1/13

El delito de daños informáticos y el caso Hispahack

Por Rosa Fernández Palma
Profesora de Derecho Penal. Universidad Autónoma de Barcelona
y Oscar Morales García
Profesor de Derecho Penal. Universitat Oberta de Catalunya
Diario La Ley, Sección Doctrina, 2000, Ref. D-2, tomo 1, Editorial LA LEY
LA LEY 21162/2001

I. Introducción
Posiblemente hoy ya no es momento de comenzar esta introducción hablando de la irrupción del ordenador en los
distintos ámbitos de la vida social. Resultaría más adecuado hablar de instalación, acomodamiento, de un sistema
de trabajo, ocio o consumo, al que hemos tenido que adaptarnos en tiempo récord y que, sin embargo, ha entrado
a formar parte del universo de útiles imprescindibles. La adopción del tratamiento informatizado de archivo y
tratamiento de datos constituye el primer paso de un proceso que culmina con la conexión de aquéllos sin límite de
tiempo y espacio. El fenómeno Internet se ha comparado con la Revolución Industrial del siglo XVIII, en cuanto a
su importancia económica y social, pero difiere de aquélla por el llamativo período de tiempo que ha empleado en su
desarrollo y asentamiento. Los datos corroboran por sí mismos esta afirmación, si se piensa que aproximadamente
cada seis meses, 60 millones de personas acceden a Internet.

El Derecho se ha visto sorprendido por el arrollador auge de las nuevas tecnologías hasta el punto que en el
momento que se digerían técnicamente las novedades promovidas por la popularización del ordenador y el elenco
de ilícitos a ellos adosados, Internet se ha consolidado sin que se hubiera dado aún respuesta a la cuestión básica
de la necesidad de tutela específica de este sistema de comunicación.

Las modalidades de conducta capaces de vulnerar el entramado de un equipo informático y su soporte lógico, se
han revelado, sin duda, muy variadas. En este trabajo se optará por centrar el estudio en aquéllas capaces de
llevarse a cabo a través de la red, cuya incidencia, si bien no se puede afirmar hasta ahora intensa, sí parece,
teniendo en cuenta la evolución reciente, irá ganando terreno en las estadísticas. Particularmente interesa el
análisis de la figura de daños informáticos introducida en el Código Penal de 1995.

II. El llamado Caso Hispahack

Uno de los supuestos de acceso remoto no autorizado que mayor eco han alcazado entre la opinión pública tuvo
lugar en septiembre del año 1997, fecha en la que fueron atacadas las máquinas de la Universidad Politénica de
Cataluña. La intrusión en los equipos universitarios se llevó a cabo desde un ordenador situado en otra Universidad,
la de Oviedo, sobre el que el atacante o atancantes consiguieron previamente privilegios de administrador. La
forma de ataque, materializada a través de un tercer ordenador sobre el que con anterioridad se había alcanzado el
dominio, junto con el borrado de logs, permitió que los autores de la operación permanecieran en el anonimato, no
habiéndose logrado determinar la autoría de los hechos.

Los hechos dieron lugar a la apertura de diligencias previas por el Juzgado de Instrucción núm. 20 de Barcelona,
terminando dicho procedimiento mediante la sentencia del Juzgado de lo Penal núm. 2 de Barcelona, de fecha 2 de
mayo de 1999, quien resuelve sobre el fondo del asunto (1) . La resolución declara probados los siguientes hechos:

laleydigital.es 21/07/2010
 2/13

«A las 4:16 horas del día 11 de septiembre de 1997 se produjo un acceso no autorizado a través de Internet en los
ordenadores ubicados en las dependencias de la UPC, desde un ordenador situado en el campus V., en G., de la
Universidad de O., denominado "proy6.etsiig.uniovi. es", llegando a obtener los privilegios del administrador del
sistema en al menos dieciséis máquinas servidoras e instalando programas "sniffers" destinados a capturar
información que circula por la red del sistema, en concreto identificadores de claves de acceso de otros usuarios,
enviando los datos obtenidos a través de Internet a un ordenador denominado ftp.laredcafe.com ubicado en el bar
LRCC sito en la calle C. de P.M.. almacenándose en el directorio denominado "jfs" correspondiente al usuario
"Hispahak", sin que conste acreditado que el acusado JFS, mayor de edad y sin antecedentes penales, participase
en esa entrada ilegal, obtención y transferencia de datos informáticos.»

Como se puede ya derivar del último inciso del relato de hechos probados, la sentencia del Juzgado de lo Penal
absuelve al imputado JFS por falta de acreditación suficiente de que fuera él y no cualquier otro usuario quien
realizara el ataque descrito. Como antes se advertía el borrado de logs, archivos de texto que guardan información
acerca del tránsito que se produce en la red, fue decisivo para impedir descubrir a la persona o grupo de ellas que
accediron de forma ilícita a los ordenadores ubicados en la UPC. De esta forma, la única prueba indiciaria con la
que se cuenta: la coincidencia del nick del acusado con el directorio del odenador de Palma de Mallorca en el que
se deposita el resultado de los programas sniffers, la posesión en el ordendor personal de programas para detectar
y aprovechar vulnerabilidades de sistemas, utilidades para crackear paswords, etc., o el dato de su pertenencia al
grupo Hispahack, cercano a la ideología Hacker, no se reputa suficiente para desvirtuar el derecho fundamental a
la presunción de inocencia. En este sentido la resolución del Juzgado de lo Penal argumenta en el fundamento
jurídico segundo: «No cabe reputar acreditada, sin embargo, la autoría que de tales hechos se atribuye al acusado
JFS, pues si bien existen fundadas sospechas de que pudo tener algún tipo de participación en ellos, ya que por
una parte él mismo reconoce su pertenencia al grupo denominado "Hispahack" y la utilización del apodo "jfs", que
corresponden al usuario y directorio, respectivamente, del ordenador instalado en el Bar "LRCC" al que se
transfirieron los datos obtenidos en el sistema informático de la UPC, habiéndose comprobado además, en el
examen del disco duro de los ordenadores que tenía en su domicilio de Martorell, intervenidos en la diligencia de
entrada y registro practicada en el mismo, según expresa el perito JIG, la presencia de programas para aprovechar
las vulnerabilidades de otros sistemas, ficheros de claves cifradas de usuarios de servidores y resultados "sniffers"
que incluyen identificadores de usuarios y llaves de acceso a máquinas de la UB y la UO, sin embargo, tales
sospechas no alcanzan la categoría de indicios bastantes como para desvirtuar totalmente la presunción de
inocencia en cuanto a la concreta participación que en esos hechos se le atribuye, pues si, por una parte, el
acceso al ordenador de PM, y a través de él al directorio "jfs", se hallaba al alcance de cualquiera que lo hiciese a
través de usuario "Hispahack", en el que el mismo perito, al examinar el disco de dicho ordenador también
intervenido tras la diligencia de entrada y registro practicada en el local donde se hallaba instalado, ha comprobado
la existencia de ficheros de datos y utilidades relacionadas con los problemas de seguridad de los sistemas Unix,
conteniendo información sobre vulnerabilidades de máquinas, programas para explotar fallos de seguridad, "sniffers"
y otras utilidades conocidas como "utilidades de hacking", al alcance de cualquiera que pudiera acceder a dicho
ordenador como usuario "Hispahack"...».

Con independencia de que, como ha podido comprobarse, no se pudo determinar la autoría, la sentencia se plantea
la posibilidad de subsunción de los hechos recogidos en el relato fáctico de la sentencia en la figura de daños
informáticos del art. 264.2, según calificación del Ministerio Fiscal en el trámite de conclusiones definitivas,
afirmando, si bien de forma no explícita, la punición de la conducta a través del precepto mencionado.

En epígrafes subsiguientes se tendrán ocasión de examinar tantos los argumentos que se vierten en la sentencia,

laleydigital.es 21/07/2010
 3/13

como los motivos por los que la defensa sostiene su argumentación, pero lo importante en este momento es
destacar que el debate permite y obliga centrar la atención en cuatro cuestiones básicas: la relevancia penal del
mero intrusismo informático; la delimitación de los elementos objetivos del tipo de daños informáticos, teniendo en
cuenta el específico contexto en el que nos movemos, la valoración de los daños en atención a dos variables:
daños producidos directamente por la conducta ilícita, daños no directamente producidos, pero sí consecuencia de
la intrusión, y, finalmente, el alcance de la llamada autopuesta en peligro de la víctima en relación con la
imputación objetiva del resultado a la conducta dañosa.

A continuación se pretenden señalar las líneas básicas del delito de daños informáticos, para, más tarde, centrar la
atención en el examen del caso Hispahack, sobre la base del estudio desarrollado.

III. Daños informáticos (sabotaje informático) (2)

1. Planteamiento

Las características peculiares de los elementos que componen la globalidad de un sistema informático, han
originado problemas de subsunción de las conductas vulneradoras de aquéllos en los tipos penales tradicionales:
hurto, apropiación indebida o daños. En buena medida este efecto ha sido promovido por la parcela de útiles
inmateriales que ofrecen operatividad al soporte físico de un sistema. La dotación física del sistema, por el
contrario, consolas, teclados o monitores no presenta mayores particuliaridades que el de otras cosas muebles
materiales, a salvo las peculiares modalidades comisivas que se han ido evidenciado en la praxis (3) .

Los daños informáticos, más conocidos como sabotaje informático, han sido objeto de específica regulación por
parte del Código Penal de 1995. Esta opción ha supuesto la toma de postura legislativa acerca de algunas de las
cuestiones que, desde hace algún, tiempo eran objeto de debate doctrinal. En particular, en el ámbito de los daños
informáticos, se discutía acerca de la necesariedad de ampliar los tipos penales para dar cabida a esta específica
forma de daño. La necesidad de un tipo que expresamente recogiera la sanción penal de los daños informáticos,
pues, trae causa del propio concepto de daño, que habitualmente se ha mostrado incapaz -excepción hecha de las
propuestas extensivas de algunos autores- para ser aplicado a los objetos inmateriales. A excepción de algunos
autores (4) , la doctrina mayoritaria estimaba que el delito de daños sólo era hábil para la subsunción de conductas
que se desarrollaran sobre un objeto material en sentido estricto. Si se da por válida esta afirmación, el problema
surge, al intentar delimitar los puntos de encuentro entre la estructura del delito de daños clásico y el delito de
daños informáticos, especialmente porque éste no se constituye como delito autónomo, sino como un subtipo
específico del propio delito de daños, como así lo ha puesto de manifiesto recientemente, =De Andrés Domínguez=
(5) .

El delito clásico de daños requiere la existencia de una acción lesiva sobre el objeto (consistente en inutilizar,
destruir, deteriorar) que, además, deben plasmarse en un daño objetivo en el objeto. Daño que, por lo demás,
deberá ser evaluable económicamente. En dicha evaluación, la cantidad de 50.000 ptas., ejerce de frontera entre
el delito y la falta. Pero, en todo caso, a salvo concepciones funcionalistas de la propiedad o el patrimonio, el modo
de evaluar el objeto atiende a su valor económico, al valor intrínseco o de mercado del mismo. Desde esta
perspectiva, el delito de daños informáticos, por una parte, no se materializa en un resultado dañoso perceptible
por lo sentidos. Además, la evaluación económica del daño (in)materialmente causado presenta importantes
problemas, pues, por lo general, el valor de la alteración o inutilización, por sí misma, será insignificante. Salvo,
claro está, como apunta =De Andrés Domínguez= (6) , se esté confundiendo el daño económicamente evaluable
con el perjuicio realmente ocasionado con la alteración o daño.

Ante este panorama caben dos opciones sistemáticas claras:

laleydigital.es 21/07/2010
 4/13

- O bien se interpreta que los daños en sentido clásico son capaces de absorber conductas sobre objetos
inmateriales, con lo cual el art. 264.2 del Código Penal constituiría una figura que reforzaría la seguridad jurídica en
cuanto delimita perfectamente el modo de ataque al objeto material y los medios, modos o formas de ataque al
mismo.

- O, de otro modo, se entiende que lo que pretende ser un sub-tipo agravado no es sino un precepto con
caracteres propios que lo clasifican como tipo autónomo.

Sea cual fuere la interpretación que quiera sustentarse, lo cierto es que, en los daños informáticos la valoración
del daño debe ser eminentemente funcional, esto es, debe atender a la utilidad concreta de los datos o programas
de ordenador. De lo contrario, los desequilibrios de proporcionalidad pueden ser inaceptables, dejando impunes
conductas en las que la alteración de datos es insignificante a los efectos del valor del dato en sí y de la
capacidad para la recuperación de los mismos, pero que, en el efecto provocado por la alteración (re-
programación), se causa un desarreglo de importantes dimensiones económicas. Si tomamos, como ejemplo, el de
un hacker que se introduce en un sistema bursátil haciendo caer paulatinamente determinados valores con la
intención de que los de la competencia continúen subiendo, siendo así que consigue su propósito. Probablemente la
recuperación de los datos originales no constituya una tarea que exceda de las 50.000 ptas. en tiempo de trabajo
o instalación de corta fuegos que impidan ataques similares. Pero el perjuicio ocasionado en la institución y en los
valores afectados durante el período de tiempo que dura la alteración es significativo. Lo mismo cabe decir
respecto de la orden de formateado realizada a través de kits de rastreo y control remoto de máquinas. La orden
de formateo destruye los datos de modo irrecuperable, pero el valor de los datos en sí mismo puede alcanzar
valores ridículos, mientras el perjuicio ocasionado al sujeto en términos reales supera con creces la frontera entre
el delito y la falta. Por ello, una interpretación de corte funcionalista es la única que garantiza, en tanto el
precepto no fuere reformulado en su redacción, la posibilidad de apreciar un delito de daños por alteración
(dañosa) significativa de los datos en ordenadores personales (especialmente los conectados a red) así como los
ocasionados en grandes organismos, empresas, etc., en los que el valor real del prejuicio, al ser generalmente el
único valor relevante, contienen la verdadera lesividad material de la conducta.

Otra cuestión que interesa resaltar, y requiere de nuevo una interpretación apegada al contexto de referencia, son
las concretas modalidades de conductas dañosas que específicamente prevé el precepto en estudio, sin olvidar
que la cláusula «o de otro modo dañe» constiuye un claro numerus apertus para la introducción de cualquier otra
modalidad que pueda equiparase a las prefijadas y resulte capaz de dañar datos o programas informáticos en el
sentido típico.

Explícitamente se consideran dañosas las conductas de destrucción, alteración o inutilización de datos, programas
o documentos electrónicos ajenos, ya se contengan en redes, soportes o sistemas informáticos (art. 264, párr. 2.º
del Código Penal). Sobre el particular, debe advertirse de las diferencias de tratamiento que puede requerir la
interpretación del alcance de la alteración o destrucción de datos, en función de que éstas tengan lugar en datos
contenidos en una red o, por el contrario, en un sistema informático o soporte aislado.

La inmaterialidad de los datos, ya configuren programas, ya documentos electrónicos, dificulta la determinación del
ámbito de lo punible, por cuanto en sentido amplio, cualquier utilización de un sistema informático, según su
sentido y funcionalidad, es capaz de alterar, destruir e incluso inutilizar datos, de acuerdo, como se ha dicho, con
el empleo normal y lícito al que se destina. El acceso a un programa, documento o archivo, altera o modifica una
serie de datos en el uso convencional de los mismos, de la misma forma que la conexión de una máquina con una
página web de Internet requiere siempre modificaciones en los datos de los ordenadores, precisamente para
posibilitar el «diálogo» entre las máquinas y la consiguiente «conexión».

laleydigital.es 21/07/2010
 5/13

Por ello, debe partirse de la idea de que no toda destrucción, alteración o inutilización de datos, puede
considerarse típica a los efectos del delito de daños informáticos, sino que éstas deben conectarse con el acceso
no autorizado a los datos o programas de que se trate, así como con la producción de alteraciones relevantes y
diferentes, en ocasiones (7) , a las derivadas del uso normal . En este sentido, debe, asimismo, recordarse que las
conductas dañosas consiguen verificarse por la usurpación por el atacante de los privilegios del administrador -ya
sea de forma remota u operando en la consola misma del sistema-, de forma que, una vez conseguidos, resultará
más que probable que a través del mismo mecanismo utilizado para acceder se hayan modificado ya datos, pese a
que no se aproveche la entrada para dañar, ya sea alterando, destruyendo o modificando, o dicho de otro modo,
se utilice para conseguir traspasar la barrera de seguridad, adquirir privilegios de administrador y marcharse a
continuación sin pretender visualizar o modificar cosa alguna. Una interpretación laxa de los términos típicos
convertiría en relevante penalmente cualquier entrada no autorizada -a los efectos del delito de daños- y, por
supuesto, las calificadas de mero intrusismo.

Sin embargo, no es éste el espíritu legislativo que caracteriza las figuras penales contenidas en el Cap. IX,
intitulada «De los daños», sino la punición de conductas que se dirijan al menoscabo de la cosa, bien porque se
afecte a la esencia misma, bien porque se incida sobre la funcionalidad que aquélla posea. Debe hacerse notar que
aún si se parte de esta delimitación conceptual han de hacerse precisiones sobre el resto de la redacción típica,
puesto que la amplitud de alguno de los términos empleados -datos, v. gr.- pudiera dar lugar a la criminalización de
conductas de bagatela.

En efecto, la punición de la destrucción, alteración o inutilización de datos, entendida en sentido amplio, daría
lugar a la inclusión en el tipo de daños de cualquier afectación, por nimia que fuera para la esencia o funcionalidad
de la cosa, del objeto de tutela. La restricción que ofrece la referencia al necesario menoscabo de la cosa, obliga a
entender éstos en tanto inmersos en una unidad de sentido y no aisladamente considerados, de forma que
únicamente serán relevantes en el sentido del tipo que se examina las conductas que consigan, incidiendo en los
datos, destruir material o funcionalmente la cosa, los datos como unidad de significación. Si el borrado o
inutilización de datos no consigue menoscabar en el sentido apuntado la cosa, sino que aquéllos carecen de
relevancia para su esencia o funcionalidad, no podrá reputarse realizado el delito de daños informáticos (8) .

2. El intrusismo informático (9)

Una de las cuestiones de mayor actualidad en el ámbito de los delitos informáticos se refiere a la relevancia penal
del mero intrusismo informático, tanto en relación a ordenadores pertenecientes a particulares, como a personas
jurídicas, es decir, el acceso a un sistema informático ajeno, vulnerando passwords o rompiendo otro tipo de
barreras de acceso, sin apoderamiento correlativo de información o descubrimiento o revelación de la misma. La
sistemática del Tít. X del Código Penal, en cuyo ámbito encuentra tutela directa la intimidad y la privacy del
individuo, constituye una limitación a la punición de este tipo de conductas.

De una parte, el número primero del art. 197, al referirse a la interceptación de telecomunicaciones, supedita la
antijuricidad de la conducta a la presencia de un elemento subjetivo del injusto como es la intención de vulnerar la
intimidad de otro, lo cual sucederá siempre que de los datos objetivos del hecho pueda inferirse que en el ánimo del
agente existía dicha finalidad. Esta es la cuestión más compleja en punto a la incriminación del intrusismo. El sujeto
que consigue entrar en el sistema central de una Universidad, dejando dolosamente su rastro para que quede
constancia de su acceso, no parece que vaya acompañado de un elemento subjetivo enderezado a la vulneración
de la intimidad de otro. Ahora bien, puesto que no es necesario que se descubran los datos o se tenga
conocimiento de ellos para que el elemento subjetivo se entienda realizado, y los datos de carácter personal serán

laleydigital.es 21/07/2010
 6/13

una constante en dicho sistema, en la práctica no será difícil convenir en que el acceso no autorizado al mismo
podrá ser constitutivo de delito independientemente de que la finalidad íntima del intruso sea la de superación de
barreras informáticas o la de conocimiento expreso de los datos. Por lo demás, existen datos que avalarían la
posibilidad de incriminar el intrusismo informático. Si el número primero del art. 197 del Código Penal serviría, según
lo expuesto, para acoger los casos en que no existe un acceso directo a los datos, pero sí la intención de acceder
a los mismos deducida del lugar específico al que se penetra, el número segundo expresamente recoge la conducta
de quien, en perjuicio de tercero acceda por cualquier medio a datos reservados de carácter personal, o familiar de
otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos. Es decir, que tanto
si los datos a los que se accede no son de carácter personal pero puede inferirse que el sujeto interceptó las
telecomunicaciones con dicha finalidad (art. 197.1 del Código Penal), cuanto si los mismos son datos de carácter
personal y se ha accedido a ellos sin consentimiento del titular (según terminología de la Ley Orgánica Reguladora
del Tratamiento Automatizado de los Datos de Carácter Personal) con o sin intención de hacerlo (art. 197.2 del
Código Penal), la conducta será punible.

Frente a ello, cabría oponer, en relación con el número segundo del art. 197 del Código Penal, que los datos a que
el mismo se refiere deben encontrarse específicamente en bancos de datos sistematizados y no en ficheros (en
sentido amplio y vulgar) en los que se contengan aisladamente datos de carácter personal. Sin embargo, a mi
juicio, dicha interpretación podría dejar fuera de los tipos penales el acceso a datos personales hallados por
casualidad (en el entorno de una conducta de dolosa de acceso) en archivos no sistemáticos, y de difícil previsión
de que los mismos pudieran encontrarse en aquél fichero, archivo o documento, lo que implicaría una laguna de
tutela de datos personales de difícil justificación.

Restaría aún por resolver el supuesto de acceso no consentido a un sistema informático en el que no existen datos
de carácter personal ni es previsible que los mismos se encuentren allí, como puede ser el caso del intrusismo en el
sistema informático cerrado de los controles de un aeropuerto, supuestos ambos no encajables en los números
primero y segundo del art. 197 del Código Penal.

Sin embargo, el art. 200 del mismo texto extiende las disposiciones del capítulo al que descubriere, revelare o
cediere datos reservados de personas jurídicas. La inclusión de este precepto en el Cap. X, como ha indicado
=Morales Prats, F.=, Comentarios al Nuevo Código Penal, arts. 197 y ss., Pamplona, Aranzadi, 1996, es
ciertamente perturbadora, pues si el bien jurídico genérico es la intimidad y/o la privacidad, difícilmente puede ello
compadecerse con la inclusión de un precepto enderezado a la tutela de datos de quien, por definición, carece de
derechos fundamentales y, por ende, de intimidad, como son las personas jurídicas.

Tampoco parece plausible que el art. 200 del Código Penal sea de aplicación cuando los datos de las personas
jurídicas tengan trascendencia sobre las personas físicas, pues para ello el resto del articulado del capítulo es más
que suficiente, como ya se ha visto. El precepto, entonces, debe ser inmediatamente puesto en conexión con los
arts. 278 y ss. del Código Penal, relativos al descubrimiento y revelación de datos empresariales, si no quiere
incurrirse en una interpretatio abrogans. De modo que su ámbito de vigencia debería limitarse al descubrimiento de
datos empresariales (o de personas jurídicas aunque no gocen de tal cualidad) que no alcancen el grado de
secretos. Si por secreto de empresa puede entenderse la información estratégica de la que depende el desarrollo
de ésta y cuyo conocimiento por terceros puede implicar la puesta en peligro de dicho desarrollo, por datos
reservados debería entonces entenderse aquél cuyo contenido, simplemente, la empresa no desea poner al alcance
de terceros, independientemente de su relevancia para el crecimiento o supervivencia de la empresa o persona
jurídica.

Pues bien, si se aceptan genéricamente estas premisas, el acceso a un servidor en el que se encuentra la

laleydigital.es 21/07/2010
 7/13

programación en lenguaje JAVA o HTML de páginas web no podría ser incriminado a través del Tít. X del Código
Penal (con las cautelas de la primera parte de esta exposición, en relación a la certeza de que existan allí datos de
carácter personal), dado que el código fuente de una página web es fácilmente accesible a través de cualquier
navegador o programa de escritura en HTML (como Front Page de Microsoft o Composer de Netscape).

Distinto es el caso, ciertamente, en que los datos, aun sin alcanzar el grado de reservados, son modificados en el
curso del acceso no autorizado, como sucedió con la página web de UNICEF, en la que las imágenes allí contenidas
fueron sustituidas por otras de contenido erótico. En estos casos no puede recurrirse al art. 256 del Código Penal,
dado que el mismo se reduce al uso de equipos terminales de comunicación, es decir, máquinas cliente y no
servidoras; además, su inclusión en el ámbito de las defraudaciones exige un nexo causal entre el perjuicio causado
al titular del equipo y el uso del mismo, entendido en términos del coste ordinario de dicha utilización (es decir,
utilización de la red de telecomunicaciones, telefonía, software, etc., sin que siquiera sea subsumible la
defraudación de horas de trabajo, dado que el perjuicio ocasionado lo será por otro concepto diferente al uso del
equipo). Unicamente cabría el recurso al delito de daños, en el que explícitamente se hace referencia a la
alteración de datos informáticos.

Por último, debe señalarse que la ausencia de cualquier referencia a datos informáticos o medios técnicos de
apoderamiento, descubrimiento o revelación de los mismos, en relación con la información reservada o secreta
relativa a la seguridad y/o defensa nacional, dificultará, sin duda, la punición de conductas en las que aquellos
resultados sean producto de un ataque informático, razón por la cual el art. 200 del Código Penal podrá servir
como tipo de recogida para supuestos de difícil solución.

IV. La sentencia del caso Hispahack y los daños informáticos

El fallo de la sentencia de 28 de mayo de 1999, como antes se adelantaba, absuelve a JFS del delito de daños por
el que venía siendo acusado, con base en la ausencia de prueba de cargo bastante que permita determinar sin
género de dudas la autoría de los hechos, si bien, como puede inferirse de la lectura de ciertos pasajes de aquélla,
considera penalmente relevante la conducta de intrusismo llevada a cabo. A tal efecto afirma «no se cuestiona
aquí el ejercicio de la libertad de expresión a través de Internet, sino que el enjuiciamiento se centra en una
actividad que con las expresión anglosajona "hacking" hace referencia a un conjunto de comportamientos de
acceso o interferencia no autorizados a un sistema informático o red de comunicación de datos, y a la utilización
de los mismos sin autorización o más allá de lo autorizado, conductas que, en cuanto suponen de agresión contra
el interés del titular de un determinado sistema de que la información que en él se contiene no sea interceptada,
resultan tanto más reprobables, y aun merecedoras de sanción penal si -como suele ser habitual- atentan contra
sistemas o equipos informáticos particularmente relevantes que, por razón del contenido de la información que
procesan o almacenan y por las funciones que tienen asignadas (...), afectan gravemente a un interés
supraindividual o colectivo, de manera que plantear en esta sede una adecuada tutela penal autónoma frente al
intrusismo infomático no puede, en modo alguno, considerarse un exceso de reacción penal».

De los hechos que se consideran probados pueden detectarse las siguientes cuestiones significativas: 1) acceso
no autorizado al sistema informático superando las barreras de seguridad existentes; 2) obtención de privilegios de
administrador en al menos 16 máquinas servidoras; 3) instalación de programas sniffer o de rastreo; 4) captura
mediante el referido programa de, entre otra información, de identificadores y claves de acceso de otros usuarios;
5) sustracción de dicha información y traslado a un tercer ordenador, al que, según parece, tenían acceso un
grupo no determinado de usuarios.

La defensa en su informe final, así como el perito de esta parte (10) consideran no relevantes penalmente las

laleydigital.es 21/07/2010
 8/13

conductas descritas, a las que tachan de «hacking» blanco, por considerar que resultan más beneficiosas que
perjudiciales, consiguiendo poner al corriente de las deficiencias de los sistemas a los encargados de la seguridad
de los mismos, así como por tratarse de actividades de estudio o investigación, en absoluto dañosas para el
sistema (11) . Desde nuestro punto de vista, en efecto, ciertas incursiones en ordenadores ajenos pueden
permanecer fuera de la órbita penal cuando realmente se trate de supuestos en los que los atacantes se ciñan a
conseguir el acceso, y los consiguientes privilegios del administrador del sistema, sin que, como en el supuesto en
examen, se instalen mecanismos de rastreo de la información que circula por la red y se apoderen de ficheros de
passwords, conductas que se alejan del mero intrusismo para recabar en un ataque a la intimidad y en la tipicidad
del delito de daños informáticos.

Conviene, en todo caso, detenerse con algo más de detalle en la conducta desarrollada en los ordenadores de la
UPC para determinar, de conformidad con las líneas generales del delito de daños más arriba referenciadas, el
alcance penal de la misma.

El acceso a un determinado sistema informático se reserva normalmente a un determinado grupo de personas a

quienes se dota de un nombre de usuario (username) y una palabra clave o de paso (password) que le permiten
introducirse en la zona reservada al personal de la institución o empresa de que se trate. El sistema así concebido
debería garantizar, en principio, que las personas que accedan sólo sean las debidamente autorizadas. Ocurre, sin
embargo, que dos grupos de condiciones inciden en este proceso conviertiendo lo seguro en vulnerable. La primera
de ellas la constituyen los llamados agujeros de seguridad, en sentido estricto, esto es, las vulnerabilidades
intrínsecas que presenta el propio sistema que, bajo determinadas circunstancias, permite el acceso sin, por
ejemplo, solicitar clave alguna o, solicitándola, reconociendo como válida cualquiera que se escriba. La segunda de
las condiciones a las que se hacía referencia, y seguramente la más grave para la seguridad del sistema, la
constituye la falta de cultura informática de los usuarios que utilizan contraseñas o palabras de paso débiles
susceptibles de desvelarse con un simple ataque de los llamados de fuerza bruta, o bien colocan la palabra de
paso en un post-it junto al ordenador, o la comunican a terceros ajenos al sistema, sin reparar en las
consecuencias que ello pudiera conllevar en relación con la seguridad del sistema y la suya propia.

Se desconce cúal fue el método utilizado por los autores del acceso no autorizado y la consecución de privilegios
de administrador tanto a las máquinas de la Universidad de Oviedo, como a las de la UPC, pero probablemente se
sirvieron de uno de los mencionados. Una vez detectada y verificada la vulnerabilidad del sistema, y conseguido el
dominio de un buen número de máquinas, el siguiente paso puede ser desistir de la navegación no autorizada, o
hacer uso de las facultades propias del administrador del sistema.

En el primer caso, se hubiera realizado una mera intromisión de escasa lesividad para la intimidad o el patrimonio, a
salvo las precisiones realizadas en el epígrafe anterior, por más que la conducta resulte incómoda para los
administradores y responsables de seguridad del sistema de que se trate.

Sin embargo, se accede al fichero de passwords, se instalan programas de rastreo de la red y se captura esa
información para depositarla en un tercer ordenador ajeno al sistema atacado.

El acceso y apoderamiento de un fichero de passwords no resulta tan inocuo como a veces se pretende. Es cierto
que todos los usuarios tienen en cierta medida acceso al mismo, para poder realizar el necesario contraste entre la
clave que se teclea y la almacenada en aquél, y que las palabras de paso se encuentran cifradas. En este sentido
deben tenerse presente las vulnerabilidades derivadas de la utilización de passwords débiles por los usuarios que
actúan en detrimento de la seguridad del sistema, pudiéndose desvelar a través de un ataque de fuerza bruta, al
alcance de cualquiera con mínimos conocimientos informáticos y cuyo modus operandi puede encontrarse

laleydigital.es 21/07/2010
 9/13

fácilmente en páginas web especializadas. Sin embargo, debe advertirse que, si bien en el proceso de copiado y
traslado del contenido a una máquina directamente no implicada en el ataque, no se han destruido, alterado o
inutilizado datos o programas, sino sustraído el contenido de un archivo, actividad difícilmente subsusmible en la
figura de daños informáticos que se examina, puede resultar relevante en relación con otros tipos penales, como
los dedicados a la proteción de la intimidad o los relativos al patrimonio (12) .

La instalación de programas de rastreo de la red (sniffers) resulta más significativa, pues produce consecuencias
en el conjunto del sistema sobre las que conviene reparar. En efecto, la instalación y ejecución de un programa
como el mencionado provoca alteraciones, inutilizaciones o destrucción de datos o parte de programas, alterando
algunas de las rutinas o datos que contribuyen a su normal funcionamiento. Téngase en cuenta que dichos
programas llevan incorporadas normalmente utilidades específicas dirigidas a conseguir su propio ocultamiento, que
inciden básicamente en los perativos de seguridad, modificando precisamente los útiles de programas que
evidenciarían su existencia. La lesividad material de la conducta, con independencia ahora de que el programa está
especializado en la captura de los nombres de usuarios y contraseñas que circulan por la red, que traslada a un
fichero independiente, se manifiesta en la necesidad de reprogramar y reajustar todos los desarreglos provocados
por el programa de rastreo, además de los necesarios reajustes de seguridad que evidentemente se tuvieron que
realizar.

Una de las operaciones que suelen llevarse a cabo en el curso de un ataque es el borrado del rastro que se refleja
en el fichero de logs. Puede ocurrir que el atacante se dirija manualmente y borre los logs que puedan
comprometerle, si bien en ocasiones esta operación se realiza a través de un programa especializado que incluye
otras utilidades, como la mencionada, además de la de rastreo, y suelen conocerse como kits de rastreo.
Evidentemente, el ladrón, que no quiere ser descubierto, procurará borrar las huellas que haya ido dejando, esto no
conlleva ningún desvalor a añadir al de la conducta previa, pero si para borrar las huellas tiene que destruir un
vehículo ajeno, este comportamiento podría llegar a tener relevancia penal, como daños a la propiedad. Lo mismo
ocurre con el borrado de datos del fichero de logs, pues la destrucción definitiva le priva de una parte importante
de la funcionalidad a la que se orienta, esto es, la constatación de toda la actividad que se desarrolla en la red,
teniendo en cuenta que los datos borrados forman parte de una unidad de sentido.

No se tienen más datos que los reproducidos en los hechos probados de la sentencia, de los que más arriba se dio
cuenta, para determinar el alcance de la conducta llevada a cabo en los odenadores de la UPC, pero lo cierto es
que, según se ha argumentado, existe, desde nuestro punto de vista, una conducta nuclear, la instalación de
programas sniffer, con las consecuencias que de ello deriva, que resulta subsumible en el delito de daños
informáticos por las razones apuntadas, si bien, las escasas huellas dejadas por la intrusión, como se ha visto, no
resultan suficientes para determinar la autoría de los hechos.

Debe tenerse presente que la frontera de 50.000 pesetas establecida para diferenciar el delito de la falta de daños
(art. 263 del Código Penal), no resulta de aplicación al delito de daños informáticos, recogido en el segundo número
del art. 264 del Código Penal. Y ello tiene sentido si, como se ha visto, los objetos dañados rara vez consiguen por
sí mismos superar la cifra mencionada. Por ello, se ha sostenido la necesidad de atender a la lesividad material de
la conducta, desde la óptica de una interpretación funcional del precepto, porque así se logra, de un lado,
desechar como penalmente relevantes las conductas que deriven en un escaso daño ecónomico y funcional,
utilizando el instrumento penal únicamente para los supuestos de daños más graves. Y de otro, no dejar fuera del
ámbito de protección, a los daños de insignificante valor ecónomico, en sí mismos considerados, pero que lleven
aparejada una importante lesividad material.

Por último, interesa plantear una cuestión que parece haber alcanzado una cierta significación en el debate sobre

laleydigital.es 21/07/2010
 10/13

delincuencia asociada a las tecnologías de la información, esto es, la contribución de la víctima a la realización del
hecho típico. No es inusual que ante un ataque «informático» se oponga la falta de cuidado que demostró la
víctima en (13) relación con la protección del bien jurídico. Con frecuencia se apela a la falta de medidas de
seguridad empleadas por aquélla para la protección de su sistema informático, que, se afirma, deben resultar tanto
mayores, cuanto más importantes se revelen los elementos que guarda aquél. El paralelismo, en casos como el que
se comenta, suele establecerse con el propietario de un vivienda que bien deja abierta la puerta principal de ésta,
bien se olvida de cerrar alguna de las puertas traseras, de forma que el intruso puede penetrar sin ejercer fuerza
alguna y, en su caso, apoderarse objetos de valor de la vivienda. La cuestión debe centrarse en la posibilidad de
desplazar, y bajo qué condiciones, al ámbito de responsabilidad de la víctima la generación del riesgo para el bien
jurídico, impidiendo la imputación objetiva a la conducta del autor (14) .

Resulta de interés a estos efectos dilucidar si en este campo a los titulares de sistemas informáticos les
corresponde algún deber de autoprotección que, caso de no verificarse, el riesgo o lesión en los bienes jurídicos
pueda resultar preferentemente imputado a la víctima, o, dicho de otro modo, se trata de determinar bajo qué
presupuestos la interacción entre víctima y autor puede considerarse «asunto» de la víctima, de este último, o de
ambos.

La sentencia del Tribunal Supremo de 29 de octubre de 1998, niega la concurrencia de engaño bastante en el
delito de estafa, cuando el sujeto sobre quien recae el engaño, empleado de sucursal bancaria, no ha guardado los
deberes de autoprotección establecidos reglamentariamente en la normativa aplicable -reglamentación bancaria-
comprobando, antes de efectuar un acto de disposición, la veracidad de los datos que aporta el agente del
engaño, y requieren una mínima actividad por su parte. El esquema se ha pretendido trasladar al ámbito de todos
los delitos patrimoniales afirmándose que «la protección penal se limita a los casos en que la acción del autor ha
vencido los mecanismos de defensa dispuestos por el titular» (15) , y ello porque «el Derecho penal, en este
sentido, no debería constituirse en un instrumento de protección patrimonial de aquellos que no se protegen a sí
mismos» (16) .

Con independencia del debate, no cerrado, de si la premisas relatadas son susceptibles de traslado a cualquier
delito patrimonial, o resultan básicamente aplicables a algunas modalidades del delito de estafa por sus particulares
elementos típicos, parece que la posibilidad de imputación a la víctima, se hace depender de la concurrencia de un
comportamiento imprudente -o doloso- de ésta, por la ausencia de los deberes de autoprotección que le son
exigibles.

En todo caso, el alcance de los niveles de seguridad debe ponerse en conexión con la importancia de los bienes
contenidos en el sistema, las posibilidades concretas de los sujetos afectados de conseguir un operativo de
seguridad adaptado a la técnica y la existencia de obligaciones legales en este sentido, producto de la actividad
desarrollada a través del sistema informático.

La alteración de datos a la que se refiere el Código Penal en el delito de daños informáticos, a la vista de su
amplitud, deberá, pues, entenderse como alteración no consentida, es decir, como si el precepto contuviese una
disposición tácita atinente a la antijuricidad de la alteración. Lo contrario multiplicaría el ámbito de vigencia del
tipo, en una vis expansiva difícilmente explicable en el ámbito jurídico-penal. Ahora bien, la reflexión anterior no
está exenta de problemas. En efecto, pudiera derivarse de esta interpretación la tendencia a considerar que la
alteración de datos no consentida, en el caso de intrusiones a sistemas informáticos ajenos, quedaría
perfeccionada con el simple acceso a los datos allí alojados -puesto que todo acceso implica, por definición,
alteración de datos informáticos (17) -, siempre que el administrador de los mismos haya interpuesto las medidas
de protección necesarias de tales datos conforme a la legislación vigente (Ley Orgánica Reguladora de los Datos

laleydigital.es 21/07/2010
 11/13

de Carácter Personal, en relación al desarrollo reglamentario). Claro que, si los mecanismos de autoprotección
exigibles en función de la naturaleza de la información custodiada no son adoptados, la tipicidad del hecho no
nacerá al quedar derivada la responsabilidad al ámbito de protección de la víctima. Y aquí el concepto de víctima,
cuando la información almacenada pertenece a la intimidad de terceros, sugiere la necesidad de ampliar la
legislación penal a los casos en que, debido a la conducta imprudente del adminsitrador, éste da lugar a que los
datos sean conocidos por un tercero, al igual que sucede en la regulación penal de los delitos contra la seguridad y
defensa nacional (art. 601 del Código Penal).

(1) Sin que resulte adecuado a la extensión de este trabajo un análisis en profundidad, conviene dar cuenta de que la
resolución de 2 de mayo de 1999 decide, además, sobre la petición de nulidad de las actuaciones planteada como
artículo de previo pronunciamiento por la defensa del acusado. Se argumenta por la parte citada que la forma de
llevar a cabo las investigaciones policiales se hizo con vulneración del derecho fundamental a la intimidad en algunas
de las diligencias practicadas, considerando, sin embargo, el Juzgador la inexistencia de tal pretensión y la licitud de
todos los actos de investigación que realiza la unidad de delitos informáticos de la Guardia Civil. Si se desean
consultar los motivos de la sentencia, así como los argumentos en los que la defensa fundamenta su pretensión,
puede hacerse a través de Internet en http://www.bufetalmeida.com/hispahack.htm y
http://www.bufetalmeida.com/defensa.htm. Sorprende, en todo caso, el diverso alcance que el informe de defensa
parece otorgar al derecho fundamental a la intimidad en las alegaciones relativas a la nulidad y las referidas a la
descriminalización del intrusismo informático.
Ver Texto

(2) El párrafo segundo del art. 264 del Código Penal establece: «La misma pena se impondrá al que por cualquier medio
destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos
contenidos en redes, soportes o sistemas informáticos».
Ver Texto

(3) =Corcoy Bidasolo, M.=, «Protección penal del sabotaje informático. Especial consideración de los delitos de daños»,
en Delincuencia Informática, Coord. S. Mir Puig, Barcelona, 1992, pág. 148, recoge algunas de las más llamativas:
«insetar cuchillas de hierro, clips o pequeñas piezas de aluminio dentro de la computadora para causar cortocircuitos
tras un lapso de tiempo; echar residuos de café, soluciones salinas y agentes cáusticos de limpieza en la consola o
en otros equipos; expandir humo de tabaco, spray del pelo u otros gases al periférico (...); provocar temperaturas
extremas (...); clavar una chincheta en los cables de conducción, lo que provoca fallos intermitentes...».
Ver Texto

(4) Entre ellos, =González Rus=, Curso de Derecho Penal español. Parte Especial I, 1996.
Ver Texto

(5) =De Andrés Domínguez=, «El delito de daños informáticos», LA LEY, 1999, 31.
Ver Texto

(6) ult. op. cit.

Ver Texto

(7) Sin embargo, no siempre es así, puesto que no deben desacartarse hechos dañosos que se verifiquen utilizando el

laleydigital.es 21/07/2010
 12/13

programa o datos de acuerdo con su uso habitual.

Ver Texto

(8) Si una persona no autorizada consigue entrar en documento de texto que contiene un artículo doctrinal que el autor
pretende publicar, y se procede al borrado de un porcentaje mínimo de datos con los que a pesar de todo se guarde
el sentido de aquél, se habrá conseguido destruir datos, pero no la esencia o funcionalidad del todo. Sin embargo, si
se procede al borrado de todo un capítulo, se habrán destruido datos, aisladamente considerados y, además, la cosa
se habrá inutilizado, con independencia de que el capítulo pueda ser rehecho. Lo dicho engarza en cierta medida con
la existencia de copias de seguridad. Sobre el particular, debe advertirse, no puede otorgarse una solución unitaria,
so pena de llegar a conclusiones injustas por la aplicación de un mismo criterio a supuestos que materialmente no lo
son. Así, en el ejemplo anterior, si el autor del artículo posee copia de seguridad, el restablecimiento de la integridad
del texto no conllevará mayores dificultades al usuario que una orden rutinaria al procesador de texto en el que se
solicite la sustitución del texto dañado por el completo. Pero, como antes se advertía, cuando los datos alterados o
destruidos afectan, por ejemplo, a la configuración de un programa que ha de ser reinstalado, por más que exista el
original en posesión del titular de la concesión de uso, deberá valorarse el alcance del daño no solamente en el
programa mismo, sino en todo lo que aquél pueda significar para el funcionamiento del sistema de que se trate -en
cuanto daños trascendentes al propio programa-. De acuerdo con lo expuesto, cuando existan copias de seguridad y
pueda restablecerse la cosa con una mínima actividad por parte de la víctima, podría afirmarse la ausencia de
afectación de la propia funcionalidad de la cosa, correspondiéndole el tratamiento propio de la tentativa imposible,
impune en el ordenamiento penal vigente -Cfr., considerando los supuestos en los que se guardan copias de
seguridad-. Sin embargo, cuando los daños trasciendan al programa concreto, podrían llegar a adquirir autonomía
propia, por más que exista el original de la concesión de uso y pueda volver a instalarse sin problemas, y
considerarse perfeccionado el delito de daños informáticos. En la doctrina española se muestra partidario de la
punición por tentativa de estas conductas, =Romeo Casabona, C. M.=, «Los delitos de daños en el ámbito
informático», en Cuadernos de Política Criminal, núm. 43, 1991, pág. 110; por el contrario, =González Rus, J. J.=,
«Aproximación al tratamiento penal de los ilícitos patrimoniales relacionados con los medios o procedimientos
informáticos», en RFDUC, monográfico núm. 12 Informática y Derecho, 1986, págs. 141-142, entiende que, se cuente
o no con copias de seguridad, si se daña un archivo o programa el delito se ha consumado, valorándose la existencia
de copias a efectos del alcance de la indemnización de perjuicios en sede de responsabilidad civil.
Ver Texto

(9) Art. 197.1 del Código Penal: «El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su
consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos
o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión,
grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las
penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses».
Ver Texto

(10) Cuyo informe pude consultarse en http://www.bufetalmeida.com/dictamen.htm.

Ver Texto

(11) Sin embargo, no se comparte en este trabajo, ni la interpretación que se realiza de las conductas con relevancia
penal, ni aun la delimitación de la expresión hacking blanco que se utiliza, pues la interpretación que se logra es tan
amplia que prácticamente no queda espacio para la ubicación del hacking dañoso, salvo que se quiera establecer la
distinción únicamente en la especial intencionalidad dañosa que debe caracterizar estas últimas conductas,
conclusión a la que no puede accederse desde la literalidad del tipo que no sugiere la presencia de elemento

laleydigital.es 21/07/2010
 13/13

subjetivo alguno distinto del dolo, consistente en conocimiento y voluntad de los elementos objetivos.
Ver Texto

(12) Si bien debe tenerse presente el escaso valor económico que estos datos pueden representar, por más que si se
detecta la sustracción de los mismos se tengan que dedicar recursos económicos y humanos para sus completa
sustitución, de la misma forma que también se procederá a la sustitución de una cerradura cuando se sutrae la llave
que permite la apertura de la puerta de acceso a una vivienda. Evidentemente, la incidencia económica será mayor si
el apoderamento lo es de todas las contraseñas de una institución y no de una sola aislada.
Ver Texto

(13) En relación con la llamada autopuesta en peligro de la víctima del delitio, vid., =Bonet Esteva, M.=, La víctima del delito
(la autopuesta en peligro como causa de exclusión del tipo de injusto, McGraw-Hill, Madrid, 1999, passim.
Ver Texto

(14) =Cancio Meliá, M.=, Conducta de la víctima e imputación objetiva en Derecho Penal. Estudio sobre los ámbitos de
responsabilidad de víctima y autor en actividades arriesgadas, Bosch,. Barcelona, 1998, págs. 282 y ss.
Ver Texto

(15) =Choclán Montalvo, J. A.=, «Engaño bastante y deberes de autoprotección. Una visión de la estafa orientada al fin de
protección de la norma», en Actualidad Jurídica Aranzadi, núm. 398, 1999, pág. 3.
Ver Texto

(16) Sentencia del Tribunal Supremo de 21 de septiembre de 1988.

Ver Texto

(17) Siempre que se acepte como premisa, claro está, que en este sector deba entenderse el daño ocasionado en
sentido funcionalista, es decir, atendiendo al perjuicio ocasionado con el ataque: violación de medidas de seguridad
que deberán ser repuestas, mecanismos informáticos sustituidos, horas de trabajo en la reparación de los cambios
efectuados, rastreo de programas espía instalados en el sistema, etc.
Ver Texto

laleydigital.es 21/07/2010