En la última década, la digitalización ha transformado no solo la forma en la que trabajamos, nos comunicamos o consumimos información, sino también la manera en la que se cometen los delitos. La ciberdelincuencia ha pasado de ser un fenómeno residual a convertirse en una de las principales preocupaciones del derecho penal.
España, como muchos otros países, ha optado por una vía de integración de los delitos informáticos dentro del Código Pena, lo que obliga a reinterpretar muchos conceptos tradicionales para dar respuesta a las nuevas realidades tecnológicas. A su vez, directivas europeas como la NIS2 y normativas nacionales como la LOPDGDD o el RGPD han configurado un marco normativo transversal, donde lo penal convive con lo administrativo, lo procesal y lo civil.
Este glosario está pensado como una herramienta todo aquel que desee entender las principales figuras delictivas y conceptos clave del derecho penal digital.
Acceso ilícito (Hacking)
Consiste en acceder sin autorización a un sistema informático vulnerando medidas de seguridad. No requiere causar daño para ser delito. Tipificado en el art. 197 bis.1 del Código Penal. Puede abarcar desde técnicas como fuerza bruta, hasta exploits sofisticados.
Adware
Software que muestra publicidad no deseada o recopila datos con fines publicitarios. Su instalación puede implicar infracciones a la LOPDGDD si se realiza sin consentimiento informado.
Agente encubierto digital
Figura procesal que permite a las fuerzas de seguridad actuar bajo identidad falsa en entornos digitales, con autorización judicial, para investigar delitos complejos como el abuso infantil o el tráfico ilícito en la dark web.
Anonimizador / Proxy
Herramientas que ocultan la identidad digital del usuario. Su uso en sí no es delictivo, pero puede ser parte de conductas como el doxing o el acceso ilícito.
Ataques de Denegación de Servicio (DoS/DDoS)
Conductas que impiden el funcionamiento de un sistema informático mediante la sobrecarga intencionada de tráfico. Tipificadas en el art. 264 bis CP. La variante distribuida (DDoS) suele implicar el uso de botnets.
Botnet
Red de dispositivos infectados controlados de forma remota para ejecutar ataques masivos, como DDoS o envío de spam. Su creación y gestión puede encajar en delitos de daños o tenencia de herramientas delictivas.
Brecha de seguridad de datos personales
Violación que afecta la confidencialidad, integridad o disponibilidad de datos personales. Debe notificarse a la AEPD en un plazo máximo de 72h, conforme al RGPD.
Cadena de custodia digital
Proceso que garantiza que la prueba digital no ha sido alterada desde su obtención hasta su análisis en juicio. Es clave para que la evidencia tenga validez jurídica y procesal.
Carding
Uso fraudulento de datos de tarjetas bancarias obtenidos ilícitamente. Puede sancionarse como estafa informática o falsedad documental.
Ciberacoso (Stalking)
Persecución digital reiterada que altera gravemente la vida cotidiana de la víctima. Tipificado en el art. 172 ter CP, incluye vigilancia, envío de mensajes o suplantaciones por redes sociales.
Ciberdelito
Término general para designar cualquier conducta delictiva cometida total o parcialmente mediante el uso de tecnologías digitales.
Ciberterrorismo
Uso de medios tecnológicos con fines de terrorismo. No existe una tipificación específica en el CP, pero puede encajarse dentro del art. 573 y ss.
Clonado forense
Copia exacta y verificable de un soporte digital para preservar la integridad de la prueba. Se utiliza como base en peritajes informáticos.
Código hash
“Huella digital” de un archivo. Se emplea para verificar si una evidencia ha sido modificada. Es esencial en la cadena de custodia.
Consentimiento
Base jurídica para el tratamiento de datos personales. Su ausencia o vicio puede derivar en infracciones penales, como el acceso no autorizado o la revelación de secretos.
Convenio de Budapest
Tratado internacional que establece las bases para combatir los delitos informáticos. España lo ratificó en 2010, y ha inspirado muchas reformas del CP.
Cracker
Individuo que vulnera sistemas informáticos con fines maliciosos. A diferencia del “hacker ético”, el cracker actúa fuera de la legalidad.
Crawler (rastreador)
Programa que indexa páginas web. Puede ser legal (como los de buscadores), pero también se usa para extraer datos masivos sin permiso.
Cryptojacking
Uso no autorizado del ordenador de otra persona para minar criptomonedas. Puede constituir un delito de daños (art. 264 CP) o defraudación (art. 255 CP).
CSIRT (Computer Security Incident Response Team)
Equipos especializados en responder ante incidentes de ciberseguridad. En España destacan INCIBE-CERT (sector privado) y CCN-CERT (administración pública).
Daños informáticos
Sabotaje de sistemas o datos. Tipificados en el art. 264 CP. Incluye desde malware destructivo hasta manipulación de bases de datos.
Deepfake
Vídeos o audios falsos generados por IA. Su uso malicioso puede encajar en delitos contra la intimidad, el honor o incluso la estafa.
Defraudaciones de telecomunicaciones
Uso de redes o servicios sin consentimiento del titular. Puede incluir el acceso a redes Wi-Fi ajenas o servicios de streaming de pago.
Delegado de Protección de Datos (DPD)
Figura obligatoria en ciertas entidades. Responsable de supervisar el cumplimiento del RGPD y la LOPDGDD.
Derecho a la desconexión digital
Reconocido por el art. 88 LOPDGDD. Garantiza que los trabajadores no estén obligados a responder mensajes o llamadas fuera de su jornada laboral.
Derecho al olvido
Facultad de solicitar que cierta información personal no aparezca en buscadores. No implica borrar la fuente, sino su desindexación.
Descubrimiento y revelación de secretos
Acceso o divulgación no autorizada de información privada (art. 197 CP). Muy común en casos de espionaje empresarial, sexting o doxing.
Difusión no consentida de imágenes íntimas (Revenge porn)
Difundir imágenes privadas sin consentimiento. Tipificado en el art. 197.7 CP. Aun si las imágenes fueron enviadas con autorización inicial, su posterior difusión es delito.
Directiva NIS2
Norma europea que obliga a sectores esenciales a implementar medidas de ciberseguridad y a notificar incidentes. Ha reforzado el papel de CSIRTs y las obligaciones legales de empresas.
Directiva (UE) 2019/713
Moderniza la lucha contra el fraude con medios de pago digitales. Ha supuesto reformas en los arts. 248, 249 y 399 bis CP.
Doxing
Difusión de datos personales con intención de acosar, humillar o amenazar. Puede integrarse en los delitos del art. 197, 169 o 172 CP.
Estafa informática
Manipulación de sistemas para obtener un beneficio patrimonial ilícito. Art. 248.2 CP. Es el núcleo de conductas como phishing, pharming o SIM swapping.
Evidencia digital
Prueba que se presenta en juicio y tiene origen electrónico (correos, logs, mensajes…). Su admisión exige preservar su integridad, autenticidad y cadena de custodia.
Flaming
Provocaciones deliberadas en foros o redes sociales. Aunque no siempre es delito, puede derivar en injurias o amenazas.
Grooming
Captación de menores por adultos con fines sexuales mediante tecnologías. Tipificado en el art. 183 ter CP. No requiere encuentro físico para ser punible.
Gusano
Malware que se reproduce y propaga por sí solo. Puede formar parte de una botnet o causar daños masivos.
Hacker
Persona experta en sistemas informáticos. No implica actividad delictiva. Existen hackers éticos que colaboran con empresas para mejorar su seguridad.
Injurias y calumnias en la red
Ataques al honor a través de medios digitales. Pueden ser agravados por el uso de internet, dada su difusión masiva (art. 211 CP).
Interceptación ilícita (Sniffing)
Captura de datos sin consentimiento durante su transmisión. Tipificado en el art. 197 bis.2 CP. Se realiza habitualmente en redes Wi-Fi inseguras.
Investigación en fuentes abiertas (OSINT)
Obtención de información de acceso público. Legal si se respetan derechos fundamentales, pero puede derivar en delitos si se usa con fines ilícitos.
Keylogger
Software que registra pulsaciones del teclado. Suele usarse para obtener contraseñas sin consentimiento. Puede encajar en delitos de descubrimiento de secretos o daños.
Malware
Término genérico para software malicioso. Incluye virus, troyanos, spyware, ransomware… Su instalación no consentida es delito.
Medidas tecnológicas de protección (MTP/DRM)
Sistemas para proteger contenidos digitales. La ley penaliza su neutralización (art. 270.6 CP), sobre todo en piratería.
Metadatos
Información sobre otros datos (autor, fecha, ubicación…). Puede ser clave como prueba digital.
Neutralización de MTP
Eliminar protecciones anticopia para acceder a contenidos protegidos. Sancionado en el art. 270.6 CP.
Notificación de incidentes
Obligación legal para ciertas entidades de informar a las autoridades competentes tras un incidente de ciberseguridad.
Obstaculización de sistemas (DDoS)
Ataques que impiden el funcionamiento de un sistema. Tipificados en el art. 264 bis CP.
Orden de volatilidad
Principio forense que establece qué tipo de evidencia debe recopilarse primero en un análisis digital (por ejemplo, la memoria RAM).
Peritaje informático forense
Informe técnico sobre una prueba digital. Es fundamental en juicios donde se discute la autenticidad o validez de la evidencia.
Pharming
Redirección automática a sitios web fraudulentos, normalmente para robar datos.
Phishing
Suplantación de identidad digital (normalmente bancaria) para obtener datos confidenciales. Puede implicar delitos de estafa, usurpación y descubrimiento de secretos.
Piratería digital
Distribución o uso de contenidos sin autorización de sus autores. Tipificado en el art. 270 CP. Incluye software, películas, libros o música.
Producción o posesión de instrumentos para delinquir
Tener o fabricar herramientas (malware, exploits, claves) para cometer ciberdelitos. Arts. 197 ter, 264 ter y 400 CP.
Proveedor de servicios digitales (DSP)
Entidades que ofrecen servicios online relevantes (plataformas, cloud, buscadores…). Pueden estar sujetas a la Directiva NIS2.
Ransomware
Tipo de malware que bloquea los archivos de un sistema y exige un rescate. Suele combinar delitos de daños y extorsión.
Responsabilidad bancaria en casos de phishing
El Tribunal Supremo ha dictado que los bancos deben actuar con diligencia reforzada para prevenir fraudes por phishing. Si no lo hacen, pueden ser responsables civiles.
SIM Swapping
Duplicación fraudulenta de una tarjeta SIM para interceptar mensajes y acceder a cuentas bancarias. Puede implicar delitos de estafa y usurpación de identidad.
Sniffer
Programa usado para interceptar datos. Aunque puede tener usos legítimos (auditoría), también se emplea en interceptaciones ilícitas.
Spoofing
Falsificación de identidad digital (email, IP, número de teléfono). Base de múltiples fraudes.
Testamento digital
Derecho a decidir el destino de nuestros datos y perfiles tras el fallecimiento. Reconocido en el art. 96 de la LOPDGDD.
Entender la terminología jurídica que rodea a los delitos informáticos exige algo más que conocer el Código Penal. Exige una mirada multidisciplinar, que conecte la práctica penal con los avances tecnológicos, la protección de datos y el derecho europeo.
En NQ Abogados, contamos con un equipo especializado en ciberdelitos que te ayudará a proteger tus derechos y recuperar lo que te corresponde.Evaluaremos tu caso de forma gratuita y te acompañaremos en todo el proceso legal. ¡Contáctanos ahora!