Phishing, smishing y pharming en el proceso penal argentino
Análisis de las diferencias entre phishing, smishing y pharming, su impacto en la tipificación penal, los límites de la prueba digital y los problemas defensivos que aparecen cuando se imputan cuentas receptoras, titulares de dispositivos o direcciones IP sin trazabilidad suficiente.
Resumen ejecutivo
En las causas por fraudes bancarios digitales suele usarse un vocabulario técnico impreciso. Phishing, smishing y pharming aparecen como rótulos intercambiables, aunque describen dinámicas distintas. Esa confusión no es menor: puede alterar la calificación legal, el objeto de la prueba, el rol atribuido al imputado y la estrategia de defensa o querella.
Cuando el engaño se dirige a una persona para que entregue voluntariamente sus credenciales, la discusión se acerca a la estafa. Cuando la maniobra opera sobre sistemas, redirecciones, malware o manipulación de datos, puede tener más sentido analizar la defraudación informática. En ambos casos, el proceso penal no puede descansar únicamente en la denuncia del damnificado o en el informe del banco.
La imputación de titulares de cuentas receptoras —las llamadas “mulas”— exige un análisis particularmente cuidadoso. Recibir dinero en una cuenta no prueba por sí solo dolo, acuerdo previo ni conocimiento del fraude. La defensa debe revisar trazabilidad, comunicaciones, contexto económico, captación previa, movimientos posteriores, pericia sobre dispositivos y consistencia de los logs.
Este artículo funciona como guía doctrinaria y práctica: ordena conceptos, identifica puntos de prueba y conecta el análisis con páginas de defensa, querella, prueba pericial y evidencia digital del sitio.
1. Phishing, smishing y pharming: tres maniobras distintas
El phishing suele consistir en un engaño dirigido a obtener claves, datos bancarios, tokens o credenciales mediante correos, sitios falsos, mensajes en redes o formularios apócrifos. Su núcleo es la inducción a error: la víctima cree interactuar con una entidad legítima y entrega información que luego se usa para producir el perjuicio.
El smishing es una modalidad de phishing canalizada por SMS, servicios de mensajería o notificaciones breves. Suele explotar urgencia, premios, bloqueos falsos, supuestas deudas o alertas bancarias. La brevedad del mensaje no lo vuelve jurídicamente irrelevante: puede ser la puerta de entrada a un sitio falso, a una llamada fraudulenta o a la instalación de software malicioso.
El pharming, en cambio, se vincula con una manipulación más técnica: redirección de tráfico, alteración de DNS, malware, modificación de rutas de navegación o suplantación de un entorno legítimo sin que la víctima advierta la sustitución. En esa hipótesis, el peso del engaño humano puede disminuir y aumentar la relevancia de la manipulación informática.
La diferencia importa porque no todo fraude digital se prueba del mismo modo. Un correo apócrifo exige conservar encabezados, remitentes, enlaces y registros de navegación. Una transferencia no reconocida exige logs bancarios, autenticación, dispositivo, IP, puerto, factor de doble validación y trazabilidad. Una redirección técnica exige pericia sobre DNS, navegador, malware, infraestructura y cadena de custodia.
2. Tipicidad: estafa, defraudación informática y prueba del engaño
La distinción entre estafa y defraudación informática no es académica. Si el hecho se explica por un error inducido en la víctima, la acusación suele apoyarse en la estructura clásica de la estafa: ardid o engaño, error, disposición patrimonial y perjuicio. Si el hecho depende de una manipulación de datos, sistemas o procesos automatizados, la discusión puede desplazarse hacia la defraudación informática.
El problema aparece cuando se describe una maniobra técnica con una etiqueta genérica. Decir “phishing” no prueba por sí solo el ardid. Decir “pharming” no prueba manipulación de infraestructura. Decir “hubo una transferencia” no prueba autoría ni participación. La fiscalía o la querella deben explicar qué ocurrió, quién intervino, cómo se produjo el perjuicio y qué evidencia vincula a cada persona con el hecho.
Desde la defensa, la primera tarea es separar perjuicio de delito probado. Una víctima puede haber sufrido una pérdida patrimonial real y, aun así, la imputación contra una persona determinada puede ser débil. El proceso penal no debe convertirse en una reacción automática frente a la pérdida económica ni en una herramienta de descarga de responsabilidad bancaria.
3. Cuentas receptoras, “mulas” bancarias y participación penal
En la práctica, muchas investigaciones avanzan rápidamente contra el titular de la cuenta que recibió fondos. Esa asociación es comprensible como línea inicial de investigación, pero no alcanza para fundar una responsabilidad penal automática. La titularidad de una cuenta no prueba por sí sola que la persona conociera el origen ilícito del dinero ni que hubiera integrado el plan de fraude.
La defensa debe distinguir varios escenarios: partícipe consciente, intermediario que presta cuenta a cambio de comisión, persona captada mediante promesa laboral, víctima de suplantación, cuenta utilizada por terceros, préstamo de credenciales o mera aparición en una cadena de transferencias. Cada escenario exige una prueba distinta sobre dolo, conocimiento, beneficio y dominio del hecho.
La discusión se conecta con la autoría y participación. No basta decir que una cuenta recibió dinero. Hay que probar qué hizo la persona, qué sabía, qué comunicaciones tuvo, cómo se abrió y usó la cuenta, qué ocurrió con los fondos y si existió coordinación con quienes ejecutaron la maniobra principal.
En causas complejas, también puede ser relevante diferenciar responsabilidad penal de responsabilidad civil, bancaria o de consumo. El proceso penal requiere estándares propios: prueba suficiente, imputación concreta, control de evidencia y respeto por la presunción de inocencia.
4. Prueba digital: capturas, IP, CGNAT y cadena de custodia
Las capturas de pantalla son frecuentes, pero rara vez bastan. Pueden orientar una investigación, aunque no acreditan por sí solas origen, integridad, autoría ni contexto. La prueba digital necesita trazabilidad: obtención, preservación, hash, dispositivo, cuenta, logs, metadatos y pericia controlable por las partes.
La dirección IP tampoco debe tratarse como identidad penal automática. En Argentina y en muchos otros entornos, el uso de CGNAT puede hacer que varios usuarios compartan una misma IP pública. Sin fecha, hora precisa, zona horaria, puerto de origen, proveedor, logs completos y correlación con dispositivos, la IP puede ser insuficiente para individualizar una conducta.
La evidencia digital en el proceso penal exige autenticidad, integridad, cadena de custodia y proporcionalidad. Si esos presupuestos fallan, la discusión no es solo pericial: puede afectar el derecho de defensa, la validez de una medida intrusiva o la fuerza probatoria de todo el caso.
También debe revisarse cómo se obtuvo la información: si proviene de un allanamiento digital, de una extracción de celular, de un informe bancario, de una plataforma, de un proveedor de internet o de una cooperación internacional. Cada fuente tiene límites y controles propios. En algunos casos, puede corresponder conectar el análisis con la defensa ante allanamientos, celulares y dispositivos secuestrados.
5. Estrategia procesal: defensa, querella y prueba mínima necesaria
La estrategia cambia según el rol procesal. Para la defensa, el foco suele estar en limitar imputaciones automáticas, exigir prueba técnica, discutir el dolo, cuestionar capturas sin preservación, revisar IPs incompletas y separar participación consciente de instrumentalización. Para la querella, el desafío es reconstruir la maniobra sin depender de afirmaciones genéricas del banco o de la víctima.
Una acusación seria debería poder responder preguntas mínimas: cuál fue el engaño o la manipulación informática, qué credenciales se usaron, qué dispositivo intervino, qué cuenta recibió fondos, qué comunicación vinculó a los intervinientes, qué trazabilidad tiene el dinero, qué logs existen y qué evidencia permite individualizar a cada persona.
La defensa, por su parte, debe evitar una respuesta puramente retórica. El expediente se revisa técnicamente: movimientos, comunicaciones, IPs, dispositivos, pericias, órdenes judiciales, informes bancarios, medidas de preservación y cadena de custodia. Cuando el caso se apoya en un reclamo bancario o desconocimiento de cargos, también puede ser útil revisar el artículo sobre estafa bancaria y desconocimiento de cargos.
Fuentes, referencias y forma de cita
Este artículo resume criterios de análisis jurídico y técnico aplicables a fraudes bancarios digitales, sin reemplazar la lectura del expediente ni de la pericia. Las referencias normativas y técnicas deben verificarse en cada caso concreto.
- Código Penal argentino, arts. 172 y 173 inc. 16.
- Convenio sobre Ciberdelincuencia de Budapest y normas argentinas de cooperación y evidencia digital aplicables.
- Reglas procesales sobre obtención, preservación, secuestro, pericia y control de evidencia digital.
- Informes técnicos de proveedores, entidades financieras, plataformas y peritos, según el expediente concreto.
Cita sugerida
Selser, Jacobo Iván, “Phishing, smishing y pharming en el proceso penal argentino”, ST Abogados, enero de 2026, actualizado el 30 de mayo de 2026.
PDF del artículo
El PDF conserva la versión descargable del trabajo. La página HTML funciona como versión navegable, citable y actualizable.
Preguntas frecuentes
¿Qué diferencia hay entre phishing, smishing y pharming?
El phishing usa engaños digitales para obtener datos, el smishing utiliza mensajes SMS o servicios de mensajería y el pharming redirige técnicamente a la víctima hacia un sitio falso o manipulado. La diferencia importa porque cambia la explicación del error, la prueba técnica y, en algunos casos, la calificación penal.
¿Todo phishing se califica como estafa?
No necesariamente. Muchas maniobras encajan en la estafa cuando la víctima es inducida a error, pero otras pueden discutirse como defraudación informática si el perjuicio surge de una manipulación automatizada de datos o sistemas. La calificación exige revisar el hecho, el medio usado, la intervención humana y la prueba técnica.
¿Ser titular de una cuenta receptora alcanza para imputar participación?
No. La titularidad de una cuenta puede ser un indicio, pero no prueba por sí sola dolo, acuerdo previo ni conocimiento del fraude. Debe analizarse si la persona actuó como partícipe consciente, si fue instrumentalizada o si solo aparece en una cadena de transferencias sin prueba subjetiva suficiente.
¿Una dirección IP identifica automáticamente al autor?
No. La IP puede ser un dato relevante, pero requiere contexto técnico: fecha, hora, huso horario, puerto de origen, proveedor, logs completos, posible CGNAT, dispositivos usados y cadena de custodia. Sin esos datos, la IP puede ser insuficiente para individualizar a una persona.
¿Qué debería revisar una defensa en una causa por ciberfraude bancario?
Debe revisar denuncia, movimientos bancarios, logs, trazabilidad de IP, dispositivos secuestrados, pericias, origen de los fondos, comunicaciones, rol atribuido al imputado, obtención de evidencia digital y correspondencia entre la calificación legal y el hecho realmente probado.