OposharkOposhark

Tema 20 — Delitos informáticos. La intimidad y la prueba digital

Descubrimiento y revelación de secretos

Los delitos de descubrimiento y revelación de secretos protegen la intimidad personal y familiar reconocida en el artículo 18.1 de la Constitución Española. El artículo 197 CP tipifica el apoderamiento de papeles, cartas, mensajes de correo electrónico u otros documentos o efectos personales sin consentimiento del titular, así como la interceptación de telecomunicaciones con la misma finalidad de descubrir secretos o vulnerar la intimidad. La pena oscila entre uno y cuatro años de prisión y multa de doce a veinticuatro meses.

Cuando el delito afecta a datos reservados de personas jurídicas, se divulgan los datos descubiertos o se comete con fines lucrativos las penas se agravan. Si el sujeto activo es una autoridad o funcionario público que actúa en el ejercicio de sus funciones la pena se eleva en su mitad superior y puede imponerse además la inhabilitación absoluta o especial. Este supuesto es especialmente relevante para los miembros de las Fuerzas y Cuerpos de Seguridad que accedan ilegítimamente a bases de datos policiales o judiciales.

El artículo 197 bis CP, incorporado en la reforma de 2015, castiga a quien sin autorización acceda o facilite el acceso a un sistema de información vulnerando medidas de seguridad. Se diferencia del tipo básico en que aquí el objeto de la acción es el sistema en sí mismo y no datos concretos de la víctima. Ambas modalidades pueden concurrir cuando el acceso ilícito al sistema tiene como resultado la captación de datos personales.

Datos clave

  • Interceptación de comunicaciones y apoderamiento de datos: art. 197 CP, 1-4 años
  • Agravación si funcionario público en ejercicio de cargo: mitad superior + inhabilitación
  • Acceso ilícito a sistemas: art. 197 bis CP (reforma 2015)
  • Bien jurídico: intimidad personal y familiar (art. 18.1 CE)
  • Difusión de datos descubiertos: agravante específica
  • Afectación a persona jurídica: también tipificada

Acceso ilícito a sistemas informáticos

El acceso no autorizado a sistemas de información, también conocido como hacking, está tipificado en el artículo 197 bis CP con pena de prisión de seis meses a dos años. La conducta consiste en acceder por cualquier medio y sin estar autorizado a un sistema de información vulnerando las medidas de seguridad establecidas para impedirlo. Se requiere la superación efectiva de las barreras de protección, por lo que el mero intento no consumado puede quedar en tentativa.

El tipo agravado del artículo 197 ter CP prevé pena de seis meses a dos años para quien, sin estar debidamente autorizado, produzca, adquiera para el uso, importe o, de cualquier modo facilite a terceros, con la intención de facilitar la comisión de delitos informáticos, programas, códigos o contraseñas diseñados principalmente para cometer estos delitos. Esta conducta de facilitación se asimila a la cooperación necesaria y puede ser autónoma del delito principal.

La responsabilidad de las personas jurídicas también está prevista en el ámbito de los delitos informáticos: cuando se cometen en su nombre o beneficio pueden imponérseles multas de dos a cinco años, o del duplo al quíntuplo del beneficio obtenido, así como la suspensión o intervención judicial de la entidad. Las empresas de ciberseguridad y los auditores que actúan con autorización expresa del titular del sistema no incurren en estos tipos penales.

Datos clave

  • Hacking/acceso no autorizado: art. 197 bis CP, 6 meses-2 años
  • Requiere superación de medidas de seguridad (mero intento = tentativa)
  • Facilitación de herramientas de hacking: art. 197 ter CP
  • Responsabilidad penal de personas jurídicas prevista
  • Autorización del titular excluye la tipicidad
  • Relación con art. 197 CP: art. 197 bis protege el sistema; 197 protege los datos

Daños informáticos

Los daños informáticos están regulados en los artículos 264 a 264 ter CP, introducidos y reformados para adaptarse a las exigencias de la Directiva 2013/40/UE sobre ataques contra los sistemas de información. El tipo básico del artículo 264 CP castiga con pena de prisión de seis meses a tres años a quien, sin estar autorizado, borre, dañe, deteriore, altere, suprima o haga inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos.

Las formas agravadas del artículo 264 bis CP se aplican cuando los daños afectan a infraestructuras críticas, a servicios esenciales para la comunidad, a organismos públicos o a sistemas de comunicación, y la pena puede alcanzar los diez años de prisión. También es agravante que el ataque informático cause un perjuicio de especial gravedad o que se cometa en el seno de una organización criminal. La interrupción o perturbación del funcionamiento de sistemas de tratamiento o transmisión de datos está específicamente sancionada.

El artículo 264 ter CP castiga la producción, adquisición, importación o facilitación de herramientas, programas, código o contraseñas diseñados para cometer delitos de daños informáticos. Este tipo de conducta preparatoria o de facilitación permite la intervención policial y judicial antes de que se materialice el daño efectivo. La coordinación con el Centro Nacional de Ciberseguridad (INCIBE) es habitual en la investigación de estas conductas.

Datos clave

  • Daños informáticos básicos: art. 264 CP, 6 meses-3 años
  • Daños a infraestructuras críticas: art. 264 bis CP, hasta 10 años
  • Directiva 2013/40/UE: referente europeo de transposición
  • Facilitación de herramientas de ataque: art. 264 ter CP
  • Agravación por organización criminal o perjuicio especialmente grave
  • INCIBE: colabora en investigación de ciberataques

Estafa informática

La estafa informática, regulada en el artículo 248.2 CP, tipifica la conducta de quien, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga una transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero. Esta figura fue introducida para subsanar la imposibilidad de aplicar el tipo clásico de estafa a supuestos en que no hay engaño sobre una persona sino manipulación de sistemas.

La diferencia con la estafa común radica en que en la estafa informática no es necesario el engaño a persona física: basta con la manipulación del sistema que produce automáticamente la transferencia patrimonial. El phishing, el pharming y los ataques de ingeniería social que terminan en transferencias fraudulentas son las modalidades más frecuentes. Cuando hay una víctima humana que es engañada se aplica el tipo de estafa ordinaria aunque el medio empleado sea informático.

Las estafas informáticas en el ámbito del comercio electrónico y la banca online han experimentado un crecimiento exponencial. La Brigada de Investigación Tecnológica (BIT) de la Policía Nacional y el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil son las unidades especializadas. Las penas de la estafa informática siguen las mismas referencias que la estafa común del artículo 249 CP y los tipos agravados del artículo 250 CP.

Datos clave

  • Estafa informática: art. 248.2 CP (manipulación de sistemas)
  • No requiere engaño a persona física (diferencia con estafa clásica)
  • Penas: misma referencia que arts. 249 y 250 CP
  • Modalidades frecuentes: phishing, pharming, ingeniería social
  • BIT (Policía Nacional) y GDT (Guardia Civil): unidades especializadas
  • Phishing + engaño humano = estafa ordinaria, no informática

Pornografía infantil y explotación sexual en línea

La pornografía infantil y la explotación sexual online de menores están tipificadas en el artículo 189 CP con penas que oscilan entre uno y doce años según la conducta concreta. La elaboración de material pornográfico en que intervengan menores de dieciocho años, su distribución, exhibición, ofrecimiento o facilitación a través de tecnologías de la información se castiga con prisión de uno a cinco años. La captación de menores para que participen en material pornográfico lleva aparejada pena de dos a siete años.

El mero acceso o posesión de pornografía infantil, aunque sea para uso propio, también es delito castigado con pena de tres meses a un año. La pornografía técnica o virtual, que no implica la participación de menores reales pero utiliza imágenes generadas digitalmente de menores, fue incorporada al ámbito típico ampliando la protección. La asistencia a espectáculos exhibicionistas o pornográficos protagonizados por menores también está expresamente tipificada.

Las circunstancias agravantes del artículo 189.2 CP elevan la pena cuando la víctima es menor de dieciséis años, cuando el material es de carácter especialmente degradante o vejatorio, cuando se ha utilizado violencia o intimidación, o cuando el autor pertenece a una organización dedicada a la difusión de este material. La legislación española impone además a los proveedores de servicios de internet la obligación de colaborar con la autoridad judicial en la identificación y bloqueo de contenidos.

Datos clave

  • Elaboración/distribución de pornografía infantil: art. 189 CP, 1-5 años
  • Captación de menores para pornografía: 2-7 años
  • Posesión para uso propio: 3 meses a 1 año
  • Pornografía virtual de menores: también tipificada
  • Agravantes: menor de 16 años, degradación, organización criminal
  • Edad de protección: menores de 18 años

La prueba electrónica y la cadena de custodia digital

La prueba electrónica o digital es cualquier dato o información con valor probatorio almacenada o transmitida en formato digital. Su admisibilidad en el proceso penal español exige el cumplimiento de los principios de autenticidad, integridad y fiabilidad. La Ley de Enjuiciamiento Criminal, reformada parcialmente por la Ley 41/2015, ha ido incorporando normas específicas sobre intervención de comunicaciones electrónicas y registro de dispositivos digitales (arts. 588 ter a 588 octies LECrim).

La cadena de custodia digital es el conjunto de procedimientos que garantizan que la evidencia digital no ha sido alterada desde su obtención hasta su presentación en juicio. Comprende la documentación de la recogida, el sellado y etiquetado de dispositivos, el uso de bloqueadores de escritura para preservar la integridad de los datos, la generación de huellas hash que permiten verificar la inalterabilidad, y el registro de cada persona que ha tenido acceso a la evidencia.

La jurisprudencia del Tribunal Supremo ha establecido que la vulneración de la cadena de custodia no conlleva automáticamente la nulidad de la prueba, pero sí puede afectar a su valor probatorio. El informe pericial informático debe recoger la metodología empleada, las herramientas de adquisición forense utilizadas y la firma hash original y verificada. La intervención de dispositivos en el ámbito de la investigación policial requiere en general autorización judicial previa salvo en supuestos de flagrante delito.

Datos clave

  • Prueba digital: regulada en arts. 588 ter a 588 octies LECrim (Ley 41/2015)
  • Cadena de custodia: autenticidad, integridad y fiabilidad
  • Hash criptográfico: garantía de inalterabilidad de la evidencia
  • Bloqueador de escritura: herramienta forense obligatoria
  • Vulneración de cadena de custodia: no nulidad automática pero reduce valor probatorio
  • Autorización judicial: regla general para intervención de dispositivos

Intervención de comunicaciones y vigilancia digital

La intervención de las comunicaciones electrónicas está regulada en los artículos 588 ter a 588 ter j de la Ley de Enjuiciamiento Criminal, introducidos por la Ley Orgánica 13/2015. Supone la captación del contenido de comunicaciones de voz, datos, imágenes o cualquier otro tipo emitidas o recibidas mediante redes públicas de comunicaciones electrónicas. Requiere autorización judicial motivada que evalúe la proporcionalidad, necesidad y excepcionalidad de la medida.

El registro remoto de equipos informáticos, contemplado en el artículo 588 septies LECrim, permite a las autoridades, previa autorización judicial, acceder de forma remota a sistemas informáticos para obtener datos almacenados. Esta medida es más intrusiva que la intervención de comunicaciones y exige una motivación especialmente reforzada. El uso de software de monitorización o captación remota de datos sin autorización judicial vulnera el derecho al secreto de las comunicaciones del artículo 18.3 CE.

Los prestadores de servicios de comunicación están obligados a conservar los datos de tráfico durante doce meses y a facilitarlos a las autoridades judiciales cuando sean requeridos. La Ley 25/2007 de conservación de datos regulaba estas obligaciones aunque fue parcialmente cuestionada por el Tribunal de Justicia de la Unión Europea. La vigilancia masiva y la recopilación indiscriminada de datos de ciudadanos sin sospecha individual contravendría el derecho a la privacidad garantizado por la Carta de Derechos Fundamentales de la UE.

Datos clave

  • Intervención comunicaciones: arts. 588 ter a 588 ter j LECrim (LO 13/2015)
  • Registro remoto de equipos: art. 588 septies LECrim
  • Principios: proporcionalidad, necesidad y excepcionalidad
  • Conservación de datos por operadores: 12 meses (Ley 25/2007)
  • Secreto de comunicaciones: art. 18.3 CE
  • TJUE ha limitado la vigilancia masiva indiscriminada

Organismos policiales especializados en cibercrimen

La investigación de los delitos informáticos en España se articula principalmente a través de dos unidades especializadas de las Fuerzas y Cuerpos de Seguridad del Estado. La Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional, integrada en la Comisaría General de Policía Judicial, investiga los delitos cometidos a través de internet y tecnologías de la información, incluyendo fraudes online, ciberataques, acoso, pornografía infantil y terrorismo en la red. El Grupo de Delitos Telemáticos (GDT) de la Guardia Civil tiene competencias similares en el ámbito territorial propio de ese cuerpo.

El Centro Nacional de Inteligencia (CNI) a través del Centro Criptológico Nacional (CCN) protege los sistemas de información de la Administración Pública frente a ciberataques. El Instituto Nacional de Ciberseguridad (INCIBE), adscrito al Ministerio de Asuntos Económicos, tiene funciones de prevención, concienciación y respuesta ante incidentes en el ámbito ciudadano y empresarial. El CERT de Seguridad e Industria (CERT/CC) gestiona incidentes que afectan a infraestructuras críticas.

En el ámbito europeo, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el Centro Europeo de Ciberdelincuencia de Europol (EC3) coordinan la respuesta transnacional frente a las amenazas cibernéticas. La cooperación internacional es imprescindible dado el carácter transfronterizo de los delitos informáticos, articulada a través de convenios como el Convenio de Budapest sobre ciberdelincuencia de 2001, ratificado por España.

Datos clave

  • BCIT (Policia Nacional): Brigada Central de Investigacion Tecnologica
  • GDT (Guardia Civil): Grupo de Delitos Telematicos
  • CCN-CERT: protege sistemas de la Administracion Publica
  • INCIBE: prevencion y respuesta para ciudadanos y empresas
  • EC3 (Europol): coordinacion europea contra ciberdelincuencia
  • Convenio de Budapest (2001): marco internacional de cooperacion