La mayoría de las defensas en delitos informáticos fracasan por lo mismo: el abogado no entiende la técnica y acaba aceptando como verdad absoluta el atestado policial y el informe pericial de la acusación. Nosotros trabajamos al revés: leemos los logs, cuestionamos la atribución y sometemos cada volcado a contraperitaje con peritos forenses especializados.
Una dirección IP no es una persona. Un acceso no es necesariamente un delito. Y una herramienta de seguridad no es un arma. Convertir esas afirmaciones en prueba y en argumento jurídico es, exactamente, nuestro trabajo.
Hiciste el trabajo que te pidieron, pero el contrato no recogía bien el alcance, el cliente lo niega o un tercero afectado ha denunciado. La autorización y el scope son tu defensa: hay que reconstruirlos y probarlos.
Encontraste una vulnerabilidad, la comunicaste de buena fe y la respuesta fue una denuncia. Ocurre más de lo que se cree. La buena fe, la proporcionalidad de la prueba de concepto y la comunicación coordinada son la línea de defensa.
Reportaste fuera de un programa oficial, o dentro de uno pero tocando activos excluidos. La frontera entre hallazgo legítimo y acceso ilícito se juega en los detalles técnicos: los documentamos uno a uno.
Tras una salida conflictiva de la empresa aparecen accesos que se te atribuyen. Analizamos credenciales compartidas, revocaciones tardías, VPN corporativas y la realidad de quién podía entrar y cuándo.
Menores y jóvenes que «entraron donde no debían» sin buscar beneficio. El proceso penal (o de menores) tiene aquí particularidades y salidas específicas que conviene activar cuanto antes.
Se te vincula a un colectivo o canal por un alias, una wallet o una coincidencia temporal. La atribución de identidades digitales es técnicamente frágil: la atacamos con pericial propia.
Artículos del Código Penal español que concentran la práctica totalidad de las acusaciones contra perfiles técnicos (texto consolidado, LO 1/2015).
| Precepto | Conducta | Pena |
|---|---|---|
| Art. 197 bis.1 CP | Acceso (o mantenimiento) en un sistema de información vulnerando medidas de seguridad y sin autorización | Prisión de 6 meses a 2 años |
| Art. 197 bis.2 CP | Interceptación de transmisiones no públicas de datos mediante artificios técnicos | Prisión de 3 meses a 2 años o multa de 3 a 12 meses |
| Art. 197 ter CP | Producir, adquirir o facilitar programas o contraseñas con la intención de facilitar los delitos anteriores | Prisión de 6 meses a 2 años o multa de 3 a 18 meses |
| Art. 197 quater CP | Comisión en el seno de una organización o grupo criminal | Penas superiores en grado |
| Art. 264 CP | Borrado, daño, alteración o supresión grave de datos, programas o documentos electrónicos ajenos | Prisión de 6 meses a 3 años (agravado: 2 a 5 años y multa) |
| Art. 264 bis CP | Obstaculización o interrupción grave de un sistema informático ajeno (DoS/DDoS y análogos) | Prisión de 6 meses a 3 años |
Dos detalles del 197 bis que importan mucho a la defensa: el tipo exige vulnerar medidas de seguridad (si no las había, o eran inexistentes en la práctica, hay argumento) y actuar sin estar debidamente autorizado (el alcance de una autorización se interpreta — y ahí se litiga). Y en el 197 ter, la tenencia de herramientas solo es típica si concurre la intención específica de facilitar un delito: las herramientas de seguridad son de doble uso.
Conviene decirlo claro: en España no existe un «safe harbor» penal general para la investigación de seguridad. Ni reportar de buena fe ni el interés público inmunizan por sí solos frente a una querella. La divulgación coordinada de vulnerabilidades (por ejemplo, a través del INCIBE-CERT) y las buenas prácticas ayudan — y mucho — como argumento de defensa, pero no borran el tipo penal.
Por eso, si trabajas en seguridad ofensiva, tu mejor defensa empieza antes del encargo: autorización expresa y por escrito, alcance (scope) detallado, ventanas de prueba pactadas, registro de actividad propio y comunicaciones documentadas. Y si algo se tuerce, no lo gestiones solo con el cliente: cuanto antes intervenga un abogado, más se puede evitar.
«La diferencia entre un investigador de seguridad y un acusado suele ser un papel firmado y una defensa que llegó a tiempo.»
Una IP no identifica a una persona: NAT, wifi compartida, VPN, equipos multiusuario. Auditamos cómo la investigación pasó de una dirección a tu nombre y atacamos cada salto débil.
¿Había medidas de seguridad reales? ¿Qué autorización existía y hasta dónde llegaba? ¿Hay intención delictiva o actividad profesional? El tipo penal se discute elemento a elemento.
Cadena de custodia de los volcados, hashes, clonados forenses y proporcionalidad de los registros. Lo que ocurre en las primeras horas condiciona todo el procedimiento.
Nulidades, sobreseimiento, pericial de parte y, cuando conviene a tu interés, negociación de conformidad con reducción de pena. Decidimos contigo, con los escenarios sobre la mesa.