![Alejandro Seoane Pedreira [Abogado Penalista ] [ Gestión Patrimonio Inmobiliario ]](https://seoanepedreira.com/wp-content/uploads/2022/11/transparent-File.png)
Apagar de golpe el servidor de una empresa, borrar la base de datos de clientes de una tienda online o infectar el sistema de una pyme con un malware que deja todo inaccesible no son solo “incidencias informáticas”. En muchos casos, estas conductas encajan en el delito de daños informáticos y pueden conllevar penas de prisión importantes según el Código Penal.
Qué es el delito de daños informáticos según el Código Penal
El delito de daños informáticos es una modalidad específica del delito de daños que protege el patrimonio en su dimensión digital: datos, programas y sistemas informáticos. Está regulado principalmente en el artículo 264 del Código Penal, dentro de los delitos contra el patrimonio y el orden socioeconómico.
En términos sencillos, se comete cuando alguien, sin autorización y de forma grave, provoca un perjuicio relevante en datos o sistemas informáticos ajenos. No hace falta “romper” físicamente el ordenador: es suficiente con atacar el software o la información que contiene.
La ley castiga tanto el daño directo a los datos (por ejemplo, borrar o alterar archivos) como el sabotaje del funcionamiento del sistema (por ejemplo, dejar inoperativa una web corporativa o un servidor).
Conductas que pueden constituir daños informáticos
El Código Penal menciona de forma expresa distintas acciones que, si se realizan sin permiso y de forma grave, pueden integrar este delito:
- Borrar datos, programas o documentos electrónicos ajenos.
- Dañar o deteriorar información o programas (por ejemplo, corromper una base de datos).
- Alterar datos (modificar registros de forma no autorizada).
- Suprimir o ocultar documentos electrónicos relevantes.
- Hacer inaccesibles los datos o sistemas (por ejemplo, cifrarlos con ransomware o bloquear accesos).
- Obstaculizar o interrumpir gravemente el funcionamiento de un sistema informático ajeno.
- Introducir o transmitir datos o programas maliciosos que provoquen ese daño (malware, ataques de denegación de servicio, etc.).
Todo ello debe recaer sobre bienes informáticos ajenos, es decir, sobre datos, programas o sistemas que no pertenecen al autor. El daño sobre los propios sistemas, aunque pueda tener consecuencias contractuales o civiles, no encaja en este tipo penal.
Requisitos para que exista delito de daños informáticos
No cualquier incidencia o fallo informático es un delito. Para que hablemos de delito de daños informáticos deben concurrir una serie de requisitos mínimos que los tribunales analizan caso por caso.
Falta de autorización y conducta dolosa
En primer lugar, la actuación debe realizarse sin autorización del titular del sistema o de los datos. Es decir, no basta con que exista un error o una mala práctica técnica; tiene que haber una intromisión ilegítima en un sistema ajeno o un uso del acceso legítimo con finalidad de causar daño.
Además, se exige intención de dañar (el llamado animus damnandi). No es necesario que el autor busque un beneficio económico, pero sí que quiera, de forma consciente, perjudicar el patrimonio informático de otro. Un error de programación o una mala actualización que borra datos sin querer, en principio, no será delito, aunque pueda generar responsabilidad civil o contractual.
Gravedad del resultado y perjuicio patrimonial
Otro elemento clave es que el resultado debe ser grave. La ley no fija una cifra económica concreta, pero la jurisprudencia valora:
- La entidad económica del daño (coste de recuperación, pérdidas de negocio, horas de trabajo perdidas, etc.).
- La relevancia funcional del sistema afectado (si se trata de un servidor crítico, una web de comercio electrónico, un sistema de gestión, etc.).
- La duración de la interrupción o inaccesibilidad.
- El número de afectados (usuarios, clientes, empleados).
En definitiva, debe existir un perjuicio patrimonial evaluable económicamente, aunque también se tienen en cuenta daños reputacionales o de confianza en la empresa o profesional afectado.
Qué bienes protege el delito de daños informáticos
El objeto protegido por este delito no es el ordenador en sí, sino el patrimonio informático conectado a él. La norma protege, principalmente:
- Datos informáticos: bases de datos de clientes, historiales médicos, ficheros contables, correos electrónicos, etc.
- Programas informáticos: aplicaciones de gestión, software a medida, sistemas de facturación, etc.
- Documentos electrónicos: contratos, informes, expedientes electrónicos, documentos escaneados y firmados digitalmente.
- Sistemas informáticos: servidores, redes, páginas web, plataformas en la nube, sistemas de control industrial, etc.
Cuando el ataque va dirigido únicamente contra elementos físicos (hardware) que no forman parte operativa de un sistema informático (por ejemplo, romper un monitor o un teclado), la conducta suele encajar en el delito de daños “tradicional” del artículo 263 del Código Penal, no en el delito de daños informáticos.
Cuándo se agrava el delito de daños informáticos
El Código Penal prevé supuestos en los que el delito de daños informáticos se castiga con penas más altas, por la especial peligrosidad o trascendencia social de la conducta.
Supuestos de especial gravedad
Se consideran especialmente graves, entre otros, los siguientes escenarios:
- Cuando el delito se comete en el marco de una organización criminal.
- Cuando se causan daños de especial gravedad o se afectan numerosos sistemas informáticos (por ejemplo, ataques masivos a cientos de servidores).
- Cuando se perjudica gravemente el funcionamiento de servicios públicos esenciales (sanidad, transporte, energía, agua, etc.) o la provisión de bienes de primera necesidad.
- Cuando se ataca el sistema de una infraestructura crítica (centrales eléctricas, redes de telecomunicaciones, sistemas bancarios esenciales, etc.) o se genera una situación de peligro grave para la seguridad del Estado, de la Unión Europea o de otro Estado miembro.
- Cuando se utiliza alguno de los medios especialmente peligrosos contemplados en el artículo 264 ter (por ejemplo, herramientas diseñadas específicamente para causar daños masivos o automatizados).
En estos casos, las penas pueden llegar a ser sensiblemente superiores, especialmente si los hechos se consideran de extrema gravedad, permitiendo al tribunal aplicar la pena en su tramo máximo o incluso en grado superior.
Penas previstas para el delito de daños informáticos
Las penas del delito de daños informáticos varían en función de la gravedad del resultado y de las circunstancias concretas del caso. A grandes rasgos, el Código Penal prevé:
| Supuesto | Conducta | Penas orientativas |
|---|---|---|
| Tipo básico | Borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas o documentos electrónicos ajenos de forma grave. | Prisión de 6 meses a 3 años (según gravedad y perjuicio). |
| Sabotaje del sistema | Obstaculizar o interrumpir gravemente el funcionamiento de un sistema informático ajeno (por ejemplo, ataques de denegación de servicio). | En la práctica, se mueve en rangos similares al tipo básico, con posibilidad de agravación. |
| Formas agravadas | Organización criminal, daños de especial gravedad, servicios esenciales, infraestructuras críticas, peligro grave para la seguridad del Estado o uso de medios del art. 264 ter. | Prisión de 2 a 5 años y multa del tanto al décuplo del perjuicio causado. Si los hechos son de extrema gravedad, se puede imponer la pena superior en grado. |
| Uso ilícito de datos personales | Cuando para cometer el delito se utilizan datos personales de otra persona para acceder al sistema o para ganarse la confianza de un tercero. | Las penas se aplican en su mitad superior dentro del rango que corresponda. |
Además de la pena de prisión y la multa, el condenado debe indemnizar a la víctima por los daños y perjuicios causados, lo que en entornos empresariales puede suponer cantidades elevadas (pérdida de datos, lucro cesante, costes de recuperación, reputación, etc.).
Diferencias entre daños informáticos y otros delitos informáticos
En la práctica, los ataques informáticos suelen dar lugar a varios delitos a la vez. Es importante distinguir el delito de daños informáticos de otras figuras penales con las que frecuentemente concurre.
Daños informáticos y descubrimiento y revelación de secretos
Cuando el ciberdelincuente no solo causa un daño, sino que además accede a datos reservados (por ejemplo, datos personales o empresariales confidenciales) o los difunde, puede apreciarse también un delito de descubrimiento y revelación de secretos.
En estos casos, los tribunales suelen apreciar un concurso de delitos: por un lado, el acceso o la revelación de secretos; por otro, el daño informático (borrado, alteración o inaccesibilidad de los datos). Esto incrementa el riesgo penal para el acusado.
Daños informáticos y delitos económicos o de estafa
Si el ataque informático se realiza con la finalidad de obtener un beneficio económico (por ejemplo, manipular saldos bancarios, desviar fondos o facturar servicios inexistentes), junto al daño informático pueden concurrir:
- Delitos de estafa informática.
- Delitos económicos (administración desleal, apropiación indebida, etc.).
En estos supuestos, la estrategia de defensa y la cuantificación de los daños y perjuicios se vuelven especialmente complejas, y es fundamental contar con un abogado penalista especializado en delitos informáticos y, en muchos casos, con un perito informático que acredite técnicamente lo ocurrido.
Cómo saber si un ataque constituye delito de daños informáticos
Muchas empresas y particulares sufren incidentes informáticos sin saber si realmente pueden denunciar penalmente. Para valorar si estamos ante un delito de daños informáticos, conviene hacerse algunas preguntas básicas.
Preguntas clave para valorar la existencia de delito
- ¿Ha habido una intervención humana intencionada? O se trata más bien de un fallo técnico, una avería o un error de configuración.
- ¿La persona que actuó tenía autorización para hacer lo que hizo? Un administrador de sistemas puede tener acceso, pero no autorización para borrar todo un servidor.
- ¿El daño es relevante? ¿Se han perdido datos esenciales? ¿Se ha paralizado la actividad? ¿Ha habido pérdidas económicas relevantes?
- ¿Se han hecho inaccesibles los datos o sistemas? Aunque no se hayan borrado físicamente, si no pueden utilizarse, el daño puede ser equiparable.
- ¿Existen indicios de ataque externo? Intentos de acceso no autorizado, malware, cambios de contraseñas, conexiones sospechosas, etc.
Responder a estas cuestiones, y sobre todo recoger pruebas desde el primer momento, es fundamental para que un abogado penalista pueda valorar la viabilidad de una denuncia por daños informáticos.
Qué hacer si se ha sufrido un daño informático
Ante un incidente que pueda encajar en el delito de daños informáticos, la rapidez y la forma de actuar son decisivas tanto para limitar el perjuicio como para poder reclamar responsabilidades penales y civiles.
Pasos iniciales ante un posible delito de daños informáticos
- Conservar la evidencia: evitar formatear equipos o borrar registros sin asesoramiento técnico. Los logs, correos, capturas de pantalla y copias de seguridad pueden ser pruebas clave.
- Contactar con un profesional informático: un perito o experto en sistemas puede ayudar a contener el incidente y documentar técnicamente lo ocurrido.
- Valorar el alcance del daño: qué datos se han perdido, cuánto tiempo ha estado el sistema inoperativo, qué impacto económico y organizativo ha tenido.
- Recopilar documentación: contratos de servicios informáticos, comunicaciones con proveedores, correos internos, políticas de acceso, etc.
Con esta información, un abogado penalista especialista en delitos informáticos puede estudiar si concurren los requisitos del delito y diseñar la estrategia jurídica adecuada.
Denuncia y procedimiento penal
Si existen indicios sólidos, el siguiente paso suele ser la presentación de una denuncia ante Policía, Guardia Civil o directamente en el Juzgado de Guardia. En dicha denuncia se deben detallar:
- Los hechos ocurridos (qué, cuándo, cómo, quién puede estar implicado).
- Los sistemas afectados y el tipo de datos dañados.
- El perjuicio sufrido (económico, organizativo, reputacional).
- Las pruebas disponibles (informes técnicos, capturas de pantalla, registros, etc.).
En muchas ocasiones, es recomendable acompañar la denuncia de un informe pericial informático o, al menos, solicitar desde el inicio la intervención de especialistas para asegurar la cadena de custodia de las evidencias digitales.
Importancia del perito informático en el delito de daños informáticos
En los procedimientos penales por delito de daños informáticos, la prueba técnica es determinante. Los jueces y fiscales no son expertos en sistemas, por lo que necesitan apoyarse en peritos informáticos que expliquen qué ha ocurrido y cuál ha sido el alcance real del daño.
Qué aporta un informe pericial informático
El informe pericial informático suele recoger, entre otros aspectos:
- Los motivos de la reclamación y la descripción técnica del incidente.
- La existencia real del daño y su impacto en los datos, programas o documentos electrónicos.
- El origen y trazabilidad de las pruebas digitales (logs, ficheros, registros de acceso).
- Los métodos y herramientas utilizados para el análisis.
- Las medidas adoptadas para preservar la integridad de las pruebas (cadena de custodia).
- Una estimación económica de los daños y perjuicios sufridos.
Este documento sirve de base para que el tribunal pueda valorar la existencia del delito y fijar, en su caso, la indemnización correspondiente a la víctima.
Cadena de custodia y validez de la prueba
En materia de delitos informáticos, es esencial que las pruebas se obtengan y conserven respetando la llamada cadena de custodia. Cualquier manipulación indebida puede hacer que la prueba sea cuestionada o incluso declarada nula.
El perito informático se encarga de:
- Extraer la información de forma forense (copias espejo, imágenes de disco, etc.).
- Documentar cada paso del proceso, indicando quién accede a las pruebas y en qué condiciones.
- Garantizar que los archivos no se han modificado desde su obtención.
- Explicar en juicio, de forma clara, el contenido y las conclusiones del informe.
Indemnización por daños informáticos
Además de la responsabilidad penal, el autor del delito de daños informáticos debe afrontar la responsabilidad civil, es decir, la obligación de reparar el daño causado.
Criterios para calcular la indemnización
No existe un baremo cerrado, pero los tribunales suelen tener en cuenta:
- El valor económico de los datos o programas dañados.
- El coste de recuperación (recuperación de backups, reconstrucción de bases de datos, horas de trabajo, contratación de especialistas, etc.).
- El lucro cesante: beneficios que la empresa ha dejado de obtener por la paralización de la actividad.
- El daño reputacional y la pérdida de confianza de clientes o usuarios, cuando pueda cuantificarse.
En negocios digitales o que dependen fuertemente de la tecnología (comercios online, despachos profesionales, clínicas, etc.), estas cantidades pueden ser muy significativas, por lo que es fundamental documentar bien el impacto económico del incidente.
Prevención del delito de daños informáticos en empresas y particulares
Aunque el delito de daños informáticos permite reaccionar penalmente frente a un ataque, la mejor estrategia siempre es la prevención. Un incidente grave puede comprometer la continuidad de un negocio, especialmente en pymes y profesionales.
Medidas técnicas básicas de protección
- Antivirus y antimalware de calidad, con actualizaciones automáticas y análisis periódicos.
- Actualización del software y aplicación de parches de seguridad en sistemas operativos y aplicaciones.
- Cortafuegos (firewall) bien configurado para controlar el tráfico de red y bloquear accesos no autorizados.
- Copias de seguridad frecuentes, automatizadas y almacenadas en ubicaciones seguras (incluyendo copias offline).
- Gestión de accesos y contraseñas (políticas de contraseñas robustas, autenticación de doble factor, control de permisos).
Estas medidas no eliminan completamente el riesgo, pero reducen de forma significativa la probabilidad y el impacto de un ataque, lo que también influye en la valoración jurídica de la diligencia de la empresa o profesional afectado.
Formación y protocolos internos
La seguridad no es solo una cuestión técnica. Muchos delitos de daños informáticos se facilitan por errores humanos:
- Apertura de correos de phishing.
- Uso de contraseñas débiles o compartidas.
- Instalación de software no autorizado.
Por ello, es recomendable:
- Formar periódicamente al personal en buenas prácticas de ciberseguridad.
- Establecer protocolos claros de acceso, uso de dispositivos y respuesta ante incidentes.
- Revisar periódicamente la política de seguridad con apoyo de especialistas.
Asesoramiento de un abogado penalista en daños informáticos en Madrid y A Coruña
Los procedimientos por delito de daños informáticos combinan cuestiones técnicas complejas con una valoración jurídica detallada de la intención, la autorización, la gravedad del daño y la concurrencia con otros delitos penales.
Contar con un abogado penalista especializado en delitos informáticos permite:
- Analizar si un incidente encaja realmente en el tipo penal de daños informáticos.
- Definir la estrategia de denuncia más adecuada y la forma de presentar las pruebas.
- Coordinar la intervención de peritos informáticos para reforzar la acusación o la defensa.
- Reclamar la máxima indemnización posible por los perjuicios sufridos o, en el caso del investigado, minimizar el impacto penal y económico.
Ante cualquier sospecha de ataque o sabotaje digital que haya afectado a tus sistemas, datos o documentos electrónicos, es recomendable consultar cuanto antes con un profesional del derecho penal especializado en este tipo de delitos para valorar opciones y plazos de actuación.
Preguntas frecuentes
Con carácter general, estos delitos prescriben a los 5 años desde que se cometieron o desde que se tuvieron indicios claros del ataque, salvo las modalidades más graves, que pueden tener plazos mayores. Es recomendable denunciar lo antes posible para facilitar la obtención de pruebas digitales.
Sí. Además de la responsabilidad penal del empleado, la persona jurídica puede responder penalmente si el delito se ha cometido en su beneficio y existían graves fallos de control o de cumplimiento interno. También puede derivarse responsabilidad civil aunque no haya condena penal a la empresa.
Suelen ser clave los registros de acceso (logs), copias de seguridad, correos electrónicos, capturas de pantalla, informes técnicos del incidente, contratos de servicio y cualquier rastro de actividad inusual en sistemas o cuentas. Cuanto antes se conserven y documenten, mayor valor probatorio tendrán.
Sí. La reparación del daño y los acuerdos de indemnización pueden influir en la pena, facilitar conformidades y, en algunos casos, reducir sustancialmente las consecuencias penales. No impiden la persecución del delito, pero suelen valorarse de forma muy positiva por el juez.
