Inicio » Blog » General : ¿Cuántos años les caerían a los hackers de WannaCry?

Los delitos informáticos

El ataque informático a nivel mundial del vienes 12 pasado afectó seriamente a Telefónica y, según el CNI, también a otras muchas entidades en nuestro país. El éxito del ataque -que ya se conoce como WannaCry-, cuyo alcance real probablemente no conoceremos nunca, puso de manifiesto que las medidas técnicas de protección no resultaron eficaces.

Pero, ¿qué hay de las medidas legales?, ¿qué sistema de protección legal tenemos en España frente a estos hackers?, ¿cuántos años pasarían a la sombra si se les echa el guante en nuestro país?

Delito de sabotaje informático

En lo que viene al caso, según lo que conocemos de la actuación de los hackers, nuestro Código Penal (art. 264 bis CP) castiga a quien, sin estar autorizado, obstaculice o interrumpa el funcionamiento de un sistema informático ajeno, haciendo inaccesibles datos o programas o documentos electrónicos, afectando a un número elevado de sistemas, perjudicando gravemente el funcionamiento de servicios públicos esenciales, o afectando a una infraestructura crítica.

A la vista del tipo penal descrito, que se ajusta como un guante a lo acontecido, parece claro que la pena de prisión prevista para el mismo, de 3 a 8 años, ha de pender sobre las cabezas de los piratas.

Delito de descubrimiento de secretos

Los hackers pudieron acceder muy probablemente, sin estar autorizados y con fines lucrativos, a datos registrados en ficheros informáticos ajenos. Esta actuación está penada por el art. 197.2 CP con prisión de 2 y medio a 4 años (o de 4 a 6 años si se realizan en el seno de una organización criminal), siempre que sean “datos reservados de carácter personal o familiar”.

¿Y qué se consideran a efectos penales datos reservados?

El Tribunal Supremo lo aclara en su STS 1328/2009, de 30 de diciembre, ponente Berdugo Gómez de la Torre, y, como resultado de larga disquisición, viene a determinar que han de considerarse como reservados los datos que el hacker no conozca y cuyo titular no desee que se conozcan.

En el caso de los clientes de Telefónica, surgen algunas dudas al tratarse de datos relativos al domicilio, número de teléfono o cuenta corriente (cancha para las acusaciones y las defensas); pero en el caso del también afectado Sistema de Salud británico, por ejemplo, no hay duda que valga y los datos a los que pudieron acceder los piratas informáticos han de considerarse reservados por afectar de lleno a la intimidad de innumerables pacientes.

Así que, por este delito, de 2 y medio a 4 años; o de 4 a 6 años si no fue un individuo aislado (no descartable, hay mucho friki suelto) sino un grupo organizado.

Delito de extorsión

Y “last but not least” -como decimos los británicos-, los hackers pretendieron lucrarse exigiendo un precio por desactivar el bloqueo que ellos mismos habían provocado en los sistemas informáticos de los afectados.

Esta conducta se incardina perfectamente en la tipificada en el Código Penal como delito de extorsión (art. 243 CP), que castiga con pena de 1 a 5 años de prisión a quienes, a los efectos que aquí nos interesan, “con ánimo de lucro obliguen a otro, con intimidación, a realizar un negocio jurídico en perjuicio de su patrimonio”.

Otra pena más, de 1 a 5 añitos, a incorporar a la lista.

Pero… ¿dos y dos son cuatro?

El Derecho Penal no es aritmética pura y aquí dos más dos no suelen ser cuatro; bien es verdad que nunca cinco, pero sí que casi siempre dos más dos resultan ser tres o menos.

¿Y eso? Por las reglas especiales de aplicación de las penas a los concursos de delitos (concurso de delitos, muy simplificadamente, viene a significar delitos cometidos a la vez, en unidad de hecho).

Veamos. La actuación de los hackers consistió, en definitiva, en acceder a sistemas informáticos y sabotearlos con el objeto de extorsionar a las víctimas.

En términos penales, realizaron un delito de sabotaje del art. 264 bis CP en concurso ideal con otro delito de descubrimiento de secretos del art. 197.2 CP (incurrieron en ambos delitos por la misma acción), y ello a su vez en concurso medial con otro delito de extorsión del art. 243 CP (el sabotaje no era más que un medio para su propósito final, que era extorsionar).

Solo apuntaré muy brevemente la importancia, para determinar el tipo de concurso y –en consecuencia- la pena total aplicable, de determinar si los bienes jurídicos protegidos por los tres delitos son los mismos o diferentes. El delito de sabotaje del art. 264 CP protege la propiedad sobre el sistema informático y su derecho de uso, el delito de descubrimiento de secretos del art. 197 CP protege la intimidad personal, y el delito de extorsión del art. 243 CP la libertad y el patrimonio de la víctima. O sea, tres delitos distintos y bienes jurídicos protegidos no coincidentes.

Pues bien, en aplicación de las reglas especiales para la aplicación de las penas que establece el art. 77 CP al concurso de delitos que se aprecia en el caso, los hackers deberían ser condenados a estar a la sombra 8 años, como mínimo.

No está nada mal para una broma pesada… ¿O no lo era?

Abogado súper especialista en Penal Económico Rafael Abati

CategoryGeneral