Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Opinión | El Convenio de Budapest frente a las estafas informáticas en la práctica judicial

Opinión | El Convenio de Budapest frente a las estafas informáticas en la práctica judicial
Carlos Franco Blanco, abogado y consultor TIC, explica el alcance del Convenio de Budapest, esencial en la lucha contra la ciberdelincuencia. Foto: Confilegal.
18/6/2025 05:36
|
Actualizado: 17/6/2025 23:50
|

En esta noticia se habla de:

Vivimos en una era digital en la que las transacciones económicas, las comunicaciones interpersonales y la gestión de bienes y servicios se canalizan crecientemente a través de medios electrónico, generando, además de innumerables ventajas, nuevas oportunidades para la comisión de delitos cuya sofisticación y alcance no dejan de aumentar.

En este sentido, a diferencia del fraude tradicional, las estafas informáticas suelen caracterizarse por su alta complejidad técnica, su naturaleza transfronteriza y la dificultad probatoria asociada a la obtención de evidencias digitales.

Modalidades como el phishing[1], el smishing[2], el fraude del CEO[3] o las falsas inversiones en criptomonedas son solo algunas de las formas que adopta hoy este fenómeno criminal. Adicionalmente, su comisión suele involucrar múltiples jurisdicciones, actores anónimos y herramientas tecnológicas dificultando la investigación y enjuiciamiento.

ADAPTAR LA NORMATIVA INTERNA

En este contexto, los órganos judiciales nacionales enfrentan el doble desafío de adaptar la normativa interna a estas nuevas formas de criminalidad y establecer mecanismos de cooperación internacional ágiles y eficaces que permitan responder a delitos cuya naturaleza digital desborda los marcos tradicionales.

Es precisamente en este punto donde entra en juego el Convenio de Budapest[4], el primer tratado internacional vinculante en materia de ciberdelincuencia, adoptado por el Consejo de Europa en 2001 y que hoy sigue siendo la principal referencia normativa a nivel global.

En este contexto, el fenómeno de la ciberdelincuencia, y en particular de las estafas informáticas, supone un reto por cuanto la deslocalización de los autores, la volatilidad de los datos electrónicos, el uso de redes de anonimización y la descentralización propia de muchas infraestructuras digitales —como las basadas en tecnología blockchain— frustrando el uso de las herramientas tradicionales de investigación penal basadas en el principio de territorialidad.

Por ello, la cooperación jurídica internacional se erige como un pilar esencial para la persecución efectiva de los delitos informáticos, exigiendo la armonización sustantiva y procesal de las legislaciones penales, así como la existencia de instrumentos normativos comunes que habiliten el intercambio ágil de información, la preservación transnacional de pruebas electrónicas y la ejecución coordinada de diligencias de investigación.

En este aspecto, el artículo 8 del Convenio de Budapest establece la obligación de los Estados parte de tipificar en su legislación penal el fraude informático (computer-related fraud) como conducta delictiva, configurándose como un tipo penal autónomo, diferenciado de la estafa clásica, en tanto desplaza el núcleo de la acción típica del engaño interpersonal al uso instrumental del sistema informático como medio de manipulación de la realidad digital.

No se exige, por tanto, la concurrencia de elementos como la inducción en error de la víctima o un comportamiento activo de la misma, lo que revela una lógica adaptada a los entornos tecnológicos donde las decisiones automatizadas sustituyen al juicio humano.

COMPLEJIDAD ESTRUCTURAL

Otro de los principales desafíos prácticos en la tramitación judicial de las estafas informáticas radica en la complejidad estructural que plantea su dimensión digital en el plano probatorio donde la utilización de direcciones IP dinámicas —asignadas temporalmente por los proveedores de servicios de internet— requiere que la solicitud de información se acompañe de la fecha y hora exacta de la conexión, lo que exige una rápida actuación judicial y policial, el empleo de técnicas de ocultación de identidad, como redes privadas virtuales (VPN), proxies encadenados, navegadores con anonimato reforzado o criptomonedas de alta opacidad dificultan no solo la localización del autor, sino también la reconstrucción de los actos típicos mediante prueba electrónica sólida y admisible.

A ello se suma la volatilidad inherente a la evidencia digital, que puede ser modificada, eliminada o corrompida con relativa facilidad si no se asegura su conservación temprana bajo condiciones técnicas y jurídicas adecuadas unido a la falta de alta especialización de algunos operadores jurídicos provocan el entorpecimiento de la persecución penal efectiva.

Resulta imperativo por tanto, una coordinación funcional y operativa con las unidades especializadas en ciberdelincuencia, tanto en el ámbito policial como en el judicial.

La experiencia demuestra que los órganos instructores que cuentan con el apoyo directo de la Unidad Central de Ciberdelincuencia del Cuerpo Nacional de Policía o del Grupo de Delitos Telemáticos de la Guardia Civil logran una mejor conservación de las evidencias, mayor capacidad de análisis forense y una interlocución más fluida con los proveedores tecnológicos.

FISCALES Y JUECES DEBEN CONOCER SU EXISTENCIA

Paralelamente, el aprovechamiento efectivo de los canales de cooperación previstos en el propio Convenio de Budapest, como la red de puntos de contacto 24/7, concebida para facilitar la solicitud y ejecución urgente de medidas conservatorias y de intercambio de datos entre autoridades competentes, está diseñada para operar fuera de los cauces convencionales de auxilio judicial, con tiempos de respuesta reducidos y sin necesidad de recurrir, en primera instancia, a comisiones rogatorias formales.[5]

No obstante, su eficacia depende de que los integrantes del Ministerio Fiscal y jueces instructores conozcan su existencia, sepan canalizar sus peticiones a través de la Fiscalía de Criminalidad Informática[6] o del contacto nacional designado, y cuenten con personal técnico capaz de interpretar y ejecutar las respuestas recibidas de manera jurídicamente válida.

La formación específica en este instrumento debe inexcusablemente incorporarse a los planes de capacitación del CGPJ, de la Fiscalía General del Estado y de los Ilustres Colegios de la Abogacía.

Como recomendaciones prácticas a los operadores jurídicos que intervienen en procedimientos relacionados con estafas informáticas, es fundamental solicitar de manera inmediata la conservación de datos informáticos (registros de acceso, logs de servidores, IPs, metadatos) ante el riesgo cierto de su pérdida.

Esta diligencia, prevista expresamente en el artículo 16 del Convenio, debe adoptarse inaudita parte cuando esté en juego el interés de la investigación. En segundo lugar, debe promoverse el uso sistemático de peritos informáticos especializados para interpretar correctamente la arquitectura tecnológica del delito y orientar la investigación hacia fuentes de prueba relevantes.

En tercer lugar, la intervención letrada debe basarse en una comprensión técnica experta del entorno digital, de modo que el ejercicio del derecho de defensa o de la acusación particular no quede supeditado exclusivamente a las versiones ofrecidas por los informes policiales o periciales.

[1] Definido por el INCIBE como una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico. Más información en: https://www.incibe.es/aprendeciberseguridad/phishing

[2] Definido por el INCIBE como una técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada o realizarle un cargo económico. Generalmente el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web falsa bajo un pretexto. Más información en: https://www.incibe.es/aprendeciberseguridad/smishing

[3] Cuyo objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o haga una transferencia desde la cuenta de la compañía.

[4] Disponible en: https://www.boe.es/boe/dias/2010/09/17/pdfs/BOE-A-2010-14221.pdf

[5] Cfr. RAMÍREZ CUENCA, F. y MICUCCI, M., “20 Años del Convenio de Budapest: Pilar Fundamental en la Lucha Contra el Cibercrimen”, welivesecurity by ESET, 2 de julio de 2024. Disponible en: https://www.welivesecurity.com/es/cibercrimen/20-anos-convenio-budapest-pilar-lucha-contra-cibercrimen/

[6] Más información en: https://www.fiscal.es/-/criminalidad-informatica

Carlos Franco Blanco, abogado y consultor TIC, explica el alcance del Convenio de Budapest, esencial en la lucha contra la ciberdelincuencia. Foto: Confilegal.

Otras Columnas por Carlos Franco:
Opinión | Inteligencia artificial en la abogacía: ¿aliada o amenaza?
Opinión | Compliance y ciberseguridad cuántica: un pacto ético y legal para navegar el futuro digital
Opinión | Garantías que trascienden el despido: la analogía de la STS 1250/2024 en la protección del denunciado
Opinión | VPNs y técnicas de anomización: ¿escudo real para la protección de datos personales?
Opinión | Protección de datos en asistentes virtuales y sistemas de voz
Opinión | Más allá del código: «Blockchain» en la encrucijada de la regulación comunitaria
Últimas Firmas