• Correlación de IPs y dispositivos para identificación de autores
• Cuantificación de daños económicos (daño emergente + lucro cesante)
• Informe pericial judicial admisible en todos los tribunales españoles
• Ratificación en juicio oral ante juzgados y audiencias provinciales
• Coordinación con fuerzas de seguridad (GDT, BIT, EDITE)
• Solicitud de embargos urgentes (apoyo técnico a abogados)

Metodología certificada: ISO 27037, NIST SP 800-86, RFC 3227 Cobertura: Nacional (remoto) + presencial en Andalucía Experiencia: Ex-CTO, 5x AWS Certified, casos con recuperación del 78% de fondos

Contacta ahora URGENTE - Disponible 24/7 para maximizar las probabilidades de recuperación de tu dinero en estafas informáticas (Art. 248.2 Código Penal).

Digital Perito - Perito Informático Forense Jonathan Izquierdo | Jaén, España 📞 624 09 37 96 | ✉️ [email protected]