Tabla de contenidos
1. El acceso sin autorización a un sistema de información o delito de hacking
El acceso ilegal a sistemas informáticos, también conocido como hacking o intrusismo informático, está tipificado en el artículo 197 bis.1 del Código Penal.
Así, será castigado con pena de prisión de seis meses a dos años el que, por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo.
Este ciberdelito se incluye dentro del Capítulo I del Título X del Código Penal, relativo a los delitos de descubrimiento y revelación de secretos.
Ello implica que, mediante el delito de hacking, el delincuente se infiltra en un sistema informático y descubre información privada o confidencial sin la autorización de su titular.
Se exige que la conducta se realice sin autorización y vulnerando las medidas de seguridad establecidas para impedirlo. La Circular 3/2017, de 21 de septiembre, de la Fiscalía General del Estado, relativa a la reforma del Código Penal operada por la Ley Orgánica 1/2015, indica que lo que el legislador castiga es el acceso no autorizado que se lleva a efecto desplegando una especial energía criminal, pues la aplicación del tipo requiere el quebrantamiento de medidas o códigos de seguridad, resultando atípica la intrusión no autorizada en la que no concurra dicha circunstancia.
En relación con las medidas de seguridad, la misma Circular citada indica que tendrá la consideración de medida de seguridad toda aquella que se haya establecido con la finalidad de impedir el acceso al sistema, con independencia de que la misma sea más o menos sólida, compleja o robusta y también de que haya sido establecida por el administrador, el usuario, o por el instalador del sistema, siempre que se mantenga operativa como tal medida de seguridad por quien está legitimado para evitar el acceso.
El objeto material de la conducta típica se concreta en el conjunto o una parte de un sistema de información. No es necesario tomar contacto con datos o programas que contengan informaciones concretas, sino que la conducta se consuma con la simple entrada en el sistema o parte de este. Asimismo, las conductas tipificadas en este precepto no tienen por qué afectar a la intimidad o a los datos de personas concretas y determinadas.
La Directiva 2013/40/UE, del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, define sistema de información como todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento.
En cuanto a la conducta omisiva de mantenerse en el sistema en contra de la voluntad de “quien tenga el legítimo derecho a excluirlo”, se entiende que es aquel que tenga el mejor derecho de propiedad sobre el sistema de información o quien, dentro de sus competencias (por ejemplo, laborales), se encuentre autorizado para manejarlo.
No se refiere a cualquier mantenimiento, sino que necesita un previo acceso lícito, porque si existe un acceso ilícito nos encontraríamos ante la primera de las conductas. Además, requiere la voluntad en contra de quien tenga el legítimo derecho a excluirlo.
Hay que puntualizar que, aunque el legislador incluye esta conducta junto a la conducta de hacking, entendido en sentido estricto, no ha existido un acceso ilícito, sino el mantenimiento en un sistema informático de quien ha accedido lícitamente.
2. Interceptación de datos informáticos
El apartado segundo del artículo 197 bis recoge el delito de interceptación de datos informáticos.
Así, será castigado con pena de prisión de tres meses a dos años, o multa de tres a doce meses el que, mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos.
Para que la conducta sea delictiva, han de concurrir dos requisitos:
- que quien efectúa la interceptación no esté autorizado para ello
- que la interceptación se realice utilizando como medio artificios o instrumentos técnicos.
Como artificios o instrumentos se entiende cualesquiera herramientas o mecanismos que hagan posible este objetivo, aunque no estén específicamente destinados a ello. Como medios técnicos, se incluyen los dispositivos que se conectan a las líneas de transmisión y también los dispositivos que pueden utilizarse para obtener y grabar las comunicaciones inalámbricas. Igualmente considera como tales, a dichos efectos, el uso de software, contraseñas y códigos.
Se sanciona la interceptación no autorizada de cualquier otra transmisión de datos informáticos que no tenga el carácter de comunicación interpersonal y que se lleve a efecto por redes no públicas. Son objeto, por tanto, de protección, las comunicaciones entre dos o más sistemas informáticos, las que tienen lugar entre distintos ordenadores dentro de un mismo sistema o incluso las que median entre una persona y un ordenador.
Según la Circular mencionada, el objeto de protección en este tipo penal es doble:
- Por un lado, los datos informáticos que se transmiten entre los distintos dispositivos de un sistema, o entre dos o más sistemas, en forma no pública, es decir aquellos datos que, en atención a su forma de transmisión, quedan excluidos del conocimiento por parte de terceros.
- Por otro lado, se protegen también en este precepto los datos informáticos susceptibles de obtenerse a partir de las emisiones electromagnéticas de un sistema de información.
Habrá que considerar amparadas por el precepto que se examina todas las transmisiones efectuadas por redes privadas, pero también aquellas que, aun efectuadas a través de redes púbicas, tengan carácter reservado o en relación con las cuales se hayan establecido, de una u otra forma, mecanismos para garantizar la privacidad y excluir a terceros del conocimiento de dicha información.
Las emisiones electromagnéticas no pueden ser consideradas en sí mismas datos informáticos, pero es posible que los datos puedan ser reconstruidos a partir de dichas emisiones. En consecuencia, la interceptación de los datos provenientes de las emisiones electromagnéticas de un sistema informático está incluida como delito.
3. Facilitación de programas o equipos específicos para la comisión del delito de hacking
El artículo 197 ter del CP manifiesta que será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos a que se refieren los apartados 1 y 2 del artículo 197 (descubrimiento y revelación de secretos) o el artículo 197 bis ya comentado:
- un programa informático, concebido o adaptado principalmente para cometer dichos delitos; o
- una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.”
Se tipifica la facilitación, adquisición, importación o la producción de programas informáticos o equipos específicamente diseñados o adaptados para la comisión de estos delitos. Se regulan separadamente, de un modo que permite ofrecer diferentes niveles de respuesta a la diferente gravedad de los hechos, los supuestos de daños informáticos y las interferencias en los sistemas de información.
Se castigan, de este modo, la creación, tráfico y facilitación de los instrumentos destinados a la comisión de determinadas actividades ilícitas relativas al descubrimiento y revelación de secretos.
Si has sido víctima de un delito de hacking, es imprescindible contar con abogados especialistas en ciberdelitos que te puedan asesorar, asistir y defender debidamente durante el proceso judicial correspondiente.
¿Buscas abogado especialista en Ciberdelincuencia?
Te recomendamos la firma de abogados española Algoritmo Legal donde encontrarás al abogado especializado en Ciberdelincuencia y con experiencia contrastada que necesitas. Formúlales tu consulta directamente desde aquí (los campos con * son obligatorios):