Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN
Análisis Jurídico

Hacking: el Delito de Acceso Ilícito a Sistemas (Art. 197 bis CP)

calendar_today18 de junio de 2026

Última actualización:

listEn este artículo

lightbulbPuntos Clave

  • check_circleAcceso a un sistema vulnerando su seguridad: 6 meses-2 años
  • check_circleEl delito se consuma con el acceso, aunque no se robe nada
  • check_circlePentesting legal solo con autorización escrita del titular
  • check_circleDaños/sabotaje van por el art. 264; secretos por el 197

Respuesta rápida

El artículo 197 bis del Código Penal castiga a quien, vulnerando las medidas de seguridad y sin autorización, accede a un sistema de información o se mantiene en él contra la voluntad de su titular, con prisión de seis meses a dos años; la interceptación de transmisiones no públicas de datos se castiga con prisión de tres meses a dos años o multa. El art. 197 ter sanciona facilitar programas o contraseñas para esos accesos, y los arts. 264 a 264 ter castigan los daños informáticos y el sabotaje. No debe confundirse con el descubrimiento de secretos (art. 197) ni con la estafa informática (art. 249).

El término hacking abarca conductas muy distintas, desde la curiosidad técnica hasta el ataque dirigido a una empresa. En el plano penal, el eje es el artículo 197 bis del Código Penal, que castiga el acceso ilícito a sistemas informáticos, complementado por la facilitación de herramientas (art. 197 ter) y por los daños informáticos o sabotaje (arts. 264 a 264 ter). Como abogados penalistas especialistas en delitos informáticos, explicamos qué conductas son delito, cómo se distinguen de figuras próximas y cómo se construye la defensa.

Qué Castiga el Art. 197 bis CP

El precepto contiene dos modalidades. La primera, el acceso ilícito: quien vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, accede o facilita a otro el acceso al conjunto o a una parte de un sistema de información, o se mantiene en él contra la voluntad de quien tiene el legítimo derecho a excluirlo. La pena es de prisión de seis meses a dos años.

La segunda modalidad, la interceptación de comunicaciones: quien, mediante artificios o instrumentos técnicos y sin autorización, intercepta transmisiones no públicas de datos informáticos que se producen desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas. La pena es de prisión de tres meses a dos años o multa de tres a doce meses. El bien jurídico protegido es la seguridad de los sistemas de información en su triple dimensión: confidencialidad, integridad y disponibilidad.

Los Elementos del Acceso Ilícito

Para que el acceso sea delito deben concurrir tres requisitos que delimitan con precisión la conducta punible:

  • Vulneración de medidas de seguridad: el sistema debía estar protegido (contraseñas, autenticación, cifrado, cortafuegos) y el autor sortea esa barrera. Acceder a un recurso abierto y sin protección no integra, por sí solo, esta exigencia.
  • Falta de autorización: el acceso se produce sin el consentimiento de quien tiene derecho a controlar el sistema. Es el núcleo del tipo y, a la vez, el principal terreno de defensa.
  • Dolo: el autor conoce y quiere acceder sin estar autorizado. No se castiga la conducta imprudente.

La consumación se produce con el acceso efectivo o con el mantenimiento en el sistema, con independencia de que se llegue a extraer información o a causar un perjuicio. Por eso el hacking puede ser delito aunque "no se haya llevado nada".

Facilitar Programas y Contraseñas (Art. 197 ter CP)

El Código adelanta la protección a los actos preparatorios. El art. 197 ter CP castiga a quien, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o facilite a terceros, con la intención de facilitar la comisión de los delitos del art. 197 o del art. 197 bis: (a) un programa informático concebido o adaptado principalmente para cometer dichos delitos; o (b) una contraseña, código de acceso o datos similares que permitan acceder al sistema. La pena es de prisión de seis meses a dos años o multa de tres a dieciocho meses.

La clave defensiva es la finalidad: muchas herramientas de seguridad (escáneres de vulnerabilidades, suites de auditoría) tienen un uso dual perfectamente legítimo. El tipo exige que el programa esté concebido principalmente para delinquir y que concurra la intención de facilitar el delito.

Daños Informáticos y Sabotaje (Arts. 264 a 264 ter CP)

Cuando el ataque no se limita a entrar, sino que destruye, altera o paraliza, entran en juego los delitos de daños informáticos:

  • Art. 264 CP — daños a datos: borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos electrónicos ajenos, sin autorización y de manera grave, con resultado grave. Pena de prisión de seis meses a tres años; en los supuestos agravados (organización criminal, daños de especial gravedad, servicios públicos esenciales, infraestructuras críticas), prisión de dos a cinco años y multa.
  • Art. 264 bis CP — sabotaje del sistema: obstaculizar o interrumpir gravemente el funcionamiento de un sistema informático ajeno. Pena de prisión de seis meses a tres años, en su mitad superior si se perjudica de forma relevante la actividad de una empresa o de una Administración; agravado hasta prisión de tres a ocho años y multa.
  • Art. 264 ter CP — herramientas de sabotaje: producir o facilitar programas o contraseñas concebidos para cometer los daños anteriores. Pena de prisión de seis meses a dos años o multa de tres a dieciocho meses.

⚠️ Las infraestructuras críticas agravan la pena

Cuando el ataque afecta a un sistema de una infraestructura crítica (energía, transporte, banca, sanidad, agua, comunicaciones) o pone en peligro grave la seguridad del Estado, las penas de los delitos de daños se elevan de forma muy notable. La calificación de los hechos como ataque a infraestructura crítica es, por ello, un punto decisivo del proceso.

Deslinde con el Descubrimiento de Secretos y la Estafa Informática

El hacking se confunde a menudo con otras figuras con las que conviene no mezclarlo:

  • Descubrimiento y revelación de secretos (art. 197 CP): protege la intimidad, no el sistema. Castiga apoderarse de datos o comunicaciones personales, o difundirlos, con penas de prisión de uno a cuatro años y multa, agravadas si se difunden. Mientras el 197 bis sanciona la intrusión en sí, el 197 sanciona el ataque a los datos personales. A menudo un mismo episodio empieza como acceso ilícito y termina afectando a la intimidad, lo que plantea un concurso a resolver caso por caso.
  • Estafa informática (art. 249 CP): exige ánimo de lucro y una transferencia patrimonial no consentida conseguida mediante manipulación informática (por ejemplo, desviar una transferencia tras comprometer la banca electrónica). Si el acceso ilícito es el medio para lograr ese desplazamiento patrimonial, la calificación correcta y la relación concursal son cuestiones técnicas centrales.

Pentesting Legítimo y Autorización

El hacking ético o pentesting —probar la seguridad de un sistema para detectar fallos— solo es lícito con autorización del titular. La defensa de un profesional de la seguridad pasa por acreditar:

  • La existencia de un contrato o encargo escrito que delimite el alcance, los sistemas autorizados y el plazo.
  • Que la actuación no desbordó el alcance pactado (no se accedió a sistemas o datos fuera del encargo).
  • El amparo en programas de divulgación responsable o bug bounty, cuando existan, como marco de la actuación.

Sin autorización acreditable, las buenas intenciones del investigador no excluyen el delito: el tipo se construye sobre la falta de consentimiento, no sobre el propósito final.

Líneas de Defensa

  1. Existencia de autorización: consentimiento del titular o contrato de auditoría que excluye el carácter no autorizado del acceso.
  2. Ausencia de vulneración de medidas de seguridad: el recurso estaba abierto o no existía barrera técnica que sortear.
  3. Discusión de la autoría: una dirección IP o un dispositivo no identifican por sí solos al autor; redes compartidas, equipos comprometidos, IP dinámicas y suplantaciones obligan a una prueba rigurosa.
  4. Impugnación de la prueba digital: integridad y cadena de custodia de logs, volcados y evidencias; validez de su obtención y, en su caso, de la cooperación internacional.
  5. Calificación y concursos: discutir el encaje entre 197 bis, 197, 264 y 249 evita penas desproporcionadas por una calificación incorrecta.
  6. Atenuantes: reparación del daño, confesión o colaboración cuando proceda.

En este ámbito, la jurisprudencia consolidada del Tribunal Supremo subraya la exigencia de vulnerar las medidas de seguridad y de un acceso no autorizado como ejes del tipo, así como el rigor en la valoración de la prueba electrónica, lo que abre un margen técnico de defensa que conviene trabajar desde el inicio.

¿Le investigan por hacking, o ha sufrido una intrusión en sus sistemas?

Ya sea como defensa frente a una acusación de acceso ilícito o como acusación particular de la empresa atacada, nuestros abogados especialistas en delitos informáticos trabajan la prueba digital y la estrategia penal.

📞 Llámenos: 91 078 65 74

⚖️ ¿Necesita un abogado penalista?

Defensa y acusación particular en delitos informáticos, acceso ilícito a sistemas, interceptación de datos y daños informáticos.

→ Ciberdelincuencia: información legal completa

Preguntas frecuentes

¿Qué castiga exactamente el artículo 197 bis del Código Penal?expand_more

Castiga dos conductas. En su apartado 1, acceder a un sistema de información (o facilitar el acceso a otro), o mantenerse en él contra la voluntad de su titular, vulnerando las medidas de seguridad y sin estar debidamente autorizado: pena de prisión de seis meses a dos años. En su apartado 2, interceptar mediante artificios técnicos transmisiones no públicas de datos informáticos, incluidas las emisiones electromagnéticas: pena de prisión de tres meses a dos años o multa de tres a doce meses.

¿Hace falta robar datos o causar un daño para que haya delito de hacking?expand_more

No. El art. 197 bis.1 CP es un delito de mera actividad: se consuma con el acceso no autorizado al sistema, vulnerando sus medidas de seguridad, aunque no se extraiga ningún dato ni se cause ningún perjuicio. Si además se borran, alteran o inutilizan datos, entra en juego el delito de daños informáticos del art. 264 CP; si se difunden datos personales reservados, el art. 197 CP.

¿Es delito el hacking ético o pentesting?expand_more

No, si se realiza con la autorización del titular del sistema. El elemento típico es el acceso sin estar debidamente autorizado; un pentesting amparado en un contrato escrito que delimite el alcance, los sistemas y el plazo queda fuera del tipo. El problema surge cuando no hay autorización, cuando se desborda el alcance pactado o cuando no puede acreditarse el consentimiento. Por eso es esencial documentar por escrito el encargo.

¿Es delito facilitar programas o contraseñas de hacking?expand_more

Sí. El art. 197 ter CP castiga a quien, sin autorización, produzca, adquiera para su uso, importe o facilite a terceros un programa informático concebido principalmente para cometer estos delitos, o una contraseña, código de acceso o datos similares que permitan entrar en el sistema, con la intención de facilitar su comisión. La pena es de prisión de seis meses a dos años o multa de tres a dieciocho meses. Existe una figura paralela para el sabotaje en el art. 264 ter CP.

¿En qué se diferencia el hacking del descubrimiento de secretos y de la estafa informática?expand_more

El art. 197 bis protege la propia integridad y confidencialidad del sistema: castiga la intrusión en sí. El art. 197 CP protege la intimidad: castiga apoderarse de datos o comunicaciones personales o difundirlos. El art. 249 CP (estafa informática) exige ánimo de lucro y una transferencia patrimonial no consentida obtenida mediante manipulación informática. Una misma operación puede empezar como acceso ilícito y derivar en cualquiera de las otras, lo que plantea problemas concursales que conviene analizar.

terminal

gavel¿Necesita defensa penal en este ámbito?

Somos abogados penalistas especialistas en hacking e intrusión informática. Actuamos con urgencia para proteger sus derechos y evitar la imputación o condena.

Ver especialidadarrow_forward

Artículos Relacionados

Ver todosarrow_forward
calendar_today22 de junio de 2026

Me Registraron el Móvil o la Nube sin Autorización: ¿Se Anula la Prueba?

El acceso al móvil, al ordenador o a la nube de un investigado exige autorización judicial específica y motivada (art. 588 sexies LECrim). Sin ella, la prueba puede ser nula (art. 11.1 LOPJ) y arrastrar a todo lo derivado.

Nulidad de PruebaRegistro de Dispositivos+3
calendar_today11 de junio de 2026

Inteligencia Artificial y Proceso Penal: Prueba, Identidad Digital y Nuevos Riesgos (Guía 2026)

Guía completa sobre el impacto de la IA y las nuevas tecnologías en el proceso penal: ataques cognitivos y deepfakes, criptografía post-cuántica, identidad digital eIDAS 2, acoso en el metaverso y neuroderechos.

IACiberdelincuencia+3
calendar_today20 de mayo de 2026

Artículo 197 CP: Descubrimiento y Revelación de Secretos (2026)

Art. 197 CP: el delito de descubrimiento y revelación de secretos, el acceso a mensajes y datos ajenos, la difusión de imágenes íntimas (197.7) y las penas…

Diccionario de Derecho PenalCódigo Penal+3

El conocimiento es poder, pero la estrategia es clave.

Lo que lee aquí es solo el principio. Transforme la información en defensa activa contactando con nuestro equipo de expertos.

Contacte con Alonso Sala
Llamar: 91 078 65 74
call