SESIÓN 11.

Introducción al delito informático

1. Introducción al delito informático.
Los primeros delitos informáticos nacieron con los primeros supercomputadores que
utilizaban las grandes empresas y gobiernos en la década de los años 60-70. Estos primeros
delitos informáticos estaban relacionados con el espionaje industrial y el sabotaje. No es hasta el
nacimiento y revolución del ordenador personal o PC cuando se empiezan a tecnificar los delitos
tradicionales junto con la aparición de nuevas tipologías delictivas como la copia ilegal y
falsificación de dispositivos HW.
Pero es con la aparición de Internet, a mediados de los años 90, y la interconexión mundial
de millones de usuarios cuando comienza a tener lugar la comisión de los delitos que podemos
denominar clásicos, como la estafa o la falsificación, a través de Internet o su comisión utilizando
medios tecnológicos. Además, en esta misma época también se empiezan a producir otros delitos
más sofisticados y vinculados con los medios informáticos como son la utilización del malware o la
distribución de virus.
Ahora debemos preguntarnos ¿qué es el delito informático?. Para contestar a esta
pregunta acudimos a la definición clásica del delito que nos dice que es aquella “acción típica,
antijurídica, culpable y punible”. Una circunstancia que debemos tener en cuenta en le caso de
la criminalidad informática, es que la rápida evolución tecnológica nos da lugar a que hechos que
aparentemente debieran estar penados no cumplen con la propiedad de tipicidad, ya que no estan
aún recogidos en el código penal. El CP también nos dice que “Son delitos las acciones y
omisiones dolosas o imprudentes penadas por la ley.”
Algunos autores definen el delito informático como “el conjunto de conductas
antijurídicas relacionadas con el tratamiento automático de la información por medio de
ordenadores”.
El derecho anglosajón ha definido el delito informático como “Computer Crime” y lo ha
circunscrito a dos acciones:
 Utilizar ordenadores con el fin de defraudar bienes o servicios sin autorización.
 La alteración, daños, perjuicios de ordenadores o su contenidos sin autorización.
Por otro lado, segun la legislación Europea, más concretamente según el Convenio del
Consejo de Europa sobre Ciberdelicuencia tenemos que el delito de informática esta compuesto
por la falsificación informática y fraude informático.

2. El Convenio Europeo sobre Ciberdelincuencia.

Con la globalización y la revolución digital empezaron a aumentar los ataques contra redes
y sistemas informáticos apareciendo nuevas formas delictivas, lo que obligó a los estados a
incorporar en sus códigos penales nuevas tipologías de delitos informáticos.
Antes del Convenio no todos los países tenían tipificados los mismos delitos informáticos,
además el modus operandi de los cibercrimales obligaba a establecer mecanismos de asistencia
mutua entre estados y cooperación internacional.
Los estados del Consejo de Europa decidieron establecer el Convenio sobre
Ciberdelincuencia de Budapest con el siguiente objetivo:
 Implantar una política penal común encaminada a proteger a la sociedad frente a la
ciberdelincuencia.
 Establecer cooperación entre los Estados y el sector privado en la lucha contra la
ciberdelincuencia,
 Proteger los legítimos intereses en la utilización y el desarrollo de las tecnologías de la
información.

1
  Prevenir los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad
de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos
sistemas, redes y datos, mediante la tipificación de esos actos.
 Luchar de forma efectiva contra dichos delitos, facilitando su detección, investigación y
sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que
permitan una cooperación internacional rápida y fiable.
El convenio se estructura de la siguiente forma:
 Definiciones y términos: que es un Sistema Informático, los datos informáticos, un
proveedor de servicios etc.
 Medidas que deberán adoptarse a nivel nacional: los estados que lo forman deben
adoptar en su derecho penal y su legislación.
 Cooperación Internacional: principios relativos a la extradición y la asistencia mutua.
 Disposiciones Finales, adhesión, ratificación, etc.

2.1. Medidas a adoptar a Nivel Nacional.

El convenio propone una serie de medidas para que los estados que lo ratifiquen las
incorporen a su legislación y tipifiquen los siguientes delitos.
Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas
informáticos:
 Acceso ilícito: Acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema
informático.
 Interceptación ilícita: Interceptación deliberada e ilegítima, por medios técnicos, de datos
informáticos comunicados en transmisiones no públicas efectuadas a un sistema
informático, desde un sistema informático o dentro del mismo, incluidas las emisiones
electromagnéticas procedentes de un sistema informático que contenga dichos datos.
 Interferencia en los datos: La comisión deliberada e ilegítima de actos que dañen,
borren, deterioren, alteren o supriman datos informáticos.
 Interferencia en los sistemas: La obstaculización grave, deliberada e ilegítima del
funcionamiento de un sistema informático mediante la introducción, transmisión,
provocación de daños, borrado, deterioro, alteración o supresión de datos informáticos.
 Abuso de los dispositivos: La producción, venta, obtención para su utilización,
importación, difusión u otra forma de puesta a disposición de un dispositivo, incluido un
programa informático, diseñado o adaptado principalmente para la comisión de cualquiera
de los delitos previstos anteriormente o una contraseña, un código de acceso o datos
informáticos similares, que permitan tener acceso a la totalidad o a una parte de un
sistema informático.
Delitos informáticos:
 Falsificación informática: La introducción, alteración, borrado o supresión de datos
informáticos que dé lugar a datos no auténticos, con la intención de que sean tenidos en
cuenta o utilizados a efectos legales como si se tratara de datos auténticos, con
independencia de que los datos sean o no directamente legibles e inteligibles.
 Fraude informático: Los actos deliberados e ilegítimos que causen un perjuicio
patrimonial a otra persona mediante cualquier introducción, alteración, borrado o supresión
de datos informáticos, o mediante cualquier interferencia en el funcionamiento de un
sistema informático, con la intención fraudulenta o delictiva de obtener ilegítimamente un
beneficio económico para uno mismo o para otra persona.

2
Delitos relacionados con el contenido.
 Delitos relacionados con la pornografía infantil: La producción, la oferta, la puesta a
disposición, difusión, adquisición y posesión de pornografía infantil con vistas a su difusión
por medio de un sistema informático.
Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines.
Medidas de cooperación judicial e intenacional.
El Convenio propone una serie de medidas sobre cooperación judicial e internacional,
entre las que destacan las siguientes y se encuentran desarrolladas en su capítulo III:
 Normas de extradición para este tipo de delitos.
 Asistencia mutua entre partes.
 Solicitudes de asistencia mutua en ausencia de acuerdos internacionales.
 Asistencia mutua en la conservación rápida de datos informáticos almacenados.
 La revelación rápida de datos conservados sobre el tráfico.
 Red 24/7. Cada Parte designará un punto de contacto disponible las veinticuatro horas del
día, siete días a la semana, con objeto de garantizar la prestación de ayuda inmediata para
los fines de las investigaciones o procedimientos relacionados con delitos vinculados a
sistemas y datos informáticos, o para la obtención de pruebas electrónicas de un delito
España ratificó el convenio el 17 de septiembre de 2010, mediante la publicación en el
B.O.E del Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en
Budapest el 23 de noviembre de 2001.

2.2. Protocolo adicional al Convenio sobre la ciberdelincuencia relativo a la penalización de

actos de índole racista y xenófoba cometidos por medio de sistemas informáticos.
El convenio se ha ido adaptando a las necesidades de la sociedad y por ello se realizó un
protocolo adicional en Estrasburgo, el 30 de enero de 2003, con la finalidad de la tipificación penal
de los actos de índole racista y xenófoba cometidos mediante sistemas informáticos.
En el protocolo encontramos la definición de material racista y xenófobo, y pretende
incorporar al derecho penal de los estados aspectos tan importantes como:
 La difusión de material racista y xenófobo mediante sistemas informáticos.
 Las amenazas con motivación racista y xenófoba.
 Los insultos con motivación racista y xenófoba.
 La negación, minimización burda, aprobación o justificación del genocidio o de
crímenes contra la humanidad.
Otras normativas de interés son
 Comunicación de la Comisión al Consejo,al Parlamento Europeo, al Comité Económico y
Social y al Comité De las Regiones.
 Decisión Marco 2005/222/JAI del Consejo de 24 de febrero de 2005 relativa a los ataques
de los que son objeto los sistemas de información.

3. Delitos Informáticos en la legislación penal Española.

A pesar de que España firmo y ratificó el Convenio de Ciberdelincuencia, nuestro código
penal ha tardado varios años en recoger el concepto de delito informático. No ha sido hasta la
reciente reforma del Código Penal por la Ley Orgánica 1/2015 de 30 de Marzo donde se ha
plasmado.
La implementación en nuestro código penal de los delitos de informáticos viene como
consecuencia de la necesidad de adaptarse a la realidad social y como transposición de la

3
Directiva 2013/40/UE de 12 de agosto del Parlamento y del Consejo relativa a los ataques contra
los sistemas de información.

3.1. Delitos Informáticos en nuestro código penal.

3.1.1 Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y

sistemas informáticos:
Delito de intrusión informático. Artículo 197 bis apartado primero.
1. El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas
para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o
una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien
tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos
años.
La interceptación de datos informáticos. Artículo 197 bis apartado segundo.
2. El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente
autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde,
hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los
mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce
meses.
Producir, adquirir para uno mismo o facilitar a terceros la comisión de los delitos de
descubrimiento y revelación de secretos o intrusión o interceptación. Artículo 197 ter.
Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho
meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de
cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos
a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197 bis:
a) un programa informático, concebido o adaptado principalmente para cometer dichos
delitos; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan acceder
a la totalidad o a una parte de un sistema de información.
Actuar en el seno de organización o grupo criminal. Artículo 197 quater.
Si los hechos descritos en este Capítulo se hubieran cometido en el seno de una organización o
grupo criminal, se aplicarán respectivamente las penas superiores en grado.
Responsabilidad de la persona jurídica. Artículo 197 quinquies.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable
de los delitos comprendidos en los artículos 197, 197 bis y 197 ter, se le impondrá la pena de
multa de seis meses a dos años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces
y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del
artículo 33.
Delitos de daños Informáticos. Artículos 264, 264 bis y 264 ter.
Artículo 264
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase,
alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o
documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la
pena de prisión de seis meses a tres años.
2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto al décuplo del perjuicio
ocasionado, cuando en las conductas descritas concurra alguna de las siguientes circunstancias:
1. Se hubiese cometido en el marco de una organización criminal.
2. Haya ocasionado daños de especial gravedad o afectado a un número elevado de
sistemas informáticos.

4
 3. El hecho hubiera perjudicado gravemente el funcionamiento de servicios públicos
esenciales o la provisión de bienes de primera necesidad.
4. Los hechos hayan afectado al sistema informático de una infraestructura crítica o se
hubiera creado una situación de peligro grave para la seguridad del Estado, de la Unión
Europea o de un Estado Miembro de la Unión Europea. A estos efectos se considerará
infraestructura crítica un elemento, sistema o parte de este que sea esencial para el
mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el
bienestar económico y social de la población cuya perturbación o destrucción tendría un
impacto significativo al no poder mantener sus funciones.
5. El delito se haya cometido utilizando alguno de los medios a que se refiere el artículo 264
ter.
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse la pena superior en
grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su
mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos
personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero.
Artículo 264 bis.
1. Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y
de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:
a) realizando alguna de las conductas a que se refiere el artículo anterior;
b) introduciendo o transmitiendo datos; o
c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático,
telemático o de almacenamiento de información electrónica.
Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa,
negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose
alcanzar la pena superior en grado.
2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio
ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna
de las circunstancias del apartado 2 del artículo anterior.
3. Las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su
mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos
personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero.
Artículo 264 ter.
Será castigado con una pena de prisión de seis meses a dos años o multa de tres a dieciocho
meses el que, sin estar debidamente autorizado, produzca, adquiera para su uso, importe o, de
cualquier modo, facilite a terceros, con la intención de facilitar la comisión de alguno de los delitos
a que se refieren los dos artículos anteriores:
a) un programa informático, concebido o adaptado principalmente para cometer alguno de los
delitos a que se refieren los dos artículos anteriores; o
b) una contraseña de ordenador, un código de acceso o datos similares que permitan
acceder a la totalidad o a una parte de un sistema de información.

3.1.2 Delitos informáticos:

Falsificación informática. Artículos 248 y 249
Artículo 248.
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en
otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

5
2. También se consideran reos de estafa:
a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio
semejante, consigan una transferencia no consentida de cualquier activo patrimonial en
perjuicio de otro.
b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos
específicamente destinados a la comisión de las estafas previstas en este artículo.
c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en
cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de
un tercero.
Artículo 249.
Los reos de estafa serán castigados con la pena de prisión de seis meses a tres años. Para la
fijación de la pena se tendrá en cuenta el importe de lo defraudado, el quebranto económico
causado al perjudicado, las relaciones entre éste y el defraudador, los medios empleados por éste
y cuantas otras circunstancias sirvan para valorar la gravedad de la infracción.
Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la pena de multa de uno a
tres meses.
Fraude informático. Artículos 255 y 256.
Artículo 255.
1. Será castigado con la pena de multa de tres a doce meses el que cometiere defraudación
utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido
ajenos, por alguno de los medios siguientes:
1. Valiéndose de mecanismos instalados para realizar la defraudación.
2. Alterando maliciosamente las indicaciones o aparatos contadores.
3. Empleando cualesquiera otros medios clandestinos.
2. Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá una pena de multa de
uno a tres meses.
Artículo 256.
1. El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su
titular, y causando a éste un perjuicio económico, será castigado con la pena de multa de tres a
doce meses.
2. Si la cuantía del perjuicio causado no excediere de 400 euros, se impondrá una pena de multa
de uno a tres meses.

3.1.3 Delitos relacionados con el contenido

Estos delitos se corresponden con los delitos clásicos, pero que para su comisión se haya
utilizado medios informáticos. Entre ellos encontramos:
 Difusión de pornografía infantil (189)
 Provocación sexual y prostitución (186 y 187)
 Amenazas (169), injurias (208) y calumnias (205)
 Apología racismo y xenofobia (607)

3.1.4 Delitos relacionados con infracciones de la propiedad intelectual y de los derechos

afines. Artículo 270.
También resulta de interés la clasificación realizada por la Instrucción del Fiscal General del
Estado 2/2011 sobre el Fiscal de Sala de Criminalidad Informática y las Secciones de
Criminalidad Informática de las Fiscalías