Derecho penal

Delitos informáticos más frecuentes y cómo protegerte legalmente

La digitalización ha multiplicado la agilidad con la que operamos y en consecuencia y los riesgos. Según los últimos datos del Ministerio del Interior, en 2024 las denuncias de víctimas de ciberdelitos crecieron un 22 % respecto al año anterior. 

Conocer qué conductas constituyen delito y qué herramientas jurídicas tienes para defenderte es hoy tan importante como instalar un buen antivirus. La realidad es que —salvo en los tribunales— casi nadie habla en términos de “hurto” o “estafa”; todo el mundo habla de phishing, ransomware o spoofing

En este artículo te explicamos los delitos informáticos más comunes y cómo actuar para protegerte o reclamar en caso de que hayas sido víctima de alguno de ellos.

¿Qué se considera un delito informático?

Un delito informático es aquella conducta delictiva que tiene como objeto, medio o entorno los sistemas informáticos, los datos digitales o las tecnologías de la información y la comunicación.

No existe un título específico que agrupe todos los ciberdelitos, sino que estos se dispersan en distintos artículos del Código Penal (CP), dependiendo del bien jurídico protegido: la intimidad, el patrimonio, la seguridad informática, el honor, la fe pública o incluso la integridad moral. Estas conductas pueden ir desde el acceso no autorizado a sistemas, la interceptación de comunicaciones, la difusión de malware, hasta la estafa mediante manipulación automatizada o la usurpación de identidad digital.

Así, en el ordenamiento español no existe un “catálogo” único de ciberdelitos; se trata de conductas tipificadas en distintos preceptos penales cuando el objeto, el medio o el bien jurídico atacado es digital

Algunos de los principales preceptos aplicables son:

  • Artículo 197 y siguientes: regulan los delitos contra la intimidad y el secreto de las comunicaciones, incluyendo el acceso no autorizado a datos personales, la interceptación de mensajes electrónicos, la instalación de programas espía y la difusión de información sensible sin consentimiento. También contempla agravantes cuando los datos afectan a menores o a información especialmente protegida (salud, orientación sexual, ideología…).
  • Artículos 248 y 249: tipifican la estafa tradicional y la estafa informática, esta última específicamente cuando se manipulan datos o sistemas informáticos para provocar un desplazamiento patrimonial automatizado, sin intervención humana directa (por ejemplo, phishing, spoofing, carding, CEO fraud, etc.).
  • Artículos 264 a 264 ter: regulan los delitos de daños informáticos, incluyendo la destrucción, alteración o inaccesibilidad de datos y sistemas, los ataques de denegación de servicio (DDoS), la difusión de virus, troyanos o ransomware, y la facilitación de herramientas para cometer este tipo de conductas.
  • Artículo 172 ter: sanciona el acoso reiterado por medios tecnológicos (stalking digital), como el envío constante de mensajes amenazantes, la vigilancia electrónica o la intrusión digital con intención de alterar gravemente la vida de la víctima.
  • Artículo 183 ter: castiga el grooming o captación de menores por medios electrónicos para obtener imágenes sexuales o concertar encuentros de carácter delictivo.
  • Artículos 401 y 390 a 392: contemplan la falsedad documental, incluyendo la suplantación de identidad digital mediante el uso de documentos o certificados electrónicos falsos, así como la creación o alteración de credenciales electrónicas, certificados digitales y firmas electrónicas.

En definitiva, un delito informático en España se configura como una infracción penal cometida en el entorno digital o mediante herramientas informáticas, ya sea con la finalidad de obtener beneficios ilícitos, causar daños, invadir la privacidad, manipular información o suplantar identidades.

Delitos informáticos más frecuentes en España (y qué dice la ley)

1. Descubrimiento y revelación de secretos (artículo 197 del CP)

El artículo 197 protege el núcleo duro de la privacidad: comunicaciones, datos personales y, en general, cualquier información que el titular quiera mantener a salvo de terceros. A grandes rasgos, el precepto castiga tres planos distintos de ataque:

  1. Obtención clandestina: Apoderarse de correos, bases de datos, mensajes de WhatsApp, grabaciones de vídeo o audio, o interceptar telecomunicaciones sin permiso (art. 197.1 y 197.2)
    • Pena: de 1 a 4 años de prisión y multa de 12-24 meses
  2. Difusión o cesión: Revelar o compartir la información obtenida —por ejemplo, reenviar en un canal de Telegram la copia de seguridad de WhatsApp ajena— (art. 197.3) 
    • Pena: de 2 a 5 años de prisión
  3. Recepción consciente: Publicar o reenviar a sabiendas datos obtenidos ilícitamente, aunque el autor no participara en el acceso original (art. 197.3, párr. 2)
    • Pena: de 1 a 3 años de prisión y multa de 12-24 meses

Agravantes 

El legislador introduce umbrales que convierten la infracción en delito cualificado:

    1. Posición de confianza. Si el autor es el administrador del sistema, el responsable del fichero o un técnico de soporte con credenciales privilegiadas.
    2. Uso de datos ajenos para acceder—por ejemplo, emplear sin permiso la clave del propio afectado—.
    3. Naturaleza hipersensible de la información: ideología, religión, salud, orientación sexual, origen racial o datos de menores. 
    4. Ánimo de lucro (art. 197.6). Monitorear chats de competidores para vender la información, o filtrar historiales clínicos en la dark web, eleva automáticamente la pena a la mitad superior correspondiente.

Revenge porn” y divulgación de imágenes obtenidas con consentimiento (art. 197.7)

No hace falta hackear; la difusión de imágenes íntimas que la víctima entregó voluntariamente —por ejemplo, fotografías íntimas enviadas dentro de la relación de pareja— es un delito castigado con las penas:

    • De 3 meses a 1 año de prisión o multa de 6-12 meses por publicar el contenido sin permiso.
    • Multa de 1-3 meses para quien lo reenvíe o siga difundiendo sabiendo su origen.

2. Acceso ilícito y sustracción de datos – hacking (artículos 197 bis y ter)

En el entorno digital, entrar sin autorización en un sistema informático —aunque solo sea para “mirar”— constituye un delito autónomo. No es necesario que el intruso robe, modifique o difunda información: basta con vulnerar las barreras de seguridad para que exista responsabilidad penal. Este tipo de conductas se engloban bajo el concepto jurídico de acceso ilícito, contemplado expresamente en los artículos 197 bis y 197 ter del Código Penal, introducidos por la reforma de la Ley Orgánica 1/2015 para adecuar nuestra legislación a la Directiva 2013/40/UE.

Conducta típica

El artículo 197 bis del CP castiga con penas de prisión de seis meses a dos años a quien:

  • Acceda sin estar autorizado a todo o parte de un sistema de información, vulnerando las medidas de seguridad técnicas u organizativas.
  • Se mantenga en ese sistema en contra de la voluntad del titular legítimo.
  • Facilite a otra persona el acceso no autorizado.
  • Intercepte, sin permiso, transmisiones no públicas de datos informáticos (por ejemplo, tráfico interno de red, paquetes de datos cifrados o comunicaciones internas de una empresa).

No importa si el atacante no causa daño aparente o no accede a datos personales: el simple acto de penetrar un sistema sin autorización ya es delito.

Herramientas y medios: delito autónomo del artículo 197 ter CP

El artículo 197 ter amplía la protección penal a quienes desarrollan, adquieren, importan o distribuyen herramientas diseñadas específicamente para cometer delitos informáticos.

Se castiga con pena de prisión de seis meses a dos años o multa de tres a dieciocho meses a quien:

  • Produzca o adapte programas informáticos (malware, keyloggers, troyanos…) concebidos principalmente para cometer accesos ilícitos.
  • Adquiera o facilite a terceros contraseñas, claves de acceso o datos similares que permitan entrar sin permiso en un sistema informático.

Esto significa que no solo el que entra al sistema incurre en delito: también lo hace quien proporciona los medios para ello, aunque no participe directamente en el ataque.

Por ejemplo, un ex empleado de una empresa, tras ser despedido, conserva su cuenta activa y accede al CRM corporativo para descargar la cartera de clientes. Aunque no modifique los datos ni los utilice públicamente, está cometiendo un delito de acceso ilícito conforme al art. 197 bis.

3. Estafa informática, phishing y fraude de medios de pago (artículos 248 y 249)

La mayoría de los ciberdelitos denunciados en España tienen un móvil económico, destacando las estafas digitales, muchas de ellas dirigidas a conseguir transferencias bancarias no consentidas mediante phishing, suplantación de identidad o manipulación de sistemas informáticos

¿Qué se castiga?

Comete estafa informática quien, con ánimo de lucro:

  • Consigue una transferencia patrimonial no consentida al manipular indebidamente un sistema informático o sus datos, como en los fraudes por phishing o smishing.
  • Utiliza fraudulentamente tarjetas bancarias, físicas o virtuales, o los datos que permiten operar con ellas.

Además, se sancionan como delitos preparatorios:

  • La fabricación o posesión de software, dispositivos o datos diseñados para cometer estas estafas.
  • La compra o tenencia de tarjetas o credenciales robadas, incluso si no se ha llegado a utilizarlas.

En general, estos delitos conllevan penas de prisión de seis meses a tres años

Por ejemplo, un ciberdelincuente envía correos suplantando a una entidad financiera. La víctima introduce sus credenciales en una web falsa, que el autor usa para ordenar una transferencia desde su cuenta. 

4. Daños informáticos, ransomware y sabotaje (artículos 264 a 264 ter)

Los ataques de ransomware o sabotaje informático no solo bloquean el acceso a la información digital, sino que pueden poner en peligro la continuidad de servicios esenciales, como hospitales, redes de transporte o suministros. En el Código Penal español, estas conductas están reguladas como delitos de daños informáticos, con penas que pueden alcanzar los cinco años de prisión, e incluso ocho años en los casos más graves.

 Comete este delito quien, sin autorización, y de forma grave:

  • Borra, daña, deteriora, altera, suprime o hace inaccesibles datos, programas o documentos electrónicos ajenos, siempre que el resultado sea relevante.
  • Las penas aumentan si el ataque:
    • Forma parte de una organización criminal.
    • Causa daños de especial gravedad o afecta a un número elevado de sistemas.
    • Perjudica servicios públicos esenciales, como centros sanitarios, emergencias, infraestructuras críticas o bienes de primera necesidad.
    • Crea un peligro grave para la seguridad nacional o de la UE.

Obstaculización o interrupción del sistema

Se  castiga a quien impida el funcionamiento de un sistema ajeno, por ejemplo:

    • Introduciendo malware o ransomware que bloquea servidores.
    • Dañando dispositivos físicos de almacenamiento.
    • Inutilizando sistemas informáticos mediante saturación (DDoS, por ejemplo).

Si se afecta de forma grave la actividad normal de una empresa, un negocio o una administración pública, se aplicarán las penas en su mitad superior.

Herramientas de sabotaje 

No solo se castiga el daño, sino también la fabricación, posesión o distribución de herramientas para cometer estos delitos:

Por ejemplo, un grupo lanza un ataque de ransomware contra el sistema informático de un hospital, cifrando sus datos médicos y exigiendo un rescate en criptomonedas para desbloquear los archivos. 

5. Ciberacoso y stalking (artículo 172 ter)

El ciberacoso se produce cuando una persona, de forma insistente o reiterada, invade la esfera de privacidad digital de otra hasta alterar gravemente su rutina cotidiana.

Se consideran actos de acoso, entre otros:

  • Vigilar, seguir o buscar la cercanía física de la víctima.
  • Intentar establecer contacto por cualquier medio (mensajes, llamadas, redes sociales), incluso a través de terceros.
  • Utilizar indebidamente los datos personales de la víctima para contratar servicios o hacer que otras personas se pongan en contacto con ella.
  • Atentar contra su libertad o su patrimonio, o contra los de personas cercanas a ella.

En el ámbito tecnológico, este delito adopta formas como:

  • Envío masivo de mensajes o llamadas, pese a haber sido bloqueado.
  • Geolocalización no consentida mediante aplicaciones espía.
  • Creación de perfiles falsos en redes sociales usando la imagen de la víctima.
  • Contratación de servicios a nombre de la víctima para acosarla o humillarla.

Delito de suplantación con fines de acoso

El artículo 172 ter también castiga a quien, sin consentimiento, use la imagen de una persona para crear anuncios o perfiles falsos con el fin de acosar o humillar. 

Por ejemplo, una víctima comienza a recibir mensajes anónimos cada noche, alguien le encarga comida a su casa desde plataformas online y se crean cuentas falsas con su imagen en páginas de contactos. Aunque no haya amenazas directas ni contacto físico, estos hechos constituyen ciberacoso. 

¿Qué hacer si eres víctima de un delito informático?

  1. Preserva la prueba digital: Descarga correos, haz capturas con sello de tiempo e impide que el dispositivo siga sobrescribiendo los registros. 
  2. Denuncia cuanto antes. Puedes acudir a:
    • La comisaría de policía más cercana, o
    • Al Juzgado de Guardia
  3. Notifica brechas de datos. Empresas y profesionales deben comunicar a la AEPD en un plazo de 72 horas desde el ataque.
  4. Actúa rápido frente al phishing: bloquea tarjetas, contacta con el banco y solicita la reversión de la operación en tu banco.

¿Cómo prevenir los delitos informáticos?

Prevenir los delitos informáticos no solo es una cuestión técnica: también es una obligación legal y una oportunidad estratégica. Implantar un modelo de cumplimiento normativo (compliance) eficaz puede proteger a la empresa frente a sanciones administrativas, reclamaciones civiles y responsabilidades penales (art. 31 bis del Código Penal).

1. Gobierno corporativo de la ciberseguridad

  • Políticas internas claras y actualizadas, que regulen el uso de los sistemas, el acceso a la información y la actuación ante incidentes.
  • Inventario de activos digitales críticos, incluyendo datos personales, financieros y operativos.
  • Evaluación periódica de riesgos, alineada con estándares como ISO 27001 o ENISA.

2. Medidas técnicas esenciales

  • Cifrado de datos sensibles, tanto en tránsito como en reposo.
  • Doble factor de autenticación en accesos internos y remotos.
  • Copias de seguridad inmutables y fuera de línea.
  • Microsegmentación de red, para evitar la propagación de malware.

3. Formación continua al personal

El 91 % de los ciberataques se inicia con un clic. Por ello, formar a los empleados en ciberseguridad es clave: detección de correos fraudulentos, buenas prácticas con contraseñas y uso seguro de dispositivos deben integrarse en la cultura de empresa.

4. Respuesta a incidentes y seguros cyber

  • Un SOC (Centro de Operaciones de Seguridad) 24/7 puede reducir el impacto económico de un ciberataque hasta en un 50 %.
  • Los seguros de ciberseguridad cubren gastos legales, periciales, sanciones y pérdidas operativas.

5. Modelo de prevención penal (compliance) – art. 31 bis CP

Disponer de un programa de prevención penal adaptado a los riesgos tecnológicos permite a la empresa evitar o reducir su responsabilidad penal en caso de ser investigada por delitos como sabotajes, filtraciones de datos o acceso ilícito a sistemas.

Buenas prácticas para particulares

Prevenir un ciberdelito en el entorno doméstico es tan importante como hacerlo en la empresa:

  • Actualiza y blinda tus dispositivos: Instala parches de seguridad y usa un buen antivirus; activa el cortafuegos nativo del sistema operativo y bloquea la instalación de apps de origen desconocido.
  • Contraseñas robustas + doble factor: Utiliza gestores de contraseñas y activa el 2FA en banca, redes sociales y correo. Evitarás el 80 % de los accesos ilícitos.
  • Copia de seguridad local y en la nube: Haz copias periódicas de tus fotos y documentos en un disco externo desconectado y en un servicio cloud cifrado: es la mejor vacuna frente al ransomware.
  • Ojo con el phishing: Ante cualquier enlace sospechoso, comprueba la URL y nunca introduzcas claves desde correos, SMS o mensajería. Recuerda que la mayoría de estafas comienza con un clic.
  • Gestiona tu banca online: Activa alertas de operación, revisa movimientos cada semana y notifica inmediatamente cualquier cargo extraño; el banco solo puede negarse a devolverte el dinero si demuestra tu negligencia grave.
  • Privacidad en redes sociales: Limita la información pública (fecha de nacimiento, dirección, rutinas). Cuantos menos datos expongas, más difícil será que suplanten tu identidad.

En conclusión, los delitos informáticos ya representan uno de cada cinco hechos delictivos denunciados en España. La buena noticia es que hoy existe un arsenal legal y procesal suficiente para perseguirlos, recuperar el daño económico e incluso reducir la responsabilidad penal de la empresa si acredita prevención eficaz.

Icono Whatsapp