I. Marco Penal en España para ataques de ransomware

El ransomware es un malware que cifra los archivos de una empresa o individuo y exige un rescate para liberarlos. En España, no existe un delito llamado “ransomware”, pero estas conductas se encuadran en varios artículos del Código Penal:

Artículo 248 CP – Estafa informática

Se aplica cuando el ransomware implica engaño con ánimo de lucro, por ejemplo mediante phishing o falsificación de alertas para obligar al pago.

Pena: prisión de 6 meses a 3 años, o más según la gravedad.

Artículo 264 CP – Daños informáticos

Cuando el ransomware destruye, altera, inutiliza o daña datos, programas o documentos electrónicos ajenos.

Pena: prisión de 6 meses a 3 años, o hasta 6 años si los daños son graves.

Artículo 264 bis CP – Interrupción del funcionamiento de sistemas

Para ataques que impiden el funcionamiento normal de sistemas informáticos de manera grave.

Pena: prisión de 6 meses a 3 años, o más según la gravedad.

Artículo 197 CP – Acceso ilícito a datos

Cuando el atacante accede a sistemas sin autorización para cifrar datos.

Pena: prisión de 6 meses a 2 años, agravable si hay datos sensibles.

Resumen: El ransomware se sanciona en España a través de estafa, daños informáticos, interrupción de sistemas y acceso no autorizado, dependiendo de la conducta y consecuencias.

II. Cómo se determina la responsabilidad penal

Para que exista delito en casos de ransomware deben darse:

Dolo: intención de dañar o lucrarse ilícitamente.

Resultado grave: daños económicos, pérdida de datos, paralización de servicios.

Participación organizada: si el ataque es cometido por un grupo criminal, las penas aumentan.

III. Casos y jurisprudencia

1. Caso de la banda internacional de ransomware (2016)

Hechos: Un grupo internacional atacó a usuarios y empresas españolas con un ransomware que se hacía pasar por la policía, pidiendo rescates de alrededor de 100 euros.

Delitos imputados: Estafa informática, daños informáticos y blanqueo de capitales.

Resultado: Detención de los implicados y procesamiento penal.

Importancia: Este caso muestra que aunque no exista una ley específica de ransomware, se utiliza el marco de estafa y daños informáticos para sancionar estas conductas.

2. Sentencia Juzgado de lo Penal nº3 de Gijón (2016)

Hechos: Se evaluó si ciertos sabotajes informáticos constituían daños graves.

Delitos aplicables: Daños informáticos (Art. 264 CP).

Resultado: Absolución en primera instancia por falta de prueba del daño grave, aunque se sentó jurisprudencia sobre cómo valorar daños digitales.

Importancia: Ayuda a interpretar cuándo un ataque informático como el ransomware constituye un delito penal.

3. Ataque a Telepizza (2023)

Hechos: Un ataque ransomware bloqueó sistemas internos de la empresa. No se pagó el rescate.

Delitos aplicables: Podría haber sido daños informáticos y estafa, aunque no hay sentencia publicada.

Importancia: Ejemplo real de cómo las empresas pueden verse afectadas y cómo la ley se aplicaría si se identificara al atacante.

4. Detención vinculada a LockBit (2024)

Hechos: La Guardia Civil detuvo en España a un sospechoso relacionado con la infraestructura del ransomware LockBit 3.0, muy activo globalmente.

Delitos imputados: Daños informáticos, estafa informática, acceso no autorizado.

Resultado: Detención y decomiso de servidores, investigación internacional.

Importancia: Ilustra cómo España persigue a los responsables de ransomware incluso cuando operan desde otros países.

5. Jurisprudencia del Tribunal Supremo sobre pago bajo coacción (2018)

Hechos: Dos personas pagaron un rescate o “impuesto” bajo presión de terceros.

Resultado: Absolución por miedo insuperable.

Importancia: Por analogía, muestra cómo se podría tratar legalmente a una víctima que pague un rescate de ransomware bajo coacción. Aunque no sanciona el pago directamente, puede considerarse eximente de responsabilidad civil o penal.

IV. Conclusiones jurídicas

El ransomware se castiga en España mediante los delitos tradicionales: estafa informática, daños informáticos, interrupción de sistemas y acceso no autorizado.

La cooperación internacional es esencial, porque muchos ataques son transnacionales.

No hay sanción directa por pagar el rescate, pero puede haber implicaciones civiles y administrativas, especialmente si hay datos personales involucrados.

La jurisprudencia ayuda a interpretar conceptos como daño grave o coacción, aunque el marco legal todavía se adapta a los nuevos ciberdelitos.