Derecho

Artículo de Quim Cano Teruel (04/12/2020)

Ciberdelincuencia en el Código Penal

Existe confusión entre conceptos como ciberdelincuencia, cibercrimen, ciberdelito y otros que habitualmente se utilizan como sinónimos. En este artículo, Quim Cano Teruel muestra los matices que permiten diferenciarlos y analiza brevemente el encaje de la ciberdelincuencia en el derecho penal español, haciendo referencia a los ciberdelitos más comunes.

Tabla de contenidos

1. Aclarando conceptos


Cibercrimen y ciberdelincuencia pueden considerarse sinónimos y tienen un matiz más bien criminológico, en el sentido que comprenden el conjunto de conductas llevadas a cabo a través de las TIC y que podemos considerar “desviadas” de lo comúnmente aceptado en un entorno social determinado. La consideración de conducta desviada no implica, per se, que se trate de un delito tipificado en el Código Penal.

Por otro lado, los ciberdelitos son las conductas típicas (principio de tipicidad) expresamente previstas y recogidas como delito en el Código Penal y cuya característica principal radica en que su objetivo o medio de comisión son los sistemas informáticos o las TIC en general. No obstante, hoy día y debido al uso extendido de las TIC, esta definición podría incluir la práctica totalidad de delitos recogidos en el Código Penal. Por ello, cabe matizar que consideraremos ciberdelitos en sentido estricto únicamente aquellas conductas en las que el Código Penal haga específica alusión a la afectación o utilización de sistemas informáticos o los que presenten una modalidad de comisión habitual a través de las TIC. 

Por último, es necesario hacer referencia a la ciberseguridad, entendida como la técnica que combina informática y telemática con el objetivo de proteger el buen funcionamiento de sistemas informáticos y redes, evitando que se comprometa o sabotee la información que por ellos circula. Así pues, la ciberseguridad puede entenderse como una medida técnica de prevención y detección de determinados ciberdelitos.

2. Marco legal


Por su propia idiosincrasia, la ciberdelincuencia no puede acotarse territorialmente de la misma manera que la tradicional, puesto que el medio donde acontece interconecta todo el planeta. Por ello, los intentos de afrontar el cibercrimen desde un punto de vista jurídico deben hacerse de forma colectiva y desde un ámbito supranacional.

En ese sentido, para entender la evolución de la normativa española en ciberdelincuencia, debemos remontarnos al Convenio sobre la Ciberdelincuencia, firmado en Hungría el 23 de febrero de 2001, aunque no fue ratificado por España hasta el 3 de junio de 2010, entrando en vigor el 1 de noviembre del mismo año. Cuenta con 56 firmantes y forman parte la mayoría de estados europeos, EEUU y varios países de América latina, entre otros. Sus objetivos principales son: armonizar la tipificación de una serie de conductas como delito entre los diferentes estados firmantes; dotar de herramientas procesales para la investigación y enjuiciamiento de ciberdelitos y establecer procedimientos de cooperación internacional.

Otro elemento clave para el desarrollo de la normativa española es el papel armonizador que desempeña la Unión Europea, como ente supranacional, de acuerdo con lo establecido en el art. 83.1 del Tratado de Funcionamiento de la Unión Europea (TFUE) que otorga competencias a la UE para definir infracciones penales y sanciones en lo referido a delincuencia informática, entre otros ámbitos. Al respecto, se han establecido Directivas y decisiones marco que han derivado en normativa interna del Estado de acuerdo al procedimiento de transposición.

Es el caso de la Directiva 2013/40/UE cuyo objetivo, explícito en el propio texto legal, es “aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, mediante el establecimiento de normas mínimas relativas a la definición de las infracciones penales y las sanciones aplicables, y mejorar la cooperación entre las autoridades competentes, incluida la policía y los demás servicios especializados encargados de la aplicación de la ley en los Estados miembros, así como los organismos especializados de la Unión, como Eurojust, Europol y su Centro Europeo contra la Ciberdelincuencia y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA)“. Precisamente la Directiva 2013/40/UE motivó las reformas de 2015 del Código Penal (CP), con la inclusión de nuevos tipos delictivos cometidos a través de las TIC, y la Ley de Enjuiciamiento Criminal (LECrim), que contempla nuevas medidas de investigación tecnológica (que dan para escribir varios artículos) y la creación de la figura del agente encubierto informático, tema tratado en Cibercrim desde el punto de vista subjetivo y objetivo.

También destaca la Directiva 2000/31/CE, que supuso la aprobación de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) que contempla y limita la responsabilidad de prestadores de servicios, operadores de red y proveedores de acceso.

Otra medida relevante en el ordenamiento español que refleja la importancia de la ciberdelincuencia ha sido la creación de la Fiscalía especializada en delitos informáticos a raíz del Real Decreto 1735/2010. Como define la Instrucción nº 2/2011, de 11 de octubre, sobre el Fiscal de Sala de Criminalidad Informática y las secciones de criminalidad informática de las Fiscalías, el objeto de esta Fiscalía comprende tres categorías: delitos cuyo objeto delictivo son los propios sistemas informáticos o las TIC (sabotaje informático, acceso sin autorización a datos, programas o sistemas informáticos, revelación de secretos, entre otros); delitos cuya actividad criminal se sirve de las TIC (estafas informáticas, delitos contra la propiedad intelectual, corrupción de menores y personas discapacitadas, pornografía infantil, entre otros) y por último, delitos cuya actividad criminal, además de servirse de las TIC, requieren conocimientos técnicos para su investigación (falsificación documental, injurias y calumnias contra funcionarios públicos, amenazas y coacciones, delitos contra la integridad moral, apología o incitación a la discriminación, el odio y la violencia, justificación de los delitos de genocidio, entre otros).

3. Clasificación penal


En España, el legislador no ha considerado los ciberdelitos de manera diferenciada o especial respecto del conjunto de tipos. Es decir, no se ha optado por la creación de un título o apartado del Código Penal donde se relacionen expresamente las conductas consideradas como ciberdelitos. En su lugar, se ha continuado con la clasificación de conductas delictivas de acuerdo al bien jurídico lesionado. De este modo, existen ciberdelitos que atentan contra la intimidad, patrimonio, libertad, honor o libertad e indemnidad sexual, entre otros. En consecuencia, se ha optado por la creación de tipos para encajar nuevas conductas y, en otros casos, se han incluido modalidades en tipos tradicionales, en ocasiones de manera algo forzada.

4. Ciberdelitos en el CP


Una vez entendido el concepto jurídico de ciberdelito y el encaje que tienen en el Código Penal, es hora de ver los principales tipos existentes, contemplando únicamente los tipos básicos y de forma superficial, pues un análisis exhaustivo daría para varios artículos monográficos sobre cada uno de ellos.

Descubrimiento y revelación de secretos


Se trata de una serie de conductas que lesionan la intimidad personal, familiar o la propia imagen de la víctima (bien jurídico protegido) mediante: el apoderamiento de documentos o la interceptación de telecomunicaciones (197.1 CP); el acceso, apoderamiento, utilización o modificación (sin permiso) de datos informáticos de carácter personal (197.2 CP). Asimismo, el art. 197.7 CP prevé un tipo específico para la difusión sin permiso de imágenes o documentos audiovisuales obtenidos con autorización de la víctima en un lugar fuera del alcance público, cuando la difusión menoscabe gravemente la intimidad de esta.

Acceso ilícito a sistemas informáticos


El art. 197 bis 1 CP prevé como delito el acceso, permanencia o facilitación del acceso a un sistema informático vulnerando las medidas de seguridad de este y contra la voluntad de su usuario legítimo. El art. 197 bis 2 CP contempla la intercepción de datos informáticos mediante artificios o medios técnicos (por ejemplo un sniffer). Otro delito que encaja en en el acceso ilícito es la producción o facilitación de programas y/o contraseñas destinadas a cometer alguno delos delitos anteriores (197 ter CP). Esta serie de conductas se encuentran comprendidas en el apartado dedicado al descubrimiento y revelación de secretos del Código Penal, no obstante, con el simple acceso al sistema ya se cumplen los elementos necesarios para su comisión.

Descubrimiento y revelación de secretos de empresa


La diferencia respecto al descubrimiento y revelación de secretos personales es que en la empresa el bien jurídico protegido no es la intimidad personal o familiar, sino el patrimonio y el orden socioeconómico. Así, el art. 278.1 CP prevé el descubrimiento en los mismos términos que el 197.1 CP, mientras que el 278.2 CP castiga la revelación del secreto. Por su parte, el art. 279 CP se refiere a la difusión, revelación o cesión del secreto llevada a cabo por quien tuviere obligación legal o contractual de reservarlo.

Daños informáticos


El apartado de daños del Código Penal contempla una serie de tipos cuyo bien jurídico protegido es el patrimonio de la víctima. Al respecto, en la reforma de 2015, el legislador optó por crear un tipo específico donde se incardinan los daños informáticos. De este modo, el art. 264 CP tipifica la conducta consistente en borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos, programas o documentos ajenos, sin autorización y de manera grave. El art. 264 bis CP hace alusión a la obstaculización o interrupción del funcionamiento de un sistema informático (por ejemplo, ataques DoS). Por su parte, el art. 264 ter CP hace referencia a la producción, adquisición o facilitación de programas (por ejemplo, un exploit) o contraseñas destinadas a cometer alguno de los delitos anteriores (art. 400 CP).

Falsedades informáticas


En este punto pueden encuadrarse todos los tipos de falsedades comunes que utilicen algún artificio informático para llevarse a cabo. En ese sentido, pueden considerarse: la falsificación de moneda y timbre (art. 386 a 389 CP); la de documento público, oficial y mercantil (art. 390 a 294 CP); de documento privado (art. 395 a 396 CP); de certificado (art. 397 a 399 CP); de tarjetas de crédito, debito o cheques de viaje (art. 399 bis CP). Del mismo modo, se consideran delito de falsificación la fabricación, recepción, obtención o tenencia de instrumentos, datos o programas informáticos destinados a la comisión de los tipos indicados.

Estafa informática


Sin duda, la estafa informática o ciberfraude se ha erigido como el delito estrella si atendemos a los datos del Portal Estadístico de Criminalidad, donde constan los delitos conocidos por el Ministerio del Interior, esto eso, las denuncias presentadas ante los cuerpos de policía que operan en territorio nacional. Al respecto, el Código Penal contempla como estafa la utilización del engaño, con ánimo de lucro, para obtener un beneficio o perjuicio sobre un tercero (art. 248 a 251 CP).

No obstante, en el art. 248.2 CP se recoge de forma expresa como estafa informática: valerse de manipulaciones informáticas o artificio semejante (por ejemplo el phishing) para la obtención no consentida de una transferencia patrimonial en perjuicio de un tercero; fabricar, poseer o facilitar programas informáticos (por ejemplo un ransomware) con tal fin; realizar operaciones con tarjetas bancarias o cheques viaje en perjuicio de su titular o de un tercero.

Defraudación de telecomunicaciones


Igual que sucede con el fluido eléctrico o el agua, las telecomunicaciones (internet, teléfono, TV de pago) pueden ser objeto de defraudación valiéndose de mecanismos destinados a tal efecto, alterando maliciosamente las indicaciones y/o contadores o por cualquier otro medio (art. 255 CP). En la misma línea, el art. 256 CP prevé la utilización de un terminal de telecomunicaciones sin permiso de su titular y causándole un perjuicio económico.

Ciberdelitos sexuales


En este apartado pueden considerarse todos los tipos tradicionales de abuso sexual contemplados en el art. 181 y siguientes del Código Penal. Además, de forma específica debe destacarse el art. 183 ter CP, conocido como child grooming, que contempla como punible la utilización de las TIC para contactar con un menor de 16 años y embaucarlo para concertar un encuentro con el fin de llevar a cabo actos previstos en los art. 183 a 189 CP (183 ter 1 CP) o para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor (183 ter 2 CP).

Como sucede con los tipos de abuso sexual, el acoso sexual (art. 184 CP) llevado a cabo a través de las TIC también debe atribuirse a la categoría de ciberdelitos sexuales. En la misma línea, cabe considerar el exhibicionismo obsceno (art. 185 CP) ante menores de edad o discapacitados necesitados de especial protección, la venta o difusión de material pornográfico a estos (art. 186 CP) y los delitos relativos a la prostitución, explotación sexual y corrupción de menores (art. 187 a 189 bis CP).

Delitos contra la propiedad intelectual


Al respecto, cabe destacar la reproducción, plagio, distribución o comunicación pública de una obra con ánimo de lucro y sin autorización de los titulares de los derechos de propiedad intelectual (art. 270.1 CP) y la facilitación activa y con ánimo de lucro del acceso o localización en internet, especialmente mediante listados (links), de obras protegidas sin autorización de los titulares de los derechos de propiedad intelectual (art. 270.2 CP). Del mismo modo, se incardinan en este tipo: el hecho de eliminar, modificar las medidas tecnológicas destinadas a proteger obras para favorecer la comisión de alguna de las conductas de los tipos comentados (art. 270.5 apartado C); la elusión o facilitación de estas medidas tecnológicas (por ejemplo, mediante un crack) para facilitar a un tercero el acceso a una obra protegida (art. 270.5 apartado D) y la fabricación, importación, distribución o posesión con fines comerciales de cualquier medio destinado a neutralizar dispositivos técnicos utilizados para proteger programas informáticos u obras protegidas (art. 270.6 CP). 

Delitos contra el honor


En esta ocasión el bien jurídico protegido es el honor, que puede verse lesionado mediante calumnias e injurias. La calumnia, prevista en el art. 205 CP, consiste en la imputación de un delito con conocimiento de su falsedad. La injuria, tipificada en el art. 208 CP, es la acción expresión destinada a mermar la dignidad personal (por ejemplo, mediante insultos). Un elemento destacable que agrava las penas de ambos tipos es el de la publicidad, que suele concurrir cuando se difunden los mensajes a través de, por ejemplo, redes sociales o grupos de mensajería (art. 211 CP).

Amenazas y coacciones


Las amenazas y coacciones constituyen el segundo grupo de ciberdelitos más denunciados, solo superados por el ciberfraude. En el caso de las amenazas (art. 169 a 171 CP) las conductas en el entorno virtual no distan de las del físico, si bien cabe destacar como habitual el chantaje que se produce cuando, por ejemplo, el autor obtiene una imagen comprometida de la víctima y amenaza con difundirla si esta no le recompensa con alguna cantidad económica o similar (art. 271.2 CP).

En cuanto a las coacciones (art. 172 a 172 ter CP), sucede como con las amenazas y las conductas llevadas a cabo a través de las TIC se asemejan a las del mundo físico. No obstante, destaca el conocido como ciberacoso o ciberstalking (art. 172 ter CP), consistente en el establecimiento de contacto de forma reiterada e insistente por parte del autor respecto de la víctima, alterando gravemente el desarrollo de su vida cuotidiana.

Odio y apología del terrorismo


El uso masivo de redes sociales y aplicaciones de mensajería ha propiciado el incremento de conductas como el del delito de odio y la apología del terrorismo. En cuanto al primero, se trata de una conducta que atenta contra derechos fundamentales y libertades básicas (bien jurídico protegido), que castiga a quienes directa o indirectamente y de manera pública fomenten, promuevan, inciten al odio, hostilidad, discriminación o violencia por motivos racistas, antisemitas u otros referentes a la ideología, religión o creencias, situación familiar, la pertenencia de sus miembros a una etnia, raza o nación, su origen nacional, su sexo, orientación o identidad sexual, por razones de género, enfermedad o discapacidad (art. 510 CP).

Respecto a la apología del terrorismo (art. 578 CP), se refiere al enaltecimiento o justificación pública del terrorismo, de manera agravada cuando hubiere difusión a través de las TIC.

Copie para citar este artículo (APA)

Quim Cano Teruel (04/12/2020), “Ciberdelincuencia en el Código Penal” [Cibercrim]. Fecha de consulta: 24/01/2021. Disponible en: https://cibercrim.com/ciberdelincuencia-en-el-codigo-penal/.

Graduado en Derecho, Máster en Ciberdelincuencia, Técnico Superior en Gestión Comercial y Márketing.
Fundador de Cibercrim. Dos décadas dedicadas a la ciberseguridad primero y a la seguridad pública después.

Share on twitter
Share on linkedin
Share on facebook
Share on whatsapp
Share on telegram
Share on email

Artículos recientes