¿ES DELITO ACCEDER SIN AUTORIZACIÓN A UNA BASE DE DATOS POLICIAL HACIENDO USO DE LAS CLAVES DE ACCESO DE UN COMPAÑERO?
“EL HACKING DE DESAFÍO O ALLANAMIENTO INFORMÁTICO”
En el año 2015, en virtud del número ciento siete del artículo único de la L.O. 1/2015, de 30 de marzo, por la que se modifica la L.O. 10/1995, de 23 de noviembre, del Código Penal se introdujo un nuevo artículo en el Código Penal, concretamente, el artículo 197bis, cuyo punto número uno establece literalmente lo siguiente:
“El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años”
Este nuevo precepto fue analizado por la Fiscalía General del Estado, en adelante FGE, en su Circular 3/2017, de 21 de septiembre, sobre la reforma del Código Penal operada por la LO 1/2015, de 30 de marzo, en relación con los delitos de descubrimiento y revelación de secretos y los delitos de daños informáticos.
El tipo penal al que hemos aludido (artículo 197bis, apartado 1), también conocido como allanamiento o intrusismo informático o hacking informático, castiga el acceso ilegal a sistemas informáticos y que, tal como ha señalado la FGE, “la tipificación independiente de esta figura pretende establecer una clara separación de los supuestos a los que se refiere el art. 197 CP, de acceso, apoderamiento o conocimiento irregular de datos o informaciones que afectan a la intimidad personal, frente a aquellos otros comportamientos en los que, aun existiendo un intromisión ilegal en datos o sistemas ajenos, no se ven afectados los datos de carácter personal o la intimidad de otro de manera directa”.
Continúa exponiendo la FGE que:
“La actual redacción del artículo, siguiendo los parámetros de la Directiva 40/2013/UE, mantiene la exigencia para la tipicidad de la conducta de que el acceso se lleve a efecto sin autorización y vulnerando las medidas de seguridad establecidas para impedirlo, y ello pese a que la necesaria confluencia de ambas circunstancias pudiera considerarse redundante. Lo que el Legislador castiga es el acceso no autorizado que se lleva a efecto desplegando una especial energía criminal, pues la aplicación del tipo requiere el quebrantamiento de medidas o códigos de seguridad, resultando atípica la intrusión no autorizada en la que no concurra dicha circunstancia. No obstante esta doble exigencia puede ser útil para solventar las dudas que pudieran generarse en determinados supuestos. Efectivamente, en relación con esta conducta y también con las que se sancionan en el nuevo art. 197ter, los considerandos 16 y 17 de la Directiva 2013/40/UE destacan especialmente la necesidad de constatar que la actividad se realiza con propósito delictivo, indicando al respecto que deberían quedar al margen de una posible responsabilidad penal aquellos supuestos en que la persona desconocía que el acceso no estaba autorizado o cuando, en el marco de una relación laboral o contractual, la conducta observada únicamente supone la infracción de políticas de usuario o el incumplimiento de las normas organizativas sobre utilización de los sistemas de información de la empresa”.
Pero, ¿qué debemos entender por medida de seguridad establecidas para impedir el acceso? De acuerdo con lo establecido en la Directiva y, siguiendo la doctrina de la FGE, tendrá la consideración de medida de seguridad toda aquella que se haya establecido con la finalidad de impedir el acceso al sistema, con independencia de que la misma sea más o menos sólida, compleja o robusta y también de que haya sido establecida por el administrador, el usuario, o por el instalador del sistema, siempre que se mantenga operativa como tal medida de seguridad por quien está legitimado para evitar el acceso.
Y, ¿qué debemos entender por actuar sin autorización? Sobre este particular se pronuncia el artículo 2, apartado d), de la Directiva 2013/40/UE que entiende como tal:
“un comportamiento al que se refiere la presente Directiva, incluido el acceso, la interferencia o la interceptación, que no haya sido autorizado por el propietario u otro titular del derecho sobre el sistema o parte del mismo o no permitido por el Derecho nacional”.
El tipo penal analizado por la Fiscalía en su Circular, y tal y como se señala en la misma, introduce las siguientes novedades:
a) Se contempla como conducta típica, además del propio acceso a un sistema informático ajeno -en las condiciones mencionadas-, la conducta de facilitar a otra persona ese mismo acceso, en idénticas condiciones, lo que permite incluir en el tipo supuestos no previstos hasta ahora, aunque, al menos en algunos casos, podrían haber sido abarcados como formas de participación criminal.
b) El objeto de la conducta típica se concreta en el conjunto o una parte de un sistema de información, suprimiéndose la referencia del precepto, en su inicial redacción, a los datos o programas informáticos contenidos en el sistema al que se accede. Obviamente, la acción de intromisión ilegal en un sistema de información pone al alcance del invasor todo su contenido, datos, programas o cualesquiera otros elementos, por lo que la supresión de la referencia a datos o programas amplía el alcance del precepto abarcando incluso aquellos accesos que alcanzan únicamente a archivos de mera configuración del sistema. Por tanto, con la nueva redacción se evidencia que no es necesario tomar contacto con datos o programas que contengan informaciones concretas sino que la conducta se consuma con la simple entrada en el sistema o parte del mismo.
Entonces, ¿qué debemos entender por sistema de información? La propia Directiva 2013/40/UE, en su artículo 2, apartado a), define sistema de información como:
“Todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.
Apunta la Fiscalía un interesantísimo punto de vista acerca de la posible comisión de un delito por el acceso no consentido al router de un domicilio, señalando que:
“Al respecto, y para percibir el sentido último del precepto analizado, no ha de olvidarse que la evolución tecnológica ha determinado que existan en nuestros domicilios auténticas redes informáticas domésticas cuyo punto de acceso y comunicación al exterior se lleva a efecto a través de los routers de las operadoras de comunicación. En consecuencia, el acceso a un router -en tanto forma parte de un sistema de información-, vulnerando su contraseña de seguridad, entendida en el sentido antes indicado, podría integrar este delito”.
Tal y como señala nuestro Alto Tribunal en la STS que seguidamente veremos, el precepto señalado en el apartado primero del artículo 197bis del CP castiga el conocido como hacking de desafío que es el acceso no consentido a sistemas informáticos sin producir daños en el mismo, para distinguirlo de la modalidad prevista en el apartado 2 de ese mismo artículo en el que se castiga el craking informático que es una actividad dañosa en el sistema informático en el que se engloban supuestos etiquetados como vandalismo digital, la difusión de virus y gusanos, el ciberterrorismo y también las de cracking dirigidos a la producción de daños, y que tienen en común la destrucción o menoscabo de sistemas, equipos, datos, programas o documentos informáticos.
Pues bien, sobre este tipo delictivo concreto, se pronuncia la reciente STS 494/2020, de 8 de octubre [Ponente: Vicente MAGRO SERVET] en la que se analiza el caso de un Policía Nacional destinado en el Grupo de Atención al Ciudadano G.A.C. de la Brigada Provincial de Policía de Valencia e implicado en delitos contra la salud pública y otros.
En la sentencia se declara probado lo siguiente: El policía condenado (funcionario de la Escala Básica, segunda categoría, destinado en el G.A.C. de la Brigada Provincial de Seguridad Ciudadana de Valencia) sobre las 06:38 del día 2 de junio de 2016, sin que tuviera relación con las funciones que como tal le hubiesen sido encomendadas, empleando las claves de un compañero agente de la Policía Nacional, accedió en las dependencias del 091 sita en el complejo de Zapadores de Valencia a la aplicación OBJETOS de la POLICÍA NACIONAL, base de datos de acceso restringido, a fin de consultar la titularidad de la motocicleta YAMAHA R1 con placas de matrícula … GKH , obteniendo un pantallazo de la información la cual fue transmitida a un tercero. Asimismo, sobre las 08:25 horas del día 22 de julio de 2016, empleando las claves de otra funcionaria, accedió a la aplicación ATLAS de la POLICÍA NACIONAL, otra base de datos de acceso restringido, en la Comisaría Valencia Marítimo, a fin de consultar la ficha policial de un súbdito colombiano, detenido por presunto delito de homicidio doloso, facilitándole nuevamente imágenes al tercero anteriormente aludido a fin de que este lo reconociera posteriormente, a pesar de que el acceso a las consultas en dichas aplicaciones informáticas por los agentes de la Policía Nacional se realiza con claves de uso personal y para uso profesional en el desarrollo de las funciones que le fueran asignadas.
Consta además que en el registro efectuado en su domicilio se le intervinieron 56 hojas de reseñas policiales y en terminal telefónico del tercero al que le había facilitado los datos en el que había una foto de una reseña policial de la aplicación Multisistema Atlas.
Asimismo, consta que, lejos de su actividad profesional, en fecha 3 de abril de 2016, procedió a realizar varias consultas en dicha base sobre su persona, su DNI e incluso, su propio vehículo a fin de poder conocer la existencia de cualquier señalamiento sobre su persona.
El agente de la Policía Nacional fue condenado por la Audiencia Provincial de Valencia (posteriormente ratificada por la Sala Civil y Penal del Tribunal Superior de Justicia de la Comunidad Valencia), aparte de por otros muchos delitos, por la comisión de un delito continuado de descubrimiento y revelación de secretos de los artículos 197bis y 198 CP.
La sentencia recurrida en casación ante el Alto Tribunal confirmó la condena y todo ello en base a las siguientes consideraciones:
Consideró el Tribunal Supremo que la ilicitud era evidente y claro su encaje en el art. 197bis CP, ya que:
a.- Se produce una vulneración de las medidas de seguridad establecidas para impedir el acceso a la base de datos policial.
b.- Existe acceso a datos de un sistema informático, como es el policial, digno de protección y tutela, pero, sobre todo, por los propios integrantes del Cuerpo de policía.
De acuerdo con la definición recogida en la Directiva antes citada, un sistema de información es: “todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automatizado de datos informáticos, así como los datos informáticos almacenados, tratados o recuperados o trasmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento”.
Dato informático es: “toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función”.
b.- No está debidamente autorizado para llevar a cabo ese acceso concreto, ya que lo esté para otros no le legitima para la obtención de esa información y menos para enviarla a terceros, poniendo en peligro la integridad del sistema en cuanto al objetivo de esos datos reservado para fines de las investigaciones.
Consta que el acceso se lleva a cabo sin relación con las funciones que como tal le hubiesen sido encomendadas.
En la reforma del CP de 2015 en este tipo penal se mantiene como límite de la tipicidad la exigencia de falta de autorización y de vulneración de las medidas de seguridad establecidas para impedir el acceso. Y esto es lo que ocurre. La conducta concreta se lleva a cabo con “falta de autorización”.
c.- El recurrente lo lleva a cabo en aras a relacionarlo con su propia actividad ilícita y aprovechándose de su condición de funcionario púbico que atrae el art. 198 CP.
d.- El recurrente accede al conjunto o una parte de un sistema de información como queda constatado en los hechos probados.
e.- El recurrente empleó la contraseña de un compañero (lo que supone acceso por cualquier medio o procedimiento), para obtener datos protegidos y reservados (como es el caso de antecedentes policiales) y tal uso de contraseñas ajenas no tenía otra finalidad que burlar las medidas de seguridad para evitar que el rastreo condujera a que fue él quien efectuaba las búsquedas o consultas. Además, carecía de autorización para obtener los datos consultados, pues no existía investigación en curso que le autorizara a las mismas.
f.- Frente a lo que alega el recurrente, que disponga de clave de acceso no le permite acceder a lo que estime por conveniente, sino a lo relacionado con su actuación profesional. La ajenidad en su objetivo en el acceso y uso para fines personales altera el derecho de acceso, y más si el entramado de la finalidad es delictivo, como así consta probado en la relación de delitos por los que es condenado.
Señala nuestro Alto Tribunal que:
“ […] que un requisito indispensable para que proceda la aplicación de este tipo penal es que la introducción en el sistema permita disponer de los datos que contiene con el fin de conocerlos, modificarlos, cambiarlos o utilizarlos. Asimismo, el tipo exige que el acceso ilícito al que venimos refiriéndonos se produzca como consecuencia de haber vulnerado las medidas de seguridad establecidas para evitarlo.
En lo que respecta a estas medidas de seguridad, es preciso matizar que no se trata de medidas establecidas para evitar el acceso al lugar donde se encuentra el propio sistema, sino que su objetivo radica en impedir el acceso a los datos y programas contenidos en el sistema. Así pues, quedan dentro del concepto de medidas de seguridad las claves que dan acceso al sistema, el firewall o las medidas de bloqueo del equipo.
En el caso concreto analizado en la sentencia, ha quedado probado que el recurrente vulneró esas medidas de seguridad, al no tener autorización para ese acceso que fue inconsentido”.
Por último, también se debate en la sentencia acerca del bien jurídico protegido en este tipo delictivo, señalándose en la misma que:
“[…] en cuanto al bien jurídico protegido en este caso, existen dos tesis a favor, por un lado, como ataque a la intimidad, y, por otro, a la seguridad informática. En cualquier caso, ambos pueden constituir el bien jurídico protegido de este tipo penal. Esto radica, como expone la doctrina, en que el acceso no consentido a un sistema informático puede poner en peligro la seguridad del mismo y la intimidad de su titular, pues el equipo informático que pertenezca a una persona también puede ser considerado como un ámbito reservado de la misma”
, por lo que podemos afirmar, que el bien jurídico protegido en este delito sería doble, por un lado, el derecho a la intimidad y, por otro, la seguridad informática.
En conclusión, nunca debemos de olvidar que las claves de acceso que se asignan a cada funcionario policial son personales e intransferibles, constituyendo auténticas medidas de seguridad que permiten el acceso, únicamente, a aquellas aplicaciones informáticas para las que cada funcionario haya sido habilitado en función de su puesto de trabajo y de su nivel de acceso y, por ende, para restringir la entrada a quienes por su puesto de trabajo o por su nivel no gocen de dicha autorización.
También debemos de recordar que la autorización de acceso de un funcionario a un sistema informático no queda al criterio de quien es titular de una clave de acceso, sino que son los departamentos de informática quienes deciden quién tiene acceso a un determinado sistema, pudiendo ver y consultar los datos que albergan, y quién no, protegiendo, para ello, dicha entrada y visualización de datos mediante medidas de seguridad, tales como las claves de acceso personal que a todo funcionario policial le son suministradas en función del puesto de trabajo que en cada momento desempeñe.
Y es que el precepto no solo castiga el acceso, sino que también castiga la facilitación del acceso a un sistema informático, autorización de acceso que, volvemos a repetir, no compete al funcionario titular de la clave, sino que es función del departamento de informática que la suministra en base a unos criterios preestablecidos.
Y ya por último dejamos un supuesto para la reflexión, si a un funcionario no se le ha dado, por ejemplo, acceso a la base de datos de menores de edad delincuentes porque el departamento de informática considera que, teniendo en cuenta el puesto de trabajo que desempaña, no debe de tener acceso (y por lo tanto fija, siquiera de manera indirecta, una medida de seguridad que le impide su acceso a esas bases de datos al no otorgarle las claves que le permitirían la entrada al sistema) y otro compañero que sí tiene acceso, por ejemplo, porque está destinado en la UFAM, le facilita sus claves para que pueda tener acceso a esas bases de datos … ¿se les podría llegar a exigir responsabilidad penal?
PINCHA AQUÍ PARA CONSULTAR LA STS 494/2020, de 8 de octubre
