Sentencia Penal Nº 22/2021, Audiencia Nacional, Servicios Centrales, Sección 1, Rec 3/2021 de 05 de Julio de 2021

Encabezamiento

AUD.NACIONAL SALA PENAL SECCION 1

MADRID

Rollo de Sala núm. 3/2021

Procedimiento Abreviado núm. 58/2017

Juzgado Central de Instrucción núm. 6

Tribunal:

Dª. Concepción Espejel Jorquera (Presidenta)

D. Eduardo Gutiérrez Gómez

D. Ramón Sáez Valcárcel (ponente)

SENTENCIA: 00022/2021

En Madrid a 5 de julio de 2021.

Este Tribunal ha visto en juicio oral y público la causa referenciada seguida por delitos de estafa informática, grupo criminal, falsedad documental y blanqueo de capitales.

Han sido partes:

Como acusación pública el Ministerio Fiscal, representado por D. Emilio Miró Rodríguez. Y, como acusados:

(1) D. Severino, nacido el NUM000.1982 en Magadan (Rusia), de nacionalidad rusa, NIE NUM001. Fue defendido por la letrada Dª. Mª. Dolores Márquez de Prado. Y

(2) Dª. Zaida, nacida en Ucrania el NUM002.1983, con pasaporte ucraniano NUM003 y NIE NUM004, defendida por el letrado D. Luis Chabaneix.

Antecedentes

< /o:p>

< /o:p>

1. El Juzgado Central de Instrucción número 6 incoó PA 58/2017, que elevó a esta sala una vez abierto el juicio oral. Las partes comparecieron a juicio el día de hoy.

2. El Ministerio Fiscal calificó los hechos como constitutivos de los siguientes delitos:

- Un delito continuado de estafa informática previsto en el artículo 248.2.a) y 250.2 en relación con el artículo o 74. 1 y 2 del Código Penal.

- Un delito de integración en grupo criminal, previsto en el artículo 570 ter1.b del Código Penal.

- Un delito de falsedad en documento público, previsto en el artículo 392.1 en relación con el artículo 390.1º del Código Penal.

- Un delito de blanqueo de capitales, previsto en el artículo 301.1 del Código Penal.

Consideró responsables: De los delitos de estafa informática, integración en grupo criminal y falsedad en documento público, al acusado D. Severino en concepto de autor, conforme al párrafo 1º del artículo 28 del Código Penal. Y del delito de blanqueo de capitales, los dos acusados en concepto de autores, conforme al párrafo 1º del artículo 28 del Código Penal.

Apreciaba en el acusado Sr. Severino la circunstancia atenuante analógica de confesión de los hechos, de acuerdo con el art. 21.7 en relación con el art. 21.4 del Código Penal, como muy cualificada, de acuerdo con el art. 66.1.2ª del Código Penal, respecto del delito de estafa informática.

Y solicitaba las siguientes penas:

- Al acusado Severino: Por el delito continuado de estafa informática, la pena de tres años de prisión, multa de nueve meses con una cuota diaria de seis euros, con la responsabilidad personal subsidiaria de un día de privación de libertad por cada dos cuotas diarias no satisfechas de conformidad con lo dispuesto en el artículo 53 del código Penal, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena. Por el delito de integración en grupo criminal, la pena de seis meses de prisión, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena. Por el delito de falsedad en documento público, la pena de seis meses de prisión, multa de seis meses con una cuota diaria de seis euros, con la responsabilidad personal subsidiaria de un día de privación de libertad por cada dos cuotas diarias no satisfechas, de conformidad con lo dispuesto en el artículo 53 del código Penal, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena. Y por el delito de blanqueo de capitales, la pena de seis meses de prisión, multa de seis millones de euros, con noventa días de responsabilidad personal subsidiaria en caso de impago, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

Y a la acusada Dª. Zaida por el delito de blanqueo de capitales, la pena de seis meses de prisión, multa de trescientos mil euros, con cincuenta días de responsabilidad personal subsidiaria en caso de impago, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

Abonarían las costas por mitad. Y el decomiso de vehículos, joyas, dinero, activos en criptomonedas y dispositivos intervenidos.

También consideró que no procedía la sustitución de las penas por expulsión al resultar desproporcionadas, de conformidad con lo dispuesto en el art. 89.4 del Código Penal.

3. Las defensas se adhirieron a la calificación definitiva del Fiscal y a las penas solicitadas por este y los acusados admitieron los hechos y mostraron su conformidad con la calificación jurídica y con las penas pedidas.

4. Los hechos que se declaran probados resultan de la estricta conformidad de las defensas con los propuestos por el Fiscal.

< /o:p>

Hechos

< /o:p>

1. Una comunicación de las autoridades de Bélgica sobre la existencia de una organización dedicada a la extracción fraudulenta de dinero en entidades bancarias en distintos países es el origen de este proceso. La investigación ha permitido conocer que los integrantes de esta organización entraban en el sistema informático de bancos a través de programas informáticos maliciosos preparados a tal efecto ('malware'), que introducían mediante el envío de correos electrónicos a trabajadores del banco, simulando hacerlo desde compañías legales con las que trabajaban. Una vez el empleado abría el correo, el programa infectaba el sistema informático del banco. Este programa les permitía controlar cuentas bancarias y los cajeros automáticos de forma remota, modificando el límite de disponibilidad de determinadas cuentas o bien accediendo directamente al sistema de los cajeros automáticos. Posteriormente, de forma coordinada, extraían dinero en estos cajeros de la siguiente forma: Se enviaban órdenes remotas a ciertos cajeros automáticos para que dispensaran dinero a una hora predeterminada. El dinero era recogido por personas encargadas de ello por responsables de la organización ('mulas'). El saldo y límite de disponibilidad de las cuentas era modificado remotamente. Después, personas concertadas con los responsables de la organización extraían dinero utilizando tarjetas asociadas a dichas cuentas bancarias. El dinero obtenido era repartido entre todos los participantes en porcentajes previamente convenidos.

2. Utilizando este sistema, conocido como 'Cobalt', la organización, en las fechas que se indican, habría extraído en cajeros automáticos de las siguientes entidades bancarias las cantidades que se exponen, valoradas en euros:

(i) Banco First Commercial Bank de Taiwán.

D. Severino, concertado con otras personas, logró introducir el programa malicioso descrito en el Banco First Commercial Bank de Taiwán. Los días 9 al 10 de julio de 2016, varias personas que se habían desplazado a Taiwán, en connivencia con el investigado realizaron diversas extracciones fraudulentas de dinero en efectivo en cajeros de dicha entidad en ese país, por un importe estimado de 2.686.374 dólares americanos. Las autoridades de Taiwán detuvieron a dos personas y recuperaron 2.499.390 dólares.

(ii) Unibank Commercial Bank de Azerbaiyán.

El mismo Sr. Severino, concertado igualmente con terceras personas, logró introducir el programa malicioso descrito anteriormente en el sistema informático de la entidad financiera Unibank Commercial Bank de Azerbaiyán. Gracias a ello pudieron realizar dos ataques contra la entidad, uno en el periodo desde el 16 al 18 de julio de 2016 y otro en el periodo del 1 al 11 de agosto de ese mismo año. En el primer ataque se usó el modus operandi por el cual los atacantes tuvieron acceso y control de los cajeros de la entidad, y en el segundo el ataque se produjo mediante la modificación del saldo de 36 tarjetas previamente obtenidas, retirando los fondos en cajeros del extranjero.

A través de este procedimiento el investigado y terceros lograron extraer de los cajeros 732.141 euros pertenecientes a la entidad Unibank.

(iii) CJSC Alpha Bank de Bielorrusia.

D. Severino, concertado con terceras personas, inició el ataque enviando un correo electrónico el 2 de agosto de 2016, desde la dirección DIRECCION000, al buzón de entrada de un empleado del banco, el cual contenía como adjunto el software malicioso que desencadenó el ataque. El correo se envió desde la dirección IP NUM005, posiblemente un servidor de correo dedicado al envío de spam. El programa malicioso les permitió el control del sistema informático del banco. De esta forma consiguieron extraer fraudulentamente en 27 cajeros de la entidad bancaria CJSC ALPHA BANK un importe de 527.000 dólares americanos, 67.500 euros y 108.885 rublos bielorrusos, entre el 7 y 8 de agosto de 2016, utilizando para ello a terceras personas que no han sido identificadas. A través de este procedimiento fueron extraídos 496.375 euros.

(iv) Raiffeisen Bank de Rumania.

El acceso a los sistemas informáticos de este banco se inició el día 9 de agosto de 2016, mediante el envío de correos electrónicos maliciosos a dos cuentas de correo de la entidad bancaria, simulando ser su remitente el Banco Central Europeo. Los correos electrónicos contenían un documento adjunto de tipo RTF que una vez abierto explotaban una vulnerabilidad del software Microsoft Word (vulnerabilidad CVE-2015-1641). El archivo malicioso adjunto tenía por nombre 'The rules for European Banks.doc' y su hash md5 era NUM006. Los correos electrónicos fueron enviados desde el servidor con dirección IP NUM007 y nombre de dominio mail.peacedatamap.com. Una vez el documento fue abierto por el empleado de la entidad, el software malicioso contenido explotó la vulnerabilidad y cargó en la memoria del equipo una parte del software Cobalt Strike. Obtenido el control del equipo del empleado, el atacante o atacantes, haciendo uso del mismo, accedieron a otros equipos de la red del banco, incluidos los cajeros automáticos, los cuales consiguieron manipular para que expidieran dinero ilegítimamente. Una vez manipulados a distancia los cajeros automáticos, los criminales obtuvieron el control de 32 cajeros automáticos de la citada entidad y consiguieron así que estos expulsaran de forma ilegítima alrededor de 800.000 euros, dinero que fue recogido por un grupo de ciudadanos moldavos en connivencia con los responsables del ataque informático durante la noche del 3 de septiembre en cajeros automáticos situados en diferentes ciudades de Rumania.

Para la realización del ataque fue utilizado por personas no identificadas el software proporcionado por el Sr. Severino, consciente de su uso para defraudar a la entidad descrita, a cambio de una remuneración.

(v) Banco Nurbbank JSC de Kazajistán.

Entre las 22:29 horas del día 11 de marzo y las 04:24 horas del día 12 de marzo de 2017 se realizaron en la ciudad de Madrid, por personas no identificadas 268 intentos de extracción por un total de 350.015 euros, logrando extraer satisfactoriamente 278.285 euros. Para ello fueron utilizadas tarjetas del banco Nurbank de Kazajistán, cuyos balances y límites habían sido alterados previamente por el acusado en las bases de datos del propio banco, al cual habían accedido mediante la introducción en este sistema informático de un programa malicioso. El programa malicioso fue diseñado y facilitado a terceras personas por D. Severino, que participó también en la operación y obtuvo a cambio una remuneración.

(vi) Banco ATF Bank de Kazajistán.

Dos tarjetas se utilizaron el 18 de diciembre de 2016 entre las 16:34 y las 23:57 para realizar 42 reintegros en efectivo de cajeros. D. Severino habría tenido, en fecha 18 de diciembre de 2016, el control de los sistemas informáticos de la entidad JSC ATF Bank de Kazajistán, y se habrían utilizado tarjetas asociadas a cuentas de ese banco, controladas por la organización, para realizar extracciones de dinero en cajeros de distintos países, una vez el saldo había sido modificado fraudulentamente por el investigado mediante alteraciones realizadas en los sistemas informáticos de la entidad bancaria. Entre las 20:28h y las 21:51h del día 18 de diciembre de 2018, se usaron cinco tarjetas diferentes expedidas por la entidad JSC ATF Bank en cajeros de Alemania en las que se realizaron 27 retiradas de efectivo por un total de 62.800 euros, de las cuales se extrajeron 25.800 euros y se denegaron 37.000 euros por superar el límite máximo de la tarjeta.

(vii) Banco de Santander.

En la entidad Banco Santander, en relación a los ataques del grupo COBALT, se recibieron correos maliciosos procedentes de la dirección de correo 'www-data@helpdesk-bpc.in' y con asunto ' ' ('Plataforma para encargos'), el día 25 de diciembre de 2017. Los correos no fueron detectados por los sistemas de seguridad y llegaron a los destinatarios, pero la vulnerabilidad explotada por el fichero adjunto del correo se encontraba actualizada en los equipos, con lo que el ataque no llegó a consumarse. El Sr. Severino registró el dominio usado y participó en el envío de los correos.

(viii) Banco de Sabadell.

En esta entidad se detectaron varios correos electrónicos recibidos por los empleados, aportando los nombres de dominio y direcciones IP de los servidores de correo electrónico desde donde fueron envidos los correos, así como los servidores a los que se conectaba el software malicioso que se adjuntaba en los mismos en el que se adjuntaría un fichero con extensión .rtf, que permitiría la ejecución de código PowerShell en la máquina remota, al objeto de descargarse el conocido suite de Cobalt Strike. El Sr. Severino, habría controlado y accedido a los servidores de la infraestructura criminal, desde los cuales fueron enviados los correos. No se logró acceder a los sistemas del banco ni obtener cantidad alguna.

3. Para la comisión de los hechos descritos anteriormente D. Severino, experto informático, actuaba desde España, colaborando con al menos tres personas, residentes fuera de España, designadas como Joaquina, Jose Daniel y Carlos José. La verdadera identidad de las mismas no se ha podido determinar.

El dinero obtenido ilegalmente era repartido entre ellos en la forma previamente convenida. Parte se utilizaba para pagar el trabajo de terceras personas, como proveedores de material o servicios informáticos y el pago a organizaciones que se encargaban materialmente de sacar el dinero de los cajeros controlados. El programa malicioso que permitía el control remoto del sistema informático de las entidades financieras habría sido creado por el Sr. Severino y los restantes miembros de la organización y es conocido entre empresas de seguridad informática, entidades financieras y unidades de fuerzas y cuerpos de seguridad especializados como 'Cobalt'. El Sr. Severino era asimismo responsable del control informático de los cajeros y mantenía contacto con las personas que realizaban las extracciones.

4. En su domicilio situado en la CALLE000, núm. NUM008 de Alicante, Severino y Zaida disponían de los siguientes efectos: Memoria USB Transcend e 4Gb, con número de serie NUM009, Disco duro externo Seagate con capacidad 1TB, con número de serie NUM010, Disco duro externo Seagate con número de serie NUM011, Dos pasaportes ucranianos con números NUM012 y NUM013, Teléfono móvil iphone a1778 con IMEI NUM014, Teléfono móvil iphone a1901con IMEI NUM015, Teléfono móvil iphone a1784 con IMEI NUM016, Teléfono móvil tablet a1671 con IMEI NUM017, Teléfono móvil iphone a 1901 con IMEI NUM018, Teléfono móvil Motorola moto con IMEI NUM019, Ordenador portátil MacBook, retina 12 pulgadas con número de serie NUM020, Ordenador portátil MacBook, retina 15 pulgadas, con número de serie NUM021. Un sobre blanco que indica contraseña, cuentas, bitmex.com y glogle.com y el correo DIRECCION001 y DIRECCION002.

D. Severino poseía el pasaporte ucraniano NUM022, con la identidad de Laureano, con su fotografía, que había utilizado en España, para trámites como la apertura de cuenta bancaria en el banco Caixabank, la inscripción en el padrón de Alicante o contrato de compraventa de vivienda con la empresa Development Finestrat SL. El pasaporte era mendaz.

5. El Sr. Severino habría transformado los beneficios obtenidos a través de su actividad criminal, que se obtenían principalmente en efectivo, utilizando diferentes servicios de cambio de divisa a dinero virtual, principalmente a criptodivisas que luego volvería a transformar en dinero de curso legal para cargar tarjetas prepago que usaban, para adquirir, los tres vehículos titularidad de su pareja Zaida vendiendo para ello las criptomonedas por dinero de curso legal mediante empresas o individuos en España o en el extranjero que le hacían transferencias a su cuenta bancaria. Dº. Zaida había puesto a su nombre diversos vehículos y propiedades adquiridas con los beneficios de la actividad criminal del Sr. Severino. También había puesto a su nombre diversos productos financieros como cuentas en plataformas de dinero virtual, casas de cambio de criptomonedas y tarjetas prepago. Permitiendo con todo ello la introducción de los beneficios delictivos en el circuito legal.

El Sr. Severino y la Sra. Zaida, durante las fechas en las que se produjeron los actos descritos anteriormente, habían adquirido los siguientes bienes:

- Vehículo marca Audi, modelo A5, matrícula ....GKH, por un importe de 29.900 euros.

-Vehículo marca BMW, modelo X6, matrícula .... CFB por un importe de 24.000 euros.

- Vehículo marca BMW, modelo X5, matrícula ....GHQ por un importe de 59.000 euros.

- Vehículo marca BMW, modelo X6, sin matricular, por un importe de 87.725 euros.

- Moto de agua marca Yamaha FA1800M, por un importe de 14.500 euros.

- Diversas joyas por importe de 40.071 euros.

El importe de los bienes adquiridos por Dª. Zaida con ganancias procedentes de la actividad ilícita asciende a 265.296 euros.

D. Severino, durante el mismo periodo, movió en diferentes plataformas de intercambio de criptomonedas (Localbitcoins, Cryptopay, Matbea, BTC-e, Xapo) 3.400.000 dólares americanos y 567'7814 bitcoins.

Ellos dos no desarrollaban en España ninguna actividad laboral o profesional.

6. Durante la entrada y registro en su domicilio, el 6 de marzo de 2018, Severino facilitó a los agentes investigadores las claves de acceso a los dispositivos que tenía allí.

En su declaración en calidad de investigado, en Comisaría de Policía y ante el Juez Instructor, Severino reconoció su participación en los hechos descritos anteriormente.

Fundamentos

1. Acerca de los hechos probados

Los acusados admitieron los hechos que se les imputaban y sus abogados consideraron que no era necesaria la continuación del juicio. Por ello, el relato anterior se remite al ofrecido en el escrito de conclusiones del Fiscal, al que se habían adherido las defensas, que arriba se recoge, en los términos de los artículos 787Lecrim, con las debidas modificaciones una vez celebrada la vista.

Solicitaron que se dictara sentencia de conformidad en el ámbito de la responsabilidad penal.

2. Calificación y penalidad

Como se ha dicho, hubo acuerdo entre las partes. Se estima correcta la calificación de esos hechos, así como la participación de los acusados en calidad de autores de esos delitos. La atenuante propuesta se corresponde con la actitud del acusado principal.

Las penas pactadas, dentro del marco punitivo legal, parecen adecuadas a la entidad de los hechos, la culpabilidad de los acusados y su actitud procesal, al admitir los hechos y conformarse, evitando la celebración del juicio.

Ha de dictarse sentencia de conformidad en esos términos ( art. 787.1Lecrim).

3. Costas y decomiso

Se imponen a los acusados las costas causadas ( art. 109 y 116 Cp). Y se decreta el decomiso de los efectos, instrumentos y beneficios del delito, así como de sus transformaciones.

Por lo expuesto,

Fallo

1. CONDENAMOS a D. Severino como autor de los siguientes delitos a estas penas:

- Un delito continuado de estafa informática, con la atenuante muy cualificada analógica a la de confesión, la pena de 3 años de prisión, multa de 9 meses con una cuota diaria de 6 euros, con la responsabilidad personal subsidiaria de un día de privación de libertad por cada dos cuotas diarias no satisfechas de conformidad con lo dispuesto en el artículo 53 del Código Penal, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

- Un delito de integración en grupo criminal, la pena de 6 meses de prisión, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

- Un delito de falsedad en documento público, la pena de 6 meses de prisión, multa de 6 meses con una cuota diaria de 6 euros, con la responsabilidad personal subsidiaria de un día de privación de libertad por cada dos cuotas diarias no satisfechas, de conformidad con lo dispuesto en el artículo 53 del código Penal, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena. Y

- Un delito de blanqueo de capitales, la pena de 6 meses de prisión, multa de 6 000 000 de euros, con 90 días de responsabilidad personal subsidiaria en caso de impago, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

2. CONDENAMOS a la acusada Dª. Zaida como autora de un delito de blanqueo de capitales a la pena de 6 meses de prisión, multa de 300 000 euros, con 50 días de responsabilidad personal subsidiaria en caso de impago, inhabilitación especial para el ejercicio del derecho de sufragio activo durante el tiempo de la condena.

3. Ambos abonarán las costas causadas.

4. Se decomisan los vehículos, joyas, dinero, activos en criptomonedas y dispositivos intervenidos. A todo ello se le dará el destino legal.

Para el cumplimiento de las penas de prisión se les abonará el tiempo que han estado privados de libertad por esta causa, si no le hubieran sido abonados ya en otros procedimientos.

Notifíquese esta resolución a las partes y a los interesados. Se declara la firmeza de la sentencia al haber manifestado las partes, una vez anticipado el fallo, su voluntad de no recurrir.

La sentencia es firmada por los Magistrados que formaron el Tribunal. Doy fe.

E/

PUBLICACIÓN. Leída y publicada ha sido la anterior sentencia en la forma de costumbre. Doy fe.