SOFTWARE MALICIOSOS Y DELITOS DE MALWARE: UNA PLAGA QUE CRECE SIN CONTROL

Santiafo Carretero 

Profesor Titular de Filosofía del Derecho, Abogado del Colegio de Madrid


 El software espía Hraphite, desarrollado por la empresa israelí Paragon Solutions, representa una grave amenaza para la privacidad y la seguridad digital. Su capacidad de infiltrarse en dispositivos sin necesidad de interacción por parte del usuario lo sitúa dentro de la categoría de zero-click exploits, es decir, ataques que no requieren que la víctima realice ninguna acción para ser comprometida, como se puede comprobar tema gravísimo.

Este tipo de malware es especialmente preocupante porque vulnera la seguridad de aplicaciones ampliamente utilizadas, como WhatsApp, lo que amplifica su alcance y potencial daño. El hecho de que ya haya afectado a casi cien periodistas y activistas indica que sus objetivos pueden ser tanto individuos específicos como grupos de alto interés político o social.

Aspectos clave del ataque con Hraphite por lo que vamos leyendo:

  1. Infección sin interacción del usuario: No es necesario que la víctima haga clic en un enlace o descargue un archivo para que el spyware se instale en su dispositivo.
  2. Explotación de vulnerabilidades desconocidas: Posiblemente aprovecha zero-day exploits, es decir, fallos de seguridad que aún no han sido detectados o corregidos por las empresas de software.
  3. Capacidades avanzadas de espionaje: Puede acceder a mensajes, llamadas, datos de localización, archivos y cámaras del dispositivo.
  4. Dificultad en la detección: Su funcionamiento en segundo plano y sin necesidad de permisos visibles para el usuario lo hace extremadamente difícil de identificar.

Medidas de seguridad recomendadas:

  • Actualizar el sistema operativo y aplicaciones: Mantener el software actualizado reduce la probabilidad de ser vulnerable a exploits conocidos.
  • Evitar redes Wi-Fi públicas no seguras: Estas redes pueden ser utilizadas para interceptar tráfico o inyectar exploits en los dispositivos conectados.
  • Activar medidas de seguridad avanzadas: En el caso de dispositivos iOS y Android, el uso de bloqueadores de exploits y herramientas de detección de malware puede ser útil.
  • Uso de dispositivos seguros para información sensible: En contextos de alto riesgo (periodistas, activistas, funcionarios), se recomienda el uso de dispositivos separados para comunicaciones críticas.

Ello nos lleva a recordar sobre el delito de malware en el Código Penal español: Análisis normativo y doctrinal

El desarrollo de las tecnologías de la información ha traído consigo nuevas formas de criminalidad que afectan la seguridad informática y la protección de datos personales. Dentro de este contexto, el uso de programas maliciosos (malware) constituye una de las amenazas más significativas. En el ordenamiento jurídico español, la tipificación de las conductas relacionadas con el malware se encuentra principalmente en el Título X del Código Penal, relativo a los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio, así como en los delitos informáticos regulados en los artículos 197 y siguientes.

1. Concepto y naturaleza jurídica del malware

El término malware engloba cualquier software diseñado con el propósito de causar daño, infiltrarse en sistemas informáticos sin autorización o facilitar la comisión de delitos. Dentro de esta categoría se incluyen virus, troyanos, gusanos, ransomware y spyware, cada uno con funciones específicas que pueden comprometer la integridad, confidencialidad y disponibilidad de los sistemas informáticos y la información almacenada en ellos.

Desde una perspectiva jurídico-penal, el malware se considera un instrumento de ataque que puede dar lugar a diversas conductas delictivas, como el acceso ilícito a sistemas informáticos (hacking), la interceptación de comunicaciones, la destrucción o alteración de datos y el fraude informático.

2. Regulación en el Código Penal español

El Código Penal español tipifica las conductas relacionadas con el malware en distintos preceptos, principalmente en los artículos 197, 264 y 248:

  • Artículo 197 CP: Regula los delitos contra la intimidad y, en su apartado 2, sanciona a quien, sin autorización, acceda a datos personales o sistemas informáticos ajenos mediante el uso de software malicioso. En su redacción actual, este precepto abarca tanto la obtención ilícita de datos como la interceptación de comunicaciones electrónicas.

  • Artículo 264 CP: Introducido en la reforma de 2010, este artículo sanciona los actos de daño informático, incluyendo la producción, adquisición o distribución de programas diseñados para destruir, alterar, inutilizar o dificultar el funcionamiento de sistemas o redes informáticas. En este contexto, el malware se considera un medio para la comisión del delito y su desarrollo o difusión está penalizado.

  • Artículo 248 CP: En materia de estafas informáticas, el Código Penal contempla la utilización de programas maliciosos para alterar procesos de pago electrónico o defraudar a terceros mediante la manipulación ilícita de datos informáticos.

3. Relevancia jurisprudencial y doctrina penal

La jurisprudencia española ha abordado el delito de malware desde distintas perspectivas, en particular en casos de ataques a infraestructuras críticas, espionaje industrial y delitos contra la intimidad. El Tribunal Supremo ha destacado que la instalación de programas maliciosos sin consentimiento de la víctima constituye una intromisión ilegítima en los derechos fundamentales y debe ser sancionada con arreglo a la normativa vigente.

Desde el ámbito doctrinal, se ha debatido la suficiencia de la regulación penal actual para hacer frente a las nuevas formas de malware, en especial aquellas que operan a través de redes distribuidas (botnets) o mediante técnicas avanzadas de cifrado que dificultan su detección. Algunos autores sostienen la necesidad de una tipificación más específica, que contemple con mayor precisión los actos preparatorios y la responsabilidad de quienes desarrollan o comercializan software de uso dual, es decir, programas que pueden tener fines legítimos pero que también pueden emplearse con objetivos delictivos.

4. Perspectiva europea y armonización normativa

La regulación española sobre el malware se enmarca dentro de los esfuerzos de la Unión Europea por fortalecer la ciberseguridad y combatir el cibercrimen. La Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información, establece estándares mínimos para la penalización del acceso ilegal a sistemas y la producción y distribución de software malicioso. España ha adaptado su legislación a estas disposiciones, incorporando penas más severas y mecanismos de cooperación internacional para la persecución de ciberdelitos.

Además, el Reglamento General de Protección de Datos (RGPD) impone obligaciones estrictas en materia de seguridad informática, lo que refuerza la responsabilidad de empresas y administraciones en la prevención de incidentes relacionados con malware.

5. Conclusiones y retos futuros

El delito de malware en el Código Penal español refleja la evolución del derecho penal ante las nuevas amenazas tecnológicas. Aunque la normativa actual ofrece un marco jurídico sólido para la persecución de estas conductas, el constante desarrollo del cibercrimen exige una adaptación continua de la legislación y una mayor cooperación internacional en la lucha contra el software malicioso.

Los retos futuros incluyen la regulación de la inteligencia artificial en la creación de malware, el impacto de la computación cuántica en la seguridad informática y la necesidad de mejorar los mecanismos de respuesta ante ciberataques en infraestructuras críticas. En este sentido, el derecho penal deberá seguir evolucionando para garantizar la protección de los derechos fundamentales en el entorno digital, pero el Estado sólo no podrá necesita del concurso de las empresas y de lo que hace años proponíamos en un artículo de  la ley el estatuto del hacker ético que colabore con los cuerpos de policía y fiscalía porque el tema es serio y preocupante.

Comentarios

Publicar un comentario

Entradas populares de este blog

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

Resumen de la Ley Orgánica 1/2025: mi nuevo resumen para comprender lo que va a pasar ( si es posible)

  Autor: Santiago Carretero Sánchez, Profesor Titular de la URJC El 3 de abril de 2025 entró en vigor la Ley Orgánica 1/2025, que establece la obligatoriedad de intentar un Mecanismo Alternativo de Solución de Conflictos (MASC) antes de interponer una demanda en el ámbito civil o mercantil. El Consejo General de la Abogacía Española (CGAE) ha publicado una guía para facilitar la comprensión y aplicación de esta nueva exigencia legal. ¿Qué son los MASC? La Ley Orgánica 1/2025 define los MASC de forma abierta como cualquier actividad negociadora para resolver un conflicto. Entre los MASC reconocidos se incluyen: - Mediación - Conciliación (pública o privada) - Negociación directa entre las partes - Oferta vinculante confidencial - Opinión de persona experta independiente - Derecho Colaborativo o Abogacía Colaborativa Ámbitos de aplicación y exclusiones La obligación de intentar una solución extrajudicial se aplica a todos los procesos declarativos y especiales regula...
Leer más