España está llena de gente que sabe encontrar agujeros de seguridad: pentesters profesionales, cazadores de bug bounty, estudiantes de ciberseguridad, administradores curiosos. Y cada año más de ellos descubren, con estupor, que el mismo hallazgo que en una empresa se premia, en otra se denuncia. La pregunta importa: ¿dónde está exactamente la línea penal del hacking ético en España?
Qué castiga exactamente el artículo 197 bis
El tipo básico del acceso ilícito (art. 197 bis.1 del Código Penal, introducido por la LO 1/2015) castiga con prisión de seis meses a dos años a quien acceda a un sistema de información — o se mantenga en él contra la voluntad de su titular — cumpliendo dos condiciones: hacerlo «vulnerando las medidas de seguridad establecidas para impedirlo» y «sin estar debidamente autorizado».
Esas dos condiciones son, a la vez, el peligro y la defensa. El peligro, porque el tipo no exige causar daño alguno: el mero acceso ya puede ser delito. La defensa, porque cada elemento se puede discutir: ¿había medidas de seguridad reales o era un servidor abierto? ¿Qué autorización existía y hasta dónde llegaba el encargo? Ahí se ganan estos casos.
“El «no hice daño» no es una eximente: el acceso ilícito se consuma sin causar perjuicio. Lo que sí es defensa es discutir las medidas de seguridad, la autorización y el dolo.”
El malentendido de las herramientas
Otro clásico: creer que tener nmap, Burp o Metasploit instalados ya es un problema. No lo es. El art. 197 ter CP solo castiga producir, adquirir o facilitar programas o contraseñas «con la intención de facilitar» un delito de los arts. 197.1, 197.2 o 197 bis. Las herramientas de seguridad son de doble uso, y en manos de un profesional son material de trabajo. El elemento decisivo — y lo que la acusación debe probar — es la finalidad delictiva.
Responsible disclosure: ayuda mucho, pero no inmuniza
En España no existe un «safe harbor» penal general para la investigación de seguridad. Reportar una vulnerabilidad de buena fe, incluso a través del canal de divulgación coordinada del INCIBE-CERT, es un argumento de defensa potente — acredita ausencia de ánimo lesivo — pero no borra el tipo penal ni impide que la empresa afectada denuncie. Lo hemos visto: investigador que reporta, empresa que agradece... y querella que llega tres semanas después.
Por eso, si trabajas en seguridad ofensiva, tu mejor defensa se construye antes de tocar una sola máquina:
- Autorización expresa y por escrito, firmada por quien puede darla (no un correo ambiguo de un técnico)
- Alcance (scope) detallado: sistemas incluidos y excluidos, ventanas de prueba, técnicas permitidas
- Registro propio de actividad: logs, timestamps y evidencias de cada paso, por si hay que reconstruir qué hiciste y qué no
- Prueba de concepto mínima: demostrar el fallo sin exfiltrar datos reales ni alterar sistemas
- Comunicación documentada: cada reporte, cada respuesta, cada silencio de la otra parte, guardado
Si ya te han denunciado o te investigan
La regla de oro es no mejorar el caso de la acusación: no declares sin abogado, no entregues contraseñas ni desbloquees dispositivos sin asesoramiento — tienes derecho a no autoincriminarte — y no borres absolutamente nada, porque destruir datos puede agravar tu situación y elimina justo la prueba que podría exculparte. Si la policía se presenta con una orden, lo que ocurra en las primeras horas del registro condiciona todo el procedimiento.
Y busca defensa especializada cuanto antes: la atribución técnica (una IP no es una persona), la cadena de custodia de los volcados y el alcance real de la autorización son batallas que se ganan con conocimiento técnico y pericial propia. Es exactamente el trabajo de nuestra defensa penal para hackers e investigadores de seguridad.
“La diferencia entre un investigador de seguridad y un acusado suele ser un papel firmado y una defensa que llegó a tiempo. Si ya es tarde para el papel, que no lo sea para la defensa.”
En CiberPenal defendemos a perfiles técnicos en toda España: pentesters, investigadores, administradores de sistemas y estudiantes. Consulta confidencial, 24/7, sin juicios de valor: hemos visto de todo.
