Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN
Análisis Jurídico

Artículo 264 CP: Daños Informáticos · Sabotaje, Ransomware y Penas (2026)

calendar_today2 de julio de 2026

Última actualización:

lightbulbPuntos Clave

  • check_circleBorrar o alterar datos ajenos: 6 meses a 3 años
  • check_circleDoble exigencia: conducta y resultado graves
  • check_circle264 bis: sabotaje de sistemas, hasta 8 años
  • check_circleRansomware: daños + extorsión del art. 243 CP

Respuesta rápida

El artículo 264 del Código Penal castiga los daños informáticos: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos electrónicos ajenos, sin autorización y de manera grave, con prisión de 6 meses a 3 años. El art. 264.2 eleva la pena a prisión de 2 a 5 años y multa del tanto al décuplo del perjuicio en supuestos como organización criminal, daños de especial gravedad o afectación de servicios esenciales e infraestructuras críticas. El art. 264 bis castiga la obstaculización grave de sistemas ajenos con penas que pueden llegar a 8 años y el 264 ter las herramientas diseñadas para estos ataques. En un ransomware, a los daños se suma la extorsión del art. 243 CP cuando se exige un rescate.

¿Necesita ayuda con su caso? Hable con un abogado penalista de Alonso Sala.

El artículo 264 del Código Penal castiga los daños informáticos: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos, sin autorización y de manera grave. Junto a él, los artículos 264 bis, 264 ter y 264 quater completan el bloque del sabotaje informático: la obstaculización de sistemas, las herramientas de ataque y la responsabilidad penal de la empresa. Como abogados penalistas especialistas en ciberdelitos, explicamos qué castiga exactamente cada precepto, con qué penas y dónde están los márgenes de defensa.

Qué Dice el Art. 264 CP: el Tipo Básico

El art. 264.1 CP castiga con prisión de 6 meses a 3 años a quien, por cualquier medio, sin autorización y de manera grave, borre, dañe, deteriore, altere, suprima o haga inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave.

Del texto legal se extraen los elementos esenciales del tipo:

  • Objeto material: datos, programas y documentos electrónicos ajenos. Lo protegido es la integridad de la información; la destrucción física de un ordenador o de un servidor ajeno se castiga por el delito de daños común del art. 263 CP.
  • Falta de autorización: quien actúa con permiso del titular del sistema —por ejemplo, en una auditoría de seguridad contratada— queda fuera del tipo.
  • Doble exigencia de gravedad: la conducta debe ser grave y el resultado producido también. A diferencia del delito de daños común, aquí no existe el umbral de los 400€ que delimita el delito leve: los incidentes que no alcanzan esa doble gravedad son atípicos.

El apartado 3 añade una agravación transversal: las penas se imponen en su mitad superior cuando los hechos se cometen mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.

Los Agravantes del Art. 264.2 CP

La pena salta a prisión de 2 a 5 años y multa del tanto al décuplo del perjuicio ocasionado cuando concurre alguna de estas cinco circunstancias:

  1. Cometerse en el marco de una organización criminal.
  2. Haber ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos: es el agravante característico de las campañas masivas de malware.
  3. Perjudicar gravemente el funcionamiento de servicios públicos esenciales o la provisión de bienes de primera necesidad.
  4. Afectar al sistema informático de una infraestructura crítica o crear una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de un Estado miembro.
  5. Haberse cometido utilizando alguno de los medios del art. 264 ter: programas concebidos para el ataque, contraseñas o códigos de acceso ajenos.

Si los hechos resultan de extrema gravedad, puede imponerse además la pena superior en grado.

Art. 264 bis CP: Obstaculizar o Interrumpir un Sistema

El art. 264 bis CP no protege los datos en sí, sino el funcionamiento del sistema. Castiga con prisión de 6 meses a 3 años a quien, sin estar autorizado y de manera grave, obstaculice o interrumpa el funcionamiento de un sistema informático ajeno de tres formas: realizando las conductas del art. 264, introduciendo o transmitiendo datos —el encaje natural de los ataques de denegación de servicio— o destruyendo, dañando, inutilizando, eliminando o sustituyendo el propio sistema informático, telemático o de almacenamiento.

El precepto prevé dos escalones agravados:

  • Si los hechos perjudican de forma relevante la actividad normal de una empresa, negocio o Administración pública, la pena se impone en su mitad superior, pudiendo alcanzarse la superior en grado.
  • Si concurre alguna de las circunstancias del art. 264.2, la pena es de prisión de 3 a 8 años y multa del triplo al décuplo del perjuicio.

También aquí se aplica la mitad superior cuando se utilizan ilícitamente datos personales de otra persona para acceder al sistema o ganarse la confianza de un tercero.

¿Un ciberataque ha paralizado su empresa?

Las primeras horas son decisivas: preservar los sistemas afectados y documentar el perjuicio condiciona tanto la investigación como la futura reclamación. Antes de restaurar copias de seguridad, asegure la evidencia digital.

Art. 264 ter CP: Programas, Contraseñas y Herramientas de Ataque

El art. 264 ter CP adelanta la barrera penal a los actos preparatorios. Castiga con prisión de 6 meses a 2 años o multa de 3 a 18 meses a quien, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o facilite a terceros, con la intención de facilitar la comisión de los delitos de los arts. 264 y 264 bis:

  • Un programa informático concebido o adaptado principalmente para cometer esos delitos.
  • Una contraseña de ordenador, un código de acceso o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

La clave defensiva está en el elemento subjetivo: el tipo exige la intención específica de facilitar un delito de daños o sabotaje. Las herramientas de doble uso —escáneres de vulnerabilidades, suites de pentesting— empleadas en ciberseguridad profesional y con autorización quedan fuera del precepto. La frontera con el acceso ilícito a sistemas del art. 197 bis CP también importa: acceder sin dañar es un delito distinto, con pena distinta.

Art. 264 quater CP: Responsabilidad de la Empresa

Los delitos de daños y sabotaje informático generan responsabilidad penal de la persona jurídica conforme al art. 31 bis CP. El art. 264 quater fija las penas:

  • Multa de 2 a 5 años, o del quíntuplo a doce veces el valor del perjuicio causado si resulta una cantidad superior, cuando el delito cometido tenga prevista pena de prisión de más de 3 años.
  • Multa de 1 a 3 años, o del triple a ocho veces el valor del perjuicio si resulta superior, en el resto de los casos.

Los jueces pueden imponer además, conforme al art. 66 bis, las penas de las letras b) a g) del art. 33.7 CP: suspensión de actividades, clausura de locales o inhabilitación para obtener subvenciones, entre otras. Un modelo de compliance penal eficaz, implantado antes del delito, puede eximir a la empresa o atenuar su responsabilidad.

Ransomware: Daños Informáticos más Extorsión

El ransomware es el ejemplo de manual de concurrencia de delitos. Al cifrar los archivos de la víctima, el atacante los hace inaccesibles —conducta del art. 264— y habitualmente obstaculiza o paraliza el sistema completo (art. 264 bis). Y al exigir un rescate para restaurarlos comete además una extorsión del art. 243 CP: obligar a otro, con intimidación y ánimo de lucro, a realizar un acto en perjuicio de su patrimonio, castigada con prisión de 1 a 5 años.

El catálogo puede crecer: el acceso ilícito previo al sistema (art. 197 bis CP), la agravación por uso ilícito de datos personales de otra persona (arts. 264.3 y 264 bis.3) y, si además se exfiltra información con la amenaza de publicarla, los delitos de descubrimiento y revelación de secretos del art. 197 CP. Defendemos tanto a empresas y particulares víctimas de estos ataques como a personas investigadas por ellos: toda la información, en nuestra página sobre defensa penal en casos de ransomware.

Si ha sufrido un ataque, actúe con método: no pague sin asesorarse, preserve los sistemas afectados y las evidencias y denuncie. Le explicamos los pasos en nuestra guía legal si le han hackeado.

Estrategias de Defensa

  1. Falta de gravedad: el doble filtro del art. 264.1 —conducta grave y resultado grave— deja fuera del tipo los incidentes menores; discutir la entidad real del daño es la primera línea de defensa.
  2. Existencia de autorización: administradores de sistemas, empleados con credenciales o proveedores tecnológicos operan a menudo en zonas grises de permisos; si había autorización, no hay delito del art. 264.
  3. Autoría y prueba técnica: una dirección IP no identifica por sí sola a una persona. La defensa debe auditar la pericial informática, la cadena de custodia de los registros y la forma en que se obtuvo la evidencia digital.
  4. Ausencia de dolo: el art. 264 no prevé modalidad imprudente; un borrado accidental o un fallo negligente de mantenimiento no constituye delito de daños informáticos.
  5. Cuantificación del perjuicio: el importe condiciona la multa proporcional y la apreciación de los agravantes; una pericial contradictoria puede reducir sensiblemente la pena.
  6. Reparación del daño: indemnizar o contribuir a restaurar los sistemas activa la atenuante del art. 21.5 CP y mejora la posición ante una eventual conformidad.

¿Le investigan por daños informáticos o ha sufrido un ataque?

La prueba tecnológica decide estos procedimientos. Deje que analicemos su caso con pericial informática forense antes de declarar o de denunciar.

📞 Llámenos: 91 078 65 74

⚖️ ¿Necesita un abogado penalista?

Despacho dedicado en exclusiva al derecho penal. Defensa de investigados y acusación particular de víctimas en delitos informáticos.

→ Ciberdelitos: información legal completa

Preguntas frecuentes

¿Qué dice el artículo 264 del Código Penal?expand_more

Castiga con prisión de 6 meses a 3 años a quien, por cualquier medio, sin autorización y de manera grave, borre, dañe, deteriore, altere, suprima o haga inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido sea grave. Es el delito de daños informáticos.

¿Qué pena tienen los daños informáticos?expand_more

El tipo básico del art. 264.1 CP prevé prisión de 6 meses a 3 años. Con los agravantes del 264.2 (organización criminal, daños de especial gravedad o número elevado de sistemas, servicios esenciales, infraestructuras críticas o uso de medios del 264 ter), la pena es de 2 a 5 años y multa del tanto al décuplo del perjuicio. El sabotaje agravado del art. 264 bis.2 alcanza los 8 años de prisión.

¿Un ataque de denegación de servicio (DDoS) es delito?expand_more

Sí. El art. 264 bis CP castiga con prisión de 6 meses a 3 años obstaculizar o interrumpir de manera grave el funcionamiento de un sistema informático ajeno, entre otras formas introduciendo o transmitiendo datos. Si perjudica de forma relevante la actividad de una empresa o de una Administración pública, la pena se impone en su mitad superior y puede llegar a la superior en grado.

¿Es delito tener o compartir programas de hacking?expand_more

El art. 264 ter CP castiga producir, adquirir para su uso, importar o facilitar a terceros programas concebidos o adaptados principalmente para cometer daños o sabotaje informático, así como contraseñas o códigos de acceso, pero solo si se actúa sin autorización y con la intención de facilitar esos delitos. Las herramientas de doble uso empleadas en ciberseguridad profesional autorizada quedan fuera del tipo.

¿Puede una empresa responder penalmente por estos delitos?expand_more

Sí. El art. 264 quater CP prevé para la persona jurídica multas de 2 a 5 años (o del quíntuplo a doce veces el perjuicio) cuando el delito tenga prevista prisión de más de 3 años, y de 1 a 3 años (o del triple a ocho veces el perjuicio) en el resto de casos, además de las penas del art. 33.7 CP. Un modelo de compliance penal eficaz puede eximir de esa responsabilidad.

¿Qué delitos comete quien lanza un ransomware?expand_more

Cifrar los datos de la víctima y hacerlos inaccesibles encaja en los daños del art. 264 y en el sabotaje del 264 bis; exigir un rescate añade la extorsión del art. 243 CP (prisión de 1 a 5 años). Pueden concurrir además el acceso ilícito del 197 bis y, si se exfiltra información, el descubrimiento y revelación de secretos del art. 197 CP.

terminal

gavel¿Necesita defensa penal en este ámbito?

Somos abogados penalistas especialistas en abogados ciberdelitos y derecho penal tecnológico. Actuamos con urgencia para proteger sus derechos y evitar la imputación o condena.

Ver especialidadarrow_forward

Artículos Relacionados

Ver todosarrow_forward

El conocimiento es poder, pero la estrategia es clave.

Lo que lee aquí es solo el principio. Transforme la información en defensa activa contactando con nuestro equipo de expertos.

call