La geolocalización de la IP de los móviles usados en un ataque «smishing» delata a dos ciberdelincuentes

Sep 24, 2025

Jurisprudencia

Las conexiones de los móviles usados por los atacantes en el fraude coincidían con el lugar de su residencia habitual

La Audiencia Provincial de Madrid valida la prueba documental para condenar a dos ciberdelincuentes por estafar a un cliente del BBVA a través del ciberataque conocido como «smishing». (Imagen: E&J)

Atrapar y condenar a los responsables de delitos informáticos representa un desafío complejo y común para las autoridades judiciales de todos los países. Estos ciberdelincuentes suelen operar en un entorno virtual que trasciende fronteras geográficas y utilizan barreras tecnológicas avanzadas para ocultar su identidad y su rastro digital, lo que dificulta enormemente su localización.

Sin embargo, aunque con cuentagotas, todavía nos encontramos con juzgados y tribunales que logran identificar y condenar a estos atacantes que utilizan sus habilidades informáticas con fines maliciosos. Un ejemplo de ello es la reciente sentencia de la Audiencia Provincial de Madrid de 2 de junio de 2025 que condena a dos ciberdelincuentes por estafar a un cliente del BBVA a través del ciberataque conocido como smishing.

Conforme se describe en los hechos probados de la resolución, los dos acusados, con ánimo de ilícito enriquecimiento y utilizando manipulaciones informáticas para hacer actos de disposición económica en perjuicio de terceros, sustrajeron ilícitamente datos de las tarjetas y cuentas bancarias de la víctima. En particular, valiéndose de artificios informáticos, enviaron un SMS al móvil del perjudicado, simulando ser remitido por su entidad bancaria e indicándole que pinchara en un enlace y de esa forma ejecutar el ataque para lograr su objetivo.

El mencionado enlace, como suele ocurrir con la gran mayoría de asuntos de ataques smishing que asumimos desde el despacho PenalTech, conectó al perjudicado a una página que resultaba ser una copia de la original del banco, solicitándole allí una serie de datos que fueron capturados por un servidor controlado por los atacantes acusados. Consecuencia de ello, los dos acusados realizaron extracciones dinerarias de la tarjeta del perjudicado por importe de 4.940 euros que fueron transferidos a las cuentas de otros dos titulares bancarios, ambos en paradero desconocido.

Cabe subrayar que, en este caso, la víctima no reclamó en sede judicial ya que su entidad bancaria, el BBVA, le integró los importes sustraídos. Entonces, como es lógico, es esta última quien reclama judicialmente la suma total de abonos realizados al perjudicado.

Fruto de lo anterior, el Juzgado de lo Penal n.º 5 de Móstoles condenó a ambos ciberdelincuentes como autores criminalmente responsables de un delito de estafa a la pena de 8 meses de prisión. Además, los dos condenados debían indemnizar a la entidad bancaria con los 4.940 euros defraudados.

El «smishing» al igual que el «phishing» es otro fraude que conectó al perjudicado a una página que resultaba ser una copia de la original del banco, solicitándole allí una serie de datos que fueron capturados: se extrajeron 4.940 euros que fueron transferidos a las cuentas de otros dos titulares bancarios. (Imagen: E&J)

La geolocalización de la IP los móviles usados en el ataque

Disconformes con la conclusión alcanzada por el Juzgado de lo Penal, la representación de los ciberdelincuentes interpuso un recurso de apelación alegando, entre otros motivos, que la prueba testifical del agente de Policía, instructor del atestado, no fue contundente, sino vaga e imprecisa ya que, según él mismo manifestó, no se acordaba de lo sucedido.

La Audiencia Provincial de Madrid, pese a reconocer que el agente de Policía actuante «no recordaba algunos extremos de su actuación dado el tiempo transcurrido», subraya la excelente labor del magistrado a quo respecto a la valoración global de toda la prueba practicada. En concreto, respecto a la documental aportada, la Sala señala la apertura por parte de los acusados con su DNI y fotografía de varias cuentas online en Revolut, una plataforma financiera digital que ofrece servicios bancarios a través de una aplicación móvil, así como que se logró determinar las conexiones con la geolocalización de la dirección IP de los terminales móviles usados en la defraudación, coincidiendo la misma con la zona del domicilio en el que residen los dos acusados (Barcelona y Hospitalet de Llobregat).

Conforme a todo lo expuesto, este caso evidencia que, a pesar de las dificultades inherentes a la persecución de los delitos informáticos, caracterizados por su naturaleza transnacional, el uso de tecnologías para el anonimato y la volatilidad de la prueba digital, es posible lograr condenas efectivas cuando se combina una investigación técnica rigurosa con una valoración judicial integral de las evidencias. Esta sentencia de la Audiencia Provincial de Madrid no solo reafirma la validez de la prueba documental y tecnológica frente a eventuales lagunas en la memoria de los testigos, sino que también envía un mensaje claro sobre la capacidad de las autoridades y profesionales expertos para identificar, procesar y sancionar a quienes utilizan medios informáticos para cometer fraudes, protegiendo así tanto a las víctimas directas como a las entidades financieras que asumen las pérdidas.

Se informa a nuestros clientes que con motivo de la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, este Despacho a procedido a adaptar su Policia de Protección Privacidad a la nueva normativa, para lo que cualquier cliente que desee consultar, modificar o anular sus datos de carácter personal cedidos con anterioridad conforme a sus relaciones profesionales con este Despacho, puede remitir su solicitud al correo electrónico info@bermejoialegret.com

ACEPTAR
Aviso de cookies