Skip to main content
Prueba Lexiel gratisProbar ahora →
Ciberdelitos en España: estafa informática, acceso ilícito y delitos digitales (Código Penal)
Procedimientos11 minEquipo Lexiel

Ciberdelitos en España: estafa informática, acceso ilícito y delitos digitales (Código Penal)

Guía completa sobre delitos informáticos en España: estafa informática (Art. 248.2 CP), acceso ilícito a sistemas (Art. 197 bis), daños informáticos (Art. 264 CP), sexting, grooming, competencia territorial y prueba digital.

ciberdelitosestafa informáticadelitos digitalesprueba digitalConvenio Budapest

Ciberdelitos en España: marco legal y práctica forense

La ciberdelincuencia se ha convertido en uno de los fenomenos criminales de mayor crecimiento en España. Según el Ministerio del Interior, en 2024 se registraron más de 375.000 infracciones penales relacionadas con las TIC, un incremento del 26% respecto al año anterior. La estafa informática representa el 87% de los ciberdelitos, seguida del acceso ilícito a sistemas y los delitos contra la intimidad.

Para el abogado penalista, los ciberdelitos presentan desafios específicos: la volatilidad de la prueba digital, la dimension transfronteriza de los hechos, y una tipificación penal que ha evolucionado significativamente con las reformas del Código Penal de 2010 y 2015.

Estafa informática (Art. 248.2 CP)

Tipo básico

El Art. 248.2 CP tipifica como estafa la obtención de un beneficio patrimonial mediante:

"la manipulación informática o artificio semejante que consiga la transferencia no consentida de cualquier activo patrimonial en perjuicio de tercero"

Elementos del tipo

  1. Manipulación informática: Cualquier alteracion, intervención o uso no autorizado de sistemas informáticos (phishing, malware, suplantación de credenciales)
  2. Transferencia no consentida: El desplazamiento patrimonial debe producirse sin la voluntad del titular
  3. Animo de lucro: Intencion de beneficio patrimonial para si o para un tercero
  4. Perjuicio de tercero: Daño económico efectivo

Penas

ModalidadPena
Tipo básico (Art. 248)6 meses - 3 años prisión
Cualificada por cuantía > 50.000 EUR1 - 6 años prisión + multa 6-12 meses
Uso de menores o personas con discapacidadPena superior en grado
Banda organizada (Art. 250.2)4 - 8 años prisión

Modalidades típicas

  • Phishing: Suplantación de identidad por correo electrónico, SMS (smishing) o llamada (vishing) para obtener credenciales bancarias
  • Fraude con tarjetas: Clonacion (skimming), uso no autorizado de datos de tarjeta (carding)
  • Business Email Compromise (BEC): Intervención de comunicaciones empresariales para desviar pagos a cuentas controladas por los delincuentes
  • Estafa del CEO: Suplantación de la identidad de un directivo para ordenar transferencias fraudulentas
  • SIM swapping: Duplicado de tarjeta SIM para interceptar códigos de autenticación bancaria

Jurisprudencia relevante

  • STS 506/2015, de 27 de julio: El phishing constituye estafa informática del Art. 248.2 CP, no estafa clásica del Art. 248.1.
  • STS 369/2020, de 2 de julio: La mera recepción de fondos en cuenta bancaria propia procedentes de phishing constituye receptacion o blanqueo (Art. 301 CP), no complicidad en estafa.

Acceso ilícito a sistemas informáticos (Art. 197 bis CP)

Tipo penal

El Art. 197 bis.1 CP castiga con pena de 6 meses a 2 años de prisión a quien:

"por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información"

Elementos clave

  1. Vulneración de medidas de seguridad: No basta con acceder a un sistema sin protección; deben existir barreras de seguridad que el sujeto supere
  2. Falta de autorización: El acceso debe ser ilegitimo (excluye a empleados con credenciales validas que acceden dentro de su ámbito)
  3. Sistema de información: Cualquier dispositivo o conjunto de dispositivos que almacena, procesa o transmite datos electrónicos

Interceptación de transmisiones (Art. 197 bis.2 CP)

Se castiga con 3 meses a 2 años de prisión o multa de 3-12 meses la interceptación de transmisiones no públicas de datos informáticos (sniffing, man-in-the-middle).

Facilitacion de herramientas (Art. 197 ter CP)

Se castiga con 6 meses a 2 años de prisión o multa de 3-18 meses a quien produzca, adquiera para uso, importe o facilite a terceros:

  • Programas o herramientas diseñados para cometer los delitos de los Arts. 197 bis y 197
  • Contrasenas o códigos de acceso

Daños informáticos (Art. 264 CP)

Tipo básico (Art. 264.1 CP)

Pena de 6 meses a 3 años de prisión para quien:

"por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos"

Sabotaje informático (Art. 264 bis CP)

Pena de 6 meses a 3 años de prisión para ataques contra la disponibilidad de los sistemas informáticos:

  • Ataques de denegación de servicio (DDoS)
  • Inutilizacion de sistemas
  • Interrupciones graves del funcionamiento

Cualificaciones (Art. 264.2 CP)

Pena de 2 a 5 años de prisión + multa cuando:

  • Afecte a infraestructuras críticas (energia, transporte, sanidad)
  • Se cometa en el marco de una organización criminal
  • Los daños superen determinados umbrales económicos
  • Cree una situación de peligro grave

Delitos contra la intimidad digital

Sexting no consentido (Art. 197.7 CP)

Pena de 3 meses a 1 año de prisión o multa de 6-12 meses para quien:

"sin autorización de la persona afectada, difunda, revele o ceda a terceros imagenes o grabaciones audiovisuales de aquella que hubiera obtenido con su anuencia en un domicilio o en cualquier otro lugar fuera del alcance de la mirada de terceros"

Agravante: Si la víctima es menor de edad, persona con discapacidad o la difusion se realiza con ánimo de lucro, la pena se agrava (Art. 197.7, párrafo 2 CP).

Child grooming (Art. 183 ter CP)

Pena de 1 a 3 años de prisión o multa de 12-24 meses para quien:

"a través de internet, del teléfono o de cualquier otra tecnologia de la información y la comunicación contacte con un menor de dieciseis años y proponga concertar un encuentro con el mismo"

Requisitos: El contacto debe ir acompañado de actos materiales encaminados al acercamiento.

Competencia territorial

El problema jurisdiccional

Los ciberdelitos presentan un desafio específico de competencia territorial: el autor puede estar en un país, el servidor en otro y la víctima en un tercero.

Criterios de atribucion (Art. 23 LOPJ y Convenio Budapest)

CriterioFundamento
Lugar de producción del resultadoArt. 14 LECrim: el daño se produce donde la víctima sufre el perjuicio patrimonial
Lugar de la acciónDonde se ejecuta la manipulación informática
Nacionalidad del autorArt. 23.2 LOPJ: jurisdiccion española para delitos cometidos por nacionales en el extranjero
Convenio de BudapestInstrumento de cooperación internacional: solicitudes de preservación de datos (Art. 29), asistencia mutua (Art. 31)

Convenio de Budapest (Convenio sobre la Ciberdelincuencia, 2001)

España ratificó el Convenio de Budapest en 2010. Es el principal instrumento internacional para:

  • Armonización de tipos penales informáticos
  • Cooperación internacional en investigación
  • Solicitudes de preservación y obtención de prueba digital transfronteriza
  • Red 24/7 de puntos de contacto para emergencias

Prueba digital: obtención y validez

Principios fundamentales

La prueba digital en el proceso penal español está sujeta a:

  1. Legalidad (Art. 11.1 LOPJ): Las pruebas obtenidas con vulneración de derechos fundamentales son nulas
  2. Autenticidad: Debe acreditarse que la prueba no ha sido manipulada (hash, cadena de custodia)
  3. Integridad: La cadena de custodia debe documentar todo el proceso de recogida, transporte y almacenamiento

Diligencias de investigación tecnológica (Arts. 588 bis a - 588 octies LECrim)

La LO 13/2015 introdujo un completo marco normativo para la investigación tecnológica:

MedidaArtículoAutorización
Interceptación de comunicaciones telefonicas/telematicasArt. 588 ter aJudicial
Registro de dispositivos de almacenamiento masivoArt. 588 sexies aJudicial
Registros remotos sobre equipos informáticosArt. 588 septies aJudicial (delitos tasados)
Utilización de datos de identificación de terminalesArt. 588 bis lPolicia (urgencia) / Judicial

Cadena de custodia digital

El tratamiento de la prueba digital exige:

  • Clonado forense del dispositivo original (imagen bit a bit)
  • Hash criptográfico (SHA-256) de la copia forense
  • Acta de intervención con descripción detallada del dispositivo
  • Almacenamiento seguro con control de accesos
  • Documentación completa de cada persona que accede a la evidencia

STS 300/2015, de 19 de mayo: La ruptura de la cadena de custodia no determina automáticamente la nulidad de la prueba, pero afecta a su fuerza probatoria y el tribunal puede no otorgarle valor.

Responsabilidad penal de las personas jurídicas

Desde la reforma del CP por LO 1/2015, las personas jurídicas pueden ser penalmente responsables por ciberdelitos cometidos por sus empleados o administradores (Art. 31 bis CP).

Delitos informáticos que generan responsabilidad penal corporativa

  • Estafas informáticas (Art. 251 bis CP)

  • Delitos contra la intimidad y secretos (Art. 197 quinquies CP)
  • Daños informáticos (Art. 264 quater CP)
  • Blanqueo de capitales (Art. 302.2 CP)

Compliance penal como eximente

La existencia de un modelo de cumplimiento normativo (compliance program) eficaz puede eximir de responsabilidad penal a la persona jurídica (Art. 31 bis.2 CP), o al menos atenuarla.

Conclusión

Los ciberdelitos exigen del abogado penalista una doble especialización: dominio de los tipos penales informáticos del Código Penal y comprension técnica de la prueba digital y su cadena de custodia. La dimension transfronteriza anade complejidad procesal que requiere conocimiento del Convenio de Budapest y los mecanismos de cooperación internacional.

En un contexto donde la ciberdelincuencia crece un 25% anual, la especialización en este ámbito no es una opción sino una necesidad profesional.

Lexiel te ofrece acceso instantaneo a todos los tipos penales de ciberdelitos, jurisprudencia del Tribunal Supremo sobre prueba digital y el Convenio de Budapest, con citas verificadas contra fuentes oficiales.

Prueba Lexiel gratis durante 14 días ->

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.