Análisis jurídico del sabotaje informático

Sirve perfectamente de muestra de la política-criminal respecto de la ciberdelincuencia el estudio del delito de daños informáticos. Los daños tradicionales (destrucción de una cosa) y los daños informáticos han evolucionado desde delitos vinculados hasta su actual regulación como delitos autónomos, actualmente separados en los artículos 263 y 264 CP y todo apunta a que la ciberdelincuencia acabará siendo regulada de forma totalmente separada (como propone UPyD en el trámite de enmiendas a la Reforma del CP) y con respuestas penales severas.

Actualmente se mantiene la perspectiva estrictamente patrimonial de todos los delitos de daños. Sin embargo, es una realidad que los daños informáticos poco tienen que ver con los daños tradicionales. La informática e internet han cambiado las reglas del juego. Ya no es necesaria la destrucción física de la cosa, ahora las acciones criminales se producen de forma remota, generando resultados muy difíciles de evaluar económicamente y causando perjuicios muy superiores al valor de los datos destruidos. El sabotaje informático es una conducta habitual en muchos perfiles de ciberdelincuentes, desde script-kiddies hasta hacktivistas.

La tipificación autónoma de los daños informáticos vino de la mano del Convenio de Cibercriminalidad en 2010, previendo un delito con dos grandes tipos de conductas: la destrucción de datos, programas o documentos; y la interrupción del funcionamiento de sistemas. En la actualidad e incluso con las previsiones de reforma, los delitos se construyen con un claro abuso de conceptos jurídicos indeterminados y estableciendo marcos de pena de prisión elevados.

La modalidad de destrucción de datos del artículo 264.1 CP actual sanciona con pena de prisión a quien, sin autorización y de forma grave, borre, dañe, deteriore, altere, suprima o haga inaccesible datos, programas o documentos cuando el resultado fuese grave.

El objeto de la destrucción son datos (cualquier información informática), programas (elementos de software útiles para determinada función) o documentos electrónicos (conjuntos de dato contenidos en un concreto archivo). El “daño” en el sabotaje informático se aleja de la tradicional noción de destrucción física permanente. Habremos de asumir un concepto funcional de la propiedad más allá del concepto de indemnidad de la “cosa”. Los daños informáticos podrán producirse, entonces, por destrucción de los datos, de su interconexión lógica, de su accesibilidad, etc.

Prevé el tipo penal el requisito de que el daño se produzca con falta de autorización. Quien destruye datos de su propiedad no comete delito, como ya fue analizado en el Auto de 30 de octubre de 2013 del Juzgado de Instrucción nº32 de Madrid (destrucción discos duros del Partido Popular).

El delito sólo se comete si la conducta de sabotaje es “grave” y el resultado producido es “grave”.  El concepto jurídico indeterminado da lugar a múltiples problemas de aplicación práctica y a la mayoría de estrategias defensivas en juicio. ¿Cómo calcular el daño y su gravedad? ¿Dependerá del tipo de datos borrado? ¿Del carácter permanente o no del borrado?

La gravedad de los daños informáticos (desvalor del resultado) se deberá evaluar a través del valor de pérdida de funcionalidad del objeto del delito, sin confundir nunca daño directo (elemento del tipo) con perjuicio ocasionado. Los gastos de limpieza de mensajes, nuevo software de protección, lucro cesante, etc., serán conceptos integrados en el perjuicio objeto de la reclamación de responsabilidad civil pero no integran el concepto de daño.

Cuestión interesante es la que analiza las posibilidades de consumación de daños informáticos que afectan a datos protegidos por copias de seguridad. En principio, el daño se mantendría pero la facilidad de recuperación de los datos a través de backup abogaría por la aplicación de un supuesto de tentativa de delito. Cuando el restablecimiento resulte complejo y el borrado genere problemas al sistema, el daño se habrá consumado (SAP Sevilla, 7ª de 30/12/2011).

La confusa redacción del precepto hace referencia también a la “gravedad” de la conducta desplegada por el autor (desvalor de la acción). Es evidente que el legislador pretende incriminar conductas generadoras de un determinado riesgo específico, pero ¿qué es una conducta grave en materia informática? Los problemas son difíciles. Podríamos atenernos al tipo de vía técnica usada en el ataque, al número de zombis de la botnet, al tipo de objetivo atacado o finalidad pretendida, etc.

La jurisprudencia no ofrece ninguna solución interpretativa cuando aborda el tema de la gravedad del resultado y la conducta. Dicha gravedad se presupone sin razonamiento alguno, por ejemplo, en las SSAP Valencia, 4ª de 10/06/2011, Asturias 8ª de 04/02/2013 o Madrid 6ª de 03/06/2013.

Seguramente una mejor opción político-criminal hubiera sido centrar el foco en el tipo de conducta, dejando el resultado estrictamente en la órbita de la responsabilidad civil.

Las propuestas de UPyD resultan técnicamente sugerentes independientemente de su orientación político-criminal. En ellas se ofrece una regulación autónoma de los delitos informáticos basada en la creación de un nuevo bien jurídico protegido, la “integridad” de los sistemas informáticos, mucho más allá de la perspectiva patrimonial del artículo 264 CP actual. Es meritorio el esfuerzo por ofrecer criterios de interpretación de la gravedad del resultado (perjuicio patrimonial directo e indirecto, grado de interrupción del sistema, aparición de situación de desconfianza hacia el ofendido) pero se mantiene la problemática de hacer depender el delito de la valoración de un resultado que en ocasiones confunde daño y perjuicio, cuando el perjuicio penalmente siempre ha residido en la órbita de la responsabilidad civil y no de la tipicidad penal.

Plantear un sistema de bien jurídico no estrictamente patrimonial afectaría, además, a otros aspectos de la regulación actual, como la inoperatividad de la excusa absolutoria entre parientes o la incriminación de los daños informáticos producidos sobre equipos propios.

En 2010 se introdujo, siguiendo el mandato europeo, una segunda modalidad típica (264.2 CP) de sabotaje relacionado con la interrupción de servicios informáticos, pensada para los ataques DoS.

La Reforma del CP supondrá una evolución del precepto, ahora separado en el futuro artículo 264 bis CP. En el nuevo delito de interrupción de sistemas reformado desaparecerá la referencia al resultado “grave” y en él se establecen numerosas agravaciones, algunas de las cuales dependen de que se haya causado una afectación “relevante” a la actividad de la empresa atacada. Supuestos de ataques DoS a infraestructuras críticas (ver estudio ENATIC ISMS-Forum) fácilmente serán acreedoras de numerosas agravaciones y de sanciones rayanas en el tope máximo de pena (¡nada más y nada menos que 8 años de prisión!). La actualidad de la ciberguerra es algo evidente.

No parece posible atentar contra el principio de taxatividad de forma tan evidente como lo hacen las modalidades agravadas de daños informáticos (tanto en su regulación actual como en la Reforma), llenas de conceptos indeterminados. Dichas modalidades imponen penas graves de prisión en supuestos de criminalidad organizada y de “especial gravedad” del resultado causado, ampliadas en la Reforma al ataque a infraestructuras críticas, uso ilícito de datos para facilitar acceso al sistema, o a la causación de resultados de “extrema gravedad”.

La ciberdelincuencia está en el punto de mira de la política-criminal moderna y la lucha contra el fenómeno generará escenarios de alto reproche penal con consecuencias penológicas inéditas.

 Andreu Van den Eynde Adroer

Abogado Penalista

www.eynde.es / www.auditoriapenal.com

Twitter @eyndePenal