Supuesto: Un individuo tiene la convicción de que desde hace un tiempo determinados documentos que posee en su ordenador personal y el contenido de algunos mensajes dirigidos confidencialmente a destinatarios concretos han acabado en manos de terceros en la red. Sospecha que alguien ha accedido ilícitamente a su ordenador y se ha apropiado de información privada.
Este hecho podría encuadrarse como un delito contra la privacidad personal. Estos delitos informáticos contra la privacidad personal se encuentran regulados en el arts. 197 y siguientes del Código Penal en vigor bajo la rúbrica Del descubrimiento y revelación de secretos, dentro del Capítulo 1 del Título X que comprende los Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio.
Según la doctrina penal, a través de estos artículos se tipifica tres conductas básicas relacionadas con los sistemas informáticos. Por un lado la interceptación de telecomunicaciones, por otro, el acceso no consentido a sistemas informáticos y, en tercer lugar, la vulneración del habeas data (datos personales o familiares digitalizados). Son éstas, y sólo éstas las conductas tipificadas como delitos informáticos contra la intimidad personal.
Los delitos de apoderamiento de información están recogidos en el artículo 197.1 que castiga el apoderamiento de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, realizada para descubrir la intimidad de otro y sin su autorización. El término apoderamiento parece exigir un desplazamiento de la posesión física y una materialidad del soporte de la información que no se ajusta al actual sutil espionaje informático, cuyas técnicas permiten entrar en un ordenador ajeno, husmear dentro de él y copiar sus archivos sin desplazar un solo papel.
El acceso no consentido a sistemas informáticos sin producir más daños que los derivados de la vulneración del espacio de intimidad informática, era impune hasta la reforma del CP introducida por la LO 5/2010, que dio nueva redacción al párrafo 3 del art. 197 actual 197 bis del Código Penal reformado el 1 de julio de 2015.
Delitos de acceso no consentido a sistemas informáticos
Este sería el caso que en principio se narra en el supuesto. En la jerga de la red el hacker es el intruso, popularmente conocido en Internet como el pirata informático. Las conductas de hacking consisten, en el conjunto de comportamientos de acceso o interferencia no autorizados, de forma subrepticia, a un sistema informático o red de comunicación electrónica de datos y a la utilización de los mismos sin autorización o más allá de lo autorizado.
De acuerdo con esta descripción, el hacker es un curioso informático[1] que conoce a fondo los sistemas informáticos, los lenguajes de programación y los protocolos de Internet. Dedican gran parte del tiempo a estudiar la existencia de agujeros (o puertas falsas) y fallos en dichos sistemas y a qué se deben. Una vez dentro de la máquina, el hacker ha logrado su propósito. No borran nada, excepto los logs de conexión que sean necesarios para hacer desaparecer su rastro[2] y no les identifiquen.
Existen múltiples sentencia que recogen esta infracción penal, citaremos alguna:
“No sería aventurado adelantar que desde el punto de vista sociológico y en terminología anglosajona utilizada en, el ámbito informático las conductas que han sido descritas en el “factum” son las propias de un “hacker” o persona que utiliza determinadas técnicas para acceder sin la debida autorización a sistemas informáticos Buenos, o dicho en castellano, nos encontraríamos ante un intruso, figura diferente a la del “cracker” o pirata virtual que de manera intencionada se dedica a eliminar o borrar ficheros, a romper los sistemas informáticos y a introducir virus. La conducta del hacker está guiada por un deseo de vencer el reto intelectual de saltar las barreras del sistema. Tratan de vencer a las claves informáticas de los accesos, de descubrir, en suma las lagunas de la protección. Por ello no es de extrañar que muchas compañías los contraten para que, antes de instalar sus sistemas informáticos, analicen si estos presentan grietas por las que se pude alguien colar en ellas”.Su éxito presupone que se hayan burlado los medios de seguridad (contraseñas, claves de acceso, paswords), que están ahí colocados para impedirlo y que ponen de manifiesto la voluntad del titular de que la información que se contiene en los mismos no sea conocida más que por quienes están autorizados a ello».[3]
Lo que caracteriza la conducta del hacker es que para mirar dentro de los sistemas informáticos se salta puertas, las fuerza o utiliza llaves falsas para abrir la cerradura en contra de la voluntad del titular del espacio informático protegido. Aun suponiendo que la única intención del hacker sea observar, o conseguir abrir las puertas sin ser detectado, su conducta no es muy diferente de quien salta la tapia de un jardín, ya sea para mirar, ya para demostrar la vulnerabilidad del sistema de seguridad. De acuerdo con la legislación penal vigente, si entra físicamente en el lugar cerrado habrá cometido un delito, del mismo modo que cuando logra entrar en nuestro espacio de intimidad informática sin causar daño alguno, más allá de la vulneración de nuestra intimidad informática.
Se puede decir a la luz de la Jurisprudencia que existen que el delito de acceso inconsentido a los sistemas informáticos comprende básicamente dos conductas penalmente relevantes. Por un lado, el propio acceso inconsentido a sistemas informáticos rompiendo los mecanismos o instrumentos que actúan como barreras de protección entendidos como acceso a una unidad informática integrada por uno o varios dispositivos, públicos o privados.
Una segunda conducta punible consiste en el mantenimiento inconsentido dentro del sistema informático por parte de quien accedió legítimamente al mismo pero resulta después desautorizado para permanecer u operar en el sistema en cuestión. Si este sujeto continúa accediendo al sistema después de haber sido cancelada su autorización la calificación más adecuada sería la permanencia inconsentida, más que el propio acceso ilegítimo, aunque la conducta estrictamente encaje más en el primer que en el segundo supuesto (MUÑOZ CONDE).
Por lo tanto, el supuesto narrado constituiría un delito de acceso inconsentido al ordenador de la víctima por lo que procedería formular denuncia ante la Policía Judicial aportando en esta toda la información que permitiera acreditar la intrusión realizada.
Tramitada la denuncia, se debería realizar un volcado de la información obrante en el sistema informático atacado por parte de la unidad policial especializada de delitos tecnológicos que levantaría acta policial realizando una impresión de la información recogida que se remitiría a la Autoridad Judicial.
Posteriormente, ya en las dependencias policiales, la unidad responsable debería identificar las conexiones fraudulentas y solicitar la información a los Proveedores de Servicio de Internet (ISP) a través de un requerimiento judicial. Una vez cumplimentado se podrá identificar a los terminales empleados en la intrusión y ya a partir de este momento discurriría la metodología de investigación propia para el esclarecimiento de este tipo de delitos relacionados con las nuevas tecnologías.
Se debe hacer constar, tal y como se establece en el artículo 201, “para proceder por los delitos previstos en este Capítulo será necesaria denuncia de la persona agraviada o de su representante legal” por lo que, al no hacerlo no se podría perseguir salvo en los casos que la propia Ley penal establece excepción.
Señalar, por último, que, como en otro tipo de delitos, algunos sujetos que quieren eludir responsabilidades por actos ilícitos cometidos a través de las redes sociales pretenden defenderse construyendo la falsa coartada de manifestar que sus dispositivos han sido atacados por intrusos y que han sido estos y no ellos los que han difundido correos o mensajes delictivos en las redes sociales como Facebook o Twitter. De esta forma pretenden evitar incurrir en responsabilidad penal con este simple argumento sin que ni tan siquiera presenten denuncia ante las Autoridades por razones más que obvias ya que, si lo hacen, se investigará y se comprobará que lo narrado no es cierto.
[1] El término es de uso generalizado aunque poco preciso. El hacker informático es más bien un curioso, un voyeur que no daña, sólo mira, entra en los sistemas, y como mucho deja alguna pista de su presencia. Ello ha conducido a la doctrina a diferenciar los hackers ‘buenos’ o ‘blancos’ de los hackers “malos” o “negros”, más modernamente conocidos como crackers.
[2] A diferencia del cracker, cuya conducta comporta un daño al sistema informático sobre el que actúa: como señala la sentencia del Juzgado de lo penal núm. 2 de Badajoz, de 15 de febrero de 2006 «no sería aventurado adelantar que desde el punto de vista sociológico y en terminología anglosajona utilizada en, el ámbito informático las conductas que han sido descritas en el “factum” son las propias de un “hacker” o persona que utiliza determinadas técnicas para acceder sin la debida autorización a sistemas informáticos buenos, o dicho en castellano, nos encontraríamos ante un intruso, figura diferente a la del “cracker” o pirata virtual que de manera intencionada se dedica a eliminar o borrar ficheros, a romper los sistemas informáticos y a introducir virus».
[3] Sentencia del Juzgado de lo Penal núm. 2 de Badajoz, de 15 de febrero de 2006
Hola Adolfo,
Me gustaría saber su opinión sobre el apoderamiento de información (mediante copia en USB u otra modalidad) de información personal en un ordenador compartido por una pareja ( Cónyuges o novios), por una de las partes, para descubrir por ejemplo una infidelidad. Estaría encuadrado dentro de los supuestos que usted plantea?
Muchas gracias.
Magnífico y completo artículo.
Muchas gracias compañero. Saludos
Rafael, en este caso el problema radica en el acceso a la información contenida en el ordenador. Dado que es lícito porque es compartido, si se realiza por parte de uno de los autorizados para descubrir los secreto del otro se podría tipificar como delito del 197 bis apartado uno, antes 197.3. Fermín MORALES (1) describe, no obstante este problema:
“El tipo del artículo 197.3 (ahora 197 bis) expresa que el acceso debe verificarse sin autorización. Esta expresión abarca tanto los supuestos en los que el acceso se produce sin autorización del titular del sistema informático en el que se contiene los datos o programas como los supuestos en los cuales el acceso se produce con infracción de algún precepto legal que limita tal conducta. Por tanto se trata de accesos ilícitos bien por falta de autorización del titular del sistema, bien por falta de autorización legal. No debe olvidarse que el nuevo precepto tipifica el acceso ilícito con vulneración de las medidas de seguridad establecidas para impedirlo, por tanto se tratará de conductas que reclaman una insiosidad, por cuanto ya se ha manifestado una voluntad de no autorizar un acceso abierto o libre al sistema. Como indica Carrasco Andrino[7], el acceso ilícito con vulneración de medidas de seguridad implica una especial energía criminal, o lo que es lo mismo a mi juicio, una determinada insiosidad en la conducta de acceso.
b) La segunda alternativa típica alude a la permanencia ilícita en un sistema informático en contra de la voluntad de quién tenga el derecho a excluirlo. Esta segunda modalidad típica esta inspirada en el artículo 615 ter del CP italiano, y desde luego otorga argumentos a quienes sostienen que el bien jurídico protegido, en este precepto, es el domicilio informático, por cuanto recuerda la arquitectura típica que se halla presente en los tradicionales delitos de allanamiento de morada contra la intimidad domiciliaria (artículo 202 CP). Esta tesis viene a significar que el domicilio informático configuraría un espacio de nuevo cuño en el que se proyecta la privacidad del individuo con facultades de admisión y exclusión de terceros.
En la lógica de esta modalidad típica parece que debe haberse verificado un acceso en principio lícito, al que sigue una posterior permanencia en el sistema no autorizada y, por tanto, ilícita. El problema interpretativo se suscita al repararse en que esta permanencia ilícita a los efectos típicos debe producirse con vulneración de las medidas de seguridad, exigencia típica ésta que parece presidir tanto la conducta de acceso como la conducta de permanencia. Si esta es la interpretación solo serán típicos los casos de permanencia no autorizada con vulneración de medidas de seguridad, lo que complica las cosas y puede llegar a restringir el ámbito de incriminación del precepto. La otra opción interpretativa postularía que la vulneración de medidas de seguridad solo afecta al acceso ilícito pero no al mantenimiento o permanencia no autorizada; con esta segunda alternativa hermenéutica se amplia el ámbito de aplicación del precepto, pero al precio de resentir o tensionar la propia redacción típica del artículo 197.3 (ahora 197 bis)”.
El problema radica en verificar si el Juez considerará si se requiere la existencia de vulneración de medidas de seguridad o no para tipificarlo, cosa que no resulta pacífica cuando se comparten los contenidos en un dispositivo informático.
(1) MORALES PRATS, Fermin, “El delito de acceso ilítico a los sistemas informáticos (art. 197.3) y la proyección de la responsabilidad de las personas jurídicas a los delitos contra la intimidad: una primera acotación a la Reforma penal de 2010” en “Un Derecho Penal comprometido” Tirant lo Blanch, 2011.
Saludos cordiales,
Muchiiisimas gracias Adolfo por tu rápida respuesta y por tu tiempo.
Felicidades por el Blog y nos seguimos leyendo.
Un cordial saludo