Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN

Abogado Acceso Ilícito a Datos

Defensa penal en acceso no autorizado a sistemas informáticos e interceptación de telecomunicaciones (Art. 197 CP).

Última actualización:

El acceso ilícito a datos informáticos constituye un delito de creciente importancia en la era digital. Regulado en los artículos 197 bis y 197 ter del Código Penal, castiga a quien accede a un sistema informático o intercepta comunicaciones electrónicas vulnerando medidas de seguridad, sin autorización del titular. Es un tipo penal autónomo de la familia de los delitos contra la intimidad, que protege la seguridad informática como bien jurídico independiente.

Modalidades Delictivas

El Art. 197 bis CP contempla dos conductas: el acceso ilícito a sistemas informáticos (hacking en sentido estricto) y la interceptación de transmisiones no públicas de datos. La primera requiere vulnerar medidas de seguridad (contraseñas, firewalls, cifrado); la segunda abarca la captación de comunicaciones en tránsito mediante sniffers, ataques man-in-the-middle o interceptación de señales WiFi. El Art. 197 ter castiga la producción, adquisición o facilitación de herramientas diseñadas para cometer estos delitos.

Penas y Agravantes

El acceso ilícito básico se castiga con prisión de 6 meses a 2 años. Si se revelan los datos obtenidos, la pena asciende a 2 a 5 años (Art. 197.3 CP). Si los datos afectan a la intimidad personal (datos de salud, orientación sexual, ideología), la pena se agrava. Si el acceso afecta a infraestructuras críticas (sistemas sanitarios, redes eléctricas, sistemas bancarios), las penas pueden alcanzar los 5 a 7 años. La condición de funcionario público del autor o la pertenencia a organización criminal son circunstancias agravantes adicionales.

Técnicas de Ataque Más Comunes

Las técnicas de acceso ilícito que los tribunales han enjuiciado incluyen: phishing (suplantación de identidad para obtener credenciales), fuerza bruta (prueba sistemática de contraseñas), explotación de vulnerabilidades de software (zero-day exploits), ingeniería social (manipulación psicológica para obtener acceso), ataques de red (ARP spoofing, DNS hijacking), instalación de malware (troyanos, keyloggers, RATs) y el uso de credenciales filtradas de bases de datos comprometidas.

Protección de Datos Empresariales

El acceso ilícito a datos empresariales tiene una dimensión adicional: puede constituir espionaje industrial (revelación de secretos empresariales, Art. 278 CP), infidelidad de empleado (cuando es un trabajador quien accede a datos que no le corresponden), o sabotaje informático (borrado o alteración de datos, Art. 264 CP). Las empresas están obligadas por el RGPD a notificar las brechas de seguridad a la AEPD en 72 horas, y a los afectados sin dilación indebida.

Colaboración con la Justicia: El Ethical Hacking

El hacking ético o pentesting es la actividad de probar la seguridad de sistemas informáticos con autorización del titular. Requiere un contrato escrito que delimite el alcance, duración y sistemas autorizados. La inexistencia de este contrato convierte la actividad en acceso ilícito punible, con independencia de las buenas intenciones del investigador. Los programas de bug bounty de las empresas tecnológicas ofrecen un marco legal para la detección responsable de vulnerabilidades.

Investigación Forense

La investigación de los delitos de acceso ilícito requiere pericias de informática forense: análisis de logs de acceso, trazado de direcciones IP (con autorización judicial), recuperación de datos borrados, análisis de malware, estudio de metadatos y reconstrucción de la cadena de acciones del atacante. La cadena de custodia digital es fundamental: cualquier alteración de las evidencias electrónicas puede invalidar las pruebas. Los Cuerpos y Fuerzas de Seguridad del Estado cuentan con unidades especializadas: la UIT de la Policía Nacional y el Grupo de Delitos Telemáticos de la Guardia Civil.

Estrategias de Defensa

La defensa en casos de acceso ilícito puede articularse demostrando: que existía autorización del titular del sistema (expresa o tácita), que no se vulneraron medidas de seguridad (los datos eran accesibles públicamente), que el acceso fue accidental (se encontró con datos abiertos sin intención de acceder a ellos), que la IP identificada no corresponde al acusado (WiFi abierta, VPN compartida, suplantación de IP) o que se actuaba en el marco de un programa de bug bounty legítimo. La complejidad técnica de estos casos hace especialmente relevante la pericia forense independiente.

Procedimiento, plazos y tribunal competente en el acceso ilícito

El acceso ilícito a un sistema de información se persigue por los cauces ordinarios del proceso penal. La instrucción corresponde al Juzgado de Instrucción del lugar donde se cometió el delito, que en la criminalidad informática suele fijarse en el punto desde el que se actuó o en aquel donde se produjo el resultado lesivo. Una vez concluida la investigación, el enjuiciamiento corresponde al Juzgado de lo Penal cuando la pena máxima no supera los cinco años, lo que sucede en todas las modalidades de los artículos 197 bis y 197 ter, cuyas penas se mueven entre tres meses y dos años de prisión.

Conviene aclarar un equívoco frecuente: estos delitos no se enjuician en la Audiencia Nacional por el simple hecho de tener un componente tecnológico o transfronterizo. La Audiencia Nacional solo asume la competencia cuando concurre alguno de los títulos tasados que la ley le atribuye, o por conexión expresa con otro procedimiento que sí le corresponda. Fuera de esos supuestos, la sede natural es el Juzgado de lo Penal, y la Audiencia Provincial solo entraría si la calificación final arrastrase un delito conexo cuya pena superase los cinco años.

La defensa interviene desde la primera fase de la instrucción: solicitando diligencias que delimiten quién accedió realmente al sistema, impugnando la atribución de la conducta cuando se sustenta únicamente en una dirección IP o en datos de conexión sin prueba de autoría personal, y vigilando que la imputación se ajuste a la conducta concreta y no a una calificación inflada. Cada decisión sobre la práctica de prueba en esta fase condiciona el margen de actuación en el juicio oral.

La prueba forense digital y la licitud de su obtención

En los delitos de acceso e interceptación ilícitos, la prueba es casi siempre digital: registros de conexión, copias forenses de dispositivos, metadatos, capturas de tráfico de red o informes periciales sobre la vulneración de las medidas de seguridad. La cuestión decisiva no es solo qué muestra esa prueba, sino cómo se ha obtenido. El artículo 18.3 de la Constitución garantiza el secreto de las comunicaciones, y cualquier injerencia exige resolución judicial motivada, proporcionada y previa.

La Ley de Enjuiciamiento Criminal regula con detalle estas medidas. La interceptación de comunicaciones telemáticas se somete a los artículos 588 ter a y siguientes; el acceso al contenido de ordenadores, teléfonos y soportes informáticos incautados requiere la autorización específica del artículo 588 sexies, que no se entiende cubierta por la mera ocupación material del dispositivo. Un volcado de datos practicado sin esa habilitación, o desbordando su alcance, abre la puerta a la nulidad de la prueba.

La defensa examina la cadena de custodia de cada evidencia: si la copia forense se hizo con métodos que garanticen su integridad mediante valores de verificación, si hubo control judicial efectivo y si la pericial es reproducible y contrastable. Cuando la prueba nuclear se obtiene con vulneración de derechos fundamentales, opera la regla de exclusión y su efecto reflejo sobre las pruebas derivadas, lo que puede vaciar de contenido la acusación. Por eso el análisis de licitud probatoria suele ser el eje de la estrategia.

Fronteras con delitos próximos: estafa informática, daños, blanqueo y deepfakes

El acceso ilícito raramente aparece aislado. Cuando, además de entrar en el sistema, se consigue una transferencia patrimonial no consentida mediante manipulación informática, la conducta se desplaza a la estafa informática del artículo 249.1.a del Código Penal, con pena de seis meses a tres años de prisión; no es el antiguo 248.2, hoy reordenado. Si lo que se produce es el borrado, alteración o inutilización de datos o programas ajenos, el tipo aplicable es el de daños informáticos del artículo 264 y concordantes, que protege un bien jurídico distinto.

En la cadena del fraude informático aparece con frecuencia la figura del intermediario que recibe y reenvía fondos de origen ilícito, el llamado mulero. La clave de su defensa está en la prueba del conocimiento: si actuó con dolo eventual, asumiendo la alta probabilidad del origen delictivo, o si concurre la modalidad imprudente del blanqueo del artículo 301.3, castigada con prisión de seis meses a dos años, o incluso si falta por completo el elemento subjetivo exigible. Esa línea, a menudo borrosa, decide la calificación y la pena.

Mención aparte merecen las imágenes manipuladas. El artículo 197.7 castiga la difusión de imágenes íntimas obtenidas con anuencia de la persona y divulgadas después sin su consentimiento, pero parte de un material real. Las imágenes íntegramente sintéticas generadas con inteligencia artificial, que no captan una imagen real de la víctima, no encajan con naturalidad en ese tipo, lo que genera una laguna. Frente a montajes plenamente artificiales de contenido sexual sobre personas adultas, la vía suele ser el delito contra la integridad moral del artículo 173, por la humillación grave que supone la cosificación, con independencia de que la imagen sea o no auténtica.

Prescripción y conformidad: dos variables que conviene calcular pronto

La prescripción se calcula conforme al artículo 131 del Código Penal en función de la pena máxima señalada al delito. Todas las modalidades de los artículos 197 bis y 197 ter tienen su techo en dos años de prisión, por lo que se sitúan en el tramo de delitos cuya pena máxima no excede de cinco años: prescriben a los cinco años. No existe en el sistema vigente un tramo intermedio de tres años para estas figuras; ese plazo desapareció con la reforma del propio artículo 131. El cómputo arranca el día en que se cometió la infracción y se interrumpe cuando el procedimiento se dirige de forma efectiva contra la persona investigada.

Cuando concurren delitos conexos más graves, el plazo de prescripción se mide sobre la pena del delito más severo del conjunto que se enjuicia, de modo que una estafa informática asociada puede arrastrar un horizonte temporal distinto. Por eso conviene fijar desde el inicio qué calificación maneja la acusación y desde qué fecha corre el reloj, porque un cómputo bien planteado puede cerrar el procedimiento antes de juicio.

La conformidad es otra variable que se valora de forma temprana. Un acuerdo de conformidad permite, en su caso, una reducción de la pena y un cierre más rápido del procedimiento, y cobra especial sentido cuando la prueba de cargo es sólida y la rebaja de pena resulta sustancial. No es una decisión automática: solo procede tras estudiar la consistencia de la prueba, la posible exclusión de evidencias obtenidas sin garantías y la concurrencia de atenuantes como la reparación del daño. La defensa contrasta cada escenario con quien afronta el procedimiento para que la elección entre defender el juicio o pactar responda a un cálculo informado.

balance

Penas y Consecuencias: Acceso Ilícito a Datos

Tipo / SupuestoConsecuencia Penal
Acceso ilícito (Art. 197 bis CP)Prisión 6m-2a por acceder a sistema informático vulnerando seguridad.
Interceptación (Art. 197 bis.2 CP)Prisión 6m-2a por interceptar transmisiones no públicas.
Facilitación (Art. 197 ter CP)Prisión 6m-2a por facilitar herramientas de acceso ilícito.

* Las penas indicadas son orientativas. La pena concreta depende de las circunstancias del caso, atenuantes y agravantes aplicables.

shield_lock

Estrategia de Defensa: Acceso Ilícito a Datos

gavel01

Ausencia de Medidas

Si no había protección activa, no puede haber vulneración.

gavel02

Autorización

Acceso autorizado sin exceder permisos concedidos.

gavel03

Bug Bounty

Pentesting autorizado no es acceso ilícito.

Guía de Defensa en Ciberdelincuencia: Hacking, Phishing y Daños Informáticos

La ciberdelincuencia abarca el acceso ilegal a sistemas informáticos (Art. 197 bis CP), los daños informáticos y ransomware (Art. 264 CP), el phishing y fraude digital (Art. 249.1.a CP), y la producción o distribución de herramientas de hacking (Art. 197 ter). La persecución de la ciberdelincuencia en España se ha intensificado con unidades especializadas como la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional y el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil. La defensa requiere una combinación única de conocimiento jurídico penal y pericia técnica avanzada.

Cuadro de Penas: Ciberdelincuencia

DelitoArtículoDescripciónPena
Acceso ilegal a sistemasArt. 197 bisAcceso no autorizado vulnerando medidas de seguridad6 meses – 2 años
Interceptación de datosArt. 197 bis.2Interceptación de transmisiones de datos no públicas3 meses – 2 años
Producción/distribución de herramientasArt. 197 terCrear o distribuir programas diseñados para ciberdelitos6 meses – 2 años
Daños informáticos (básico)Art. 264.1Borrar, dañar o hacer inaccesibles datos6 meses – 3 años
Daño agravado (infraestructura crítica)Art. 264.2Afectar servicios esenciales o infraestructura crítica2 – 5 años prisión
Fraude informático (phishing)Art. 249.1.aManipulación informática para obtener transferencia patrimonial6 meses – 3 años

Estrategias Clave de Defensa en Ciberdelincuencia

Impugnación de atribución IP

Una dirección IP no identifica a una persona. Redes Wi-Fi compartidas, VPN, nodos de salida Tor y configuraciones NAT permiten que múltiples usuarios compartan una IP. La acusación debe probar que el acusado fue el usuario real en el momento relevante.

Cadena de custodia digital

La evidencia digital es extremadamente frágil. Si la policía no clonó el disco con un bloqueador de escritura, si los valores hash no coinciden o si la evidencia fue manipulada, la defensa puede solicitar la exclusión de toda la cadena de evidencia digital.

Pruebas de seguridad autorizadas

El hacking ético y las pruebas de penetración realizadas con autorización del propietario del sistema son legales. Si el acusado tenía un contrato de auditoría, acuerdo de bug bounty o política de revelación responsable, no hay delito.

Ausencia de 'vulneración de medidas de seguridad'

El Art. 197 bis exige que se vulneraran medidas de seguridad. Si el sistema no tenía contraseña, ni firewall, o el punto de acceso era público, puede faltar el elemento de 'vulneración de seguridad', negando el tipo penal.

gavel

¿Por Qué Elegirnos?

¿Necesita un abogado penalista para este tipo de delito? Así trabajamos:

check
Ausencia de VulneraciónDemostrar que no se vulneraron medidas de seguridad (ej. contraseñas compartidas, acceso público).
check
Fines LegítimosAcreditar que el acceso se realizó con fines de investigación de seguridad (ethical hacking) o auditoría autorizada.
workspace_premium
+15 Años de ExperienciaEquipo dedicado en exclusiva al derecho penal ante juzgados y tribunales.
support_agent
Atención DirectaSu caso lo lleva directamente un abogado titular del despacho.
Consultar Mi Casoarrow_forward

¿Necesita Asistencia Legal Especializada?

El sistema judicial es complejo. Contamos con la especialización penal y los recursos técnicos necesarios para asumir la defensa.

call