CiberPenalCiberPenal
910 328 053
DEFENSA PENAL · PERFILES TÉCNICOS

Defendemos a hackers, pentesters e investigadores de seguridad

Si te investigan por un acceso informático, lo primero que necesitas es un abogado que no confunda un escaneo de puertos con un ataque ni un reporte de vulnerabilidad con una extorsión. Nosotros hablamos tu idioma — y el del juzgado.

logsscopehashCVEresponsible disclosureOSINTcadena de custodia
Por qué nosotros

No tendrás que explicarle a tu abogado qué es un pentest

La mayoría de las defensas en delitos informáticos fracasan por lo mismo: el abogado no entiende la técnica y acaba aceptando como verdad absoluta el atestado policial y el informe pericial de la acusación. Nosotros trabajamos al revés: leemos los logs, cuestionamos la atribución y sometemos cada volcado a contraperitaje con peritos forenses especializados.

Una dirección IP no es una persona. Un acceso no es necesariamente un delito. Y una herramienta de seguridad no es un arma. Convertir esas afirmaciones en prueba y en argumento jurídico es, exactamente, nuestro trabajo.

A quién defendemos

Situaciones que conocemos bien

Pentester con encargo mal documentado

Hiciste el trabajo que te pidieron, pero el contrato no recogía bien el alcance, el cliente lo niega o un tercero afectado ha denunciado. La autorización y el scope son tu defensa: hay que reconstruirlos y probarlos.

Investigador denunciado tras reportar un fallo

Encontraste una vulnerabilidad, la comunicaste de buena fe y la respuesta fue una denuncia. Ocurre más de lo que se cree. La buena fe, la proporcionalidad de la prueba de concepto y la comunicación coordinada son la línea de defensa.

Bug bounty fuera de programa o de scope

Reportaste fuera de un programa oficial, o dentro de uno pero tocando activos excluidos. La frontera entre hallazgo legítimo y acceso ilícito se juega en los detalles técnicos: los documentamos uno a uno.

Administrador o exempleado acusado de acceso indebido

Tras una salida conflictiva de la empresa aparecen accesos que se te atribuyen. Analizamos credenciales compartidas, revocaciones tardías, VPN corporativas y la realidad de quién podía entrar y cuándo.

Perfiles jóvenes: curiosidad sin ánimo de lucro

Menores y jóvenes que «entraron donde no debían» sin buscar beneficio. El proceso penal (o de menores) tiene aquí particularidades y salidas específicas que conviene activar cuanto antes.

Atribución de pertenencia a grupos o foros

Se te vincula a un colectivo o canal por un alias, una wallet o una coincidencia temporal. La atribución de identidades digitales es técnicamente frágil: la atacamos con pericial propia.

El marco penal, sin adornos

Qué se te puede imputar y qué pena tiene

Artículos del Código Penal español que concentran la práctica totalidad de las acusaciones contra perfiles técnicos (texto consolidado, LO 1/2015).

PreceptoConductaPena
Art. 197 bis.1 CPAcceso (o mantenimiento) en un sistema de información vulnerando medidas de seguridad y sin autorizaciónPrisión de 6 meses a 2 años
Art. 197 bis.2 CPInterceptación de transmisiones no públicas de datos mediante artificios técnicosPrisión de 3 meses a 2 años o multa de 3 a 12 meses
Art. 197 ter CPProducir, adquirir o facilitar programas o contraseñas con la intención de facilitar los delitos anterioresPrisión de 6 meses a 2 años o multa de 3 a 18 meses
Art. 197 quater CPComisión en el seno de una organización o grupo criminalPenas superiores en grado
Art. 264 CPBorrado, daño, alteración o supresión grave de datos, programas o documentos electrónicos ajenosPrisión de 6 meses a 3 años (agravado: 2 a 5 años y multa)
Art. 264 bis CPObstaculización o interrupción grave de un sistema informático ajeno (DoS/DDoS y análogos)Prisión de 6 meses a 3 años

Dos detalles del 197 bis que importan mucho a la defensa: el tipo exige vulnerar medidas de seguridad (si no las había, o eran inexistentes en la práctica, hay argumento) y actuar sin estar debidamente autorizado (el alcance de una autorización se interpreta — y ahí se litiga). Y en el 197 ter, la tenencia de herramientas solo es típica si concurre la intención específica de facilitar un delito: las herramientas de seguridad son de doble uso.

La frontera

El hacking ético no tiene un salvoconducto penal en España

Conviene decirlo claro: en España no existe un «safe harbor» penal general para la investigación de seguridad. Ni reportar de buena fe ni el interés público inmunizan por sí solos frente a una querella. La divulgación coordinada de vulnerabilidades (por ejemplo, a través del INCIBE-CERT) y las buenas prácticas ayudan — y mucho — como argumento de defensa, pero no borran el tipo penal.

Por eso, si trabajas en seguridad ofensiva, tu mejor defensa empieza antes del encargo: autorización expresa y por escrito, alcance (scope) detallado, ventanas de prueba pactadas, registro de actividad propio y comunicaciones documentadas. Y si algo se tuerce, no lo gestiones solo con el cliente: cuanto antes intervenga un abogado, más se puede evitar.

«La diferencia entre un investigador de seguridad y un acusado suele ser un papel firmado y una defensa que llegó a tiempo.»

Método

Cómo construimos tu defensa

01Atribución

Una IP no identifica a una persona: NAT, wifi compartida, VPN, equipos multiusuario. Auditamos cómo la investigación pasó de una dirección a tu nombre y atacamos cada salto débil.

02Tipicidad y dolo

¿Había medidas de seguridad reales? ¿Qué autorización existía y hasta dónde llegaba? ¿Hay intención delictiva o actividad profesional? El tipo penal se discute elemento a elemento.

03Prueba digital

Cadena de custodia de los volcados, hashes, clonados forenses y proporcionalidad de los registros. Lo que ocurre en las primeras horas condiciona todo el procedimiento.

04Estrategia procesal

Nulidades, sobreseimiento, pericial de parte y, cuando conviene a tu interés, negociación de conformidad con reducción de pena. Decidimos contigo, con los escenarios sobre la mesa.

SI YA HA PASADO

Citación, detención o registro: qué hacer

  • No declares sin abogado. Ni en dependencias policiales ni «para aclarar las cosas». Todo lo que digas quedará fijado.
  • No entregues contraseñas ni desbloquees dispositivos sin asesoramiento. Tienes derecho a no autoincriminarte.
  • No borres nada. Destruir datos puede agravar tu situación y, sobre todo, elimina la prueba que podría exculparte: tus logs, tus correos, tu autorización.
  • Reúne tu documentación: contratos, scopes, correos con el cliente, reportes enviados, tickets. Es tu defensa material.
  • Llámanos: 910 328 053, 24/7. Asistencia al detenido e intervención inmediata en registros, en toda España.
Preguntas frecuentes

Lo que nos preguntan los perfiles técnicos

¿Es delito acceder a un sistema sin autorización aunque no cause ningún daño?
Puede serlo. El art. 197 bis CP castiga con prisión de seis meses a dos años el mero acceso vulnerando las medidas de seguridad establecidas para impedirlo y sin estar debidamente autorizado, aunque no se cause daño. Precisamente por eso la defensa se centra en si existían medidas de seguridad efectivas, en el alcance real de la autorización y en la ausencia de dolo.
He reportado una vulnerabilidad y la empresa me ha denunciado. ¿Reportar me protege?
No automáticamente. En España no existe un safe harbor penal general para la investigación de seguridad. La comunicación coordinada (por ejemplo, a través del INCIBE-CERT), la buena fe, la ausencia de ánimo lesivo y la proporcionalidad de la prueba de concepto son argumentos de defensa muy potentes, pero hay que construirlos técnica y jurídicamente, caso por caso.
¿Pueden obligarme a entregar mis contraseñas o a desbloquear mis dispositivos?
Como investigado tienes derecho a no declarar contra ti mismo y a no confesarte culpable (art. 24.2 CE). La entrega de claves y el desbloqueo de dispositivos es una cuestión con matices jurídicos relevantes. La regla práctica: no facilites contraseñas ni desbloquees nada sin haber hablado antes con tu abogado.
¿Qué pena tiene el acceso ilícito a un sistema informático?
El tipo básico (197 bis.1) prevé prisión de 6 meses a 2 años; la interceptación (197 bis.2), 3 meses a 2 años o multa. En organización criminal, penas superiores en grado (197 quater). Los daños y la obstaculización de sistemas (264 y 264 bis) alcanzan 3 años en el tipo básico y de 2 a 5 en los agravados.
¿Tener herramientas de pentesting es delito?
No por sí solo. El art. 197 ter CP exige la intención específica de facilitar un delito de los arts. 197.1, 197.2 o 197 bis. Las herramientas de seguridad son de doble uso: nmap, Burp o Metasploit en manos de un profesional son instrumentos de trabajo. El elemento decisivo es la finalidad — y eso se defiende.
Te puede interesar
Área: delitos informáticos → Área: prueba digital y peritaje → Si la policía incauta tu móvil → Glosario de ciberdelitos →

¿Te investigan o crees que pueden hacerlo?

Cuanto antes intervenga la defensa, más opciones hay. Todo lo que nos cuentes está protegido por el secreto profesional. Sin juicios de valor: hemos visto de todo.

WhatsAppAsistencia urgente 24/7