Absolución por “ataque” de inyección SQL

Absolución por “ataque” de inyección SQL

El pasado 20 de enero, cuando España estaba al borde del inicio de la pandemia de la COVID-19, el Juzgado de lo Penal nº 24 de Madrid dictó sentencia absolutoria por un “ataque” de inyección SQL, sobre la página de la Universidad Pontificia de Comillas (ICAI), llevado a cabo por uno de sus antiguos alumnos. La acusación consideraba que los hechos eran constitutivos de los delitos de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal y de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal, por los que solicitaba una pena de 2 años de prisión y multa de 3.240 Euros.

El Juzgado considera que el acusado accedió a las bases de datos de la Universidad Pontificia de Comillas mediante la inyección de parámetros SQL en las páginas web de la Universidad www.iit.upcomillas.es y www.upcomillas.es, pero estima que no ha resultado acreditado que utilizara ningún medio o programa para vulnerar los sistemas de seguridad de la Universidad Comillas, ni que su intención fuera apoderarse, utilizar o modificar algún dato contenido en las bases de datos, ni que haya ocasionado ningún perjuicio a la Universidad, por lo que determina la absolución del encausado.

El Juzgado, analizando los preceptos que tipifican el delito de descubrimiento, evidencia que la conducta que se castiga es la de apoderamiento, utilización o modificación, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, que se encuentren registrados o archivados, o de acceder por cualquier medio a los mismos, siempre y cuando se lleve a cabo con la finalidad de perjudicar a un tercero. Igualmente destaca que el concepto de datos reservados ha de entenderse en un sentido funcional, de forma que afecten a la privacidad de la persona o de su ámbito familiar y que se requiere la concurrencia de un especial elemento subjetivo del tipo, al exigir que el agente obre «en perjuicio» de otro.

Sobre esta base, el Juzgado considera que el perjuicio no ha resultado acreditado, porque aunque la Universidad lo cuantifica en la suma que ha tenido que abonar a los técnicos para averiguar la intromisión y arreglar las posibles brechas que tenía el sistema por donde terceros podían acceder, ese gasto económico no puede considerarse perjuicio, ya que no es causado por el acusado al acceder al sistema de la Universidad, pues su conducta, según ha resultado probado, no provocó ningún tipo de daño, ni modificación en el sistema.

También se destaca que la intromisión solo se realizó a los efectos de consultar o modo lectura, sin que haya resultado probado que esos datos hayan sido utilizados, y que el hecho de que en su ordenador constara alguno de estos datos consultados, es porque como se explicó en el acto del juicio por los peritos, la herramienta SQL provoca que en el ordenador del usuario de esta herramienta informática, quede reflejo de los datos consultados.

La sentencia pone de manifiesto que no cabe apreciar en la conducta del acusado el dolo necesario que exige el tipo, pues en ningún momento se ha acreditado que su finalidad o ánimo fuera acceder a las bases de datos con la idea de poder descubrir determinados datos secretos o vulnerar la intimidad de alguna persona, ya que la Universidad no ha probado que aquellos datos a los que se tuvo acceso por el acusado hayan podido vulnerar la intimidad de las personas, porque a los datos que accedió eran públicos, como era el nombre y apellidos.

En cuanto al delito de acceso no autorizado, la sentencia, comentando la reforma operada en 2.015, explica que las conductas que pretende regular este precepto son las llevadas a cabo por hackers cuya única finalidad consiste en burlar sistemas de seguridad informáticos, sin el menor interés hacia el contenido de la información a la que podría accederse. De hecho, la ética hacker y su evolución sociológica tiene más que ver con el reto o desafío personal o compartido en la comunidad hacker de quebrar la seguridad de un sistema informático, demostrando sus puntos débiles y con ello incluso ayudando, si bien indirectamente, a mejorarla.

De esta forma, el Juzgado analiza las dos modalidades tipificadas, a saber: 1.- un acceso debe realizarse siempre vulnerando las medidas de seguridad establecidas para evitarlo y; 2.-mantenerse dentro del sistema en contra de la voluntad de quien tiene el legítimo derecho de exclusión, circunstancia que se produce cuando, tras un previo acceso informático lícito, el sujeto activo se mantiene dentro del sistema informático después de que se haya manifestado la voluntad contraria del titular de derecho de exclusión.

Aplicando estas previsiones al caso, la sentencia considera que ha resultado probado que el sistema informático de la Universidad Comillas presentaba ciertas irregularidades o deficiencias que le hacían vulnerable a ciertas amenazas, y que por ello, a raíz de ocurrir los hechos que son objeto de enjuiciamiento, se adoptaron las medidas precisas para arreglar esas posibles deficiencias, como expusieron tanto el responsable de la Universidad, como los peritos de la Universidad y de la Guardia Civil de Delitos Telemáticos.

De esta forma, el Juzgado evidencia que las herramientas utilizadas por el acusado fueron aquellas que sirven para encontrar vulnerabilidades en los sistemas, y que el mismo lo hizo con la finalidad de encontrar esa posible vulnerabilidad de los sistemas de seguridad de la Universidad donde él había cursado sus estudios de Ingeniería Informática, accediendo por su página web. Sin que en ningún momento haya utilizado programas u otros artificios semejantes, destinados a burlar contraseñas u otras barreras de seguridad interpuestas por el titular y que actualmente pueden utilizarse, y que no cabe la menor duda que el acusado conoce y pudo utilizar, en virtud de los conocimientos que tiene como ingeniero informático y experto en sistemas de seguridad.

Es por ello, concluye la sentencia, por lo que no se puede apreciar que concurra en la conducta del acusado los elementos exigidos en el tipo, pues su actuación no fue dirigida a burlar los sistemas de seguridad de la Universidad, sino que su conducta fue dirigida a comprobar si el citado sistema era vulnerable.

Como indiqué en el alegato final de la defensa que puede verse a continuación, lo que estaba en juego en este litigio era el derecho a la educación reconocido en el art. 27 de nuestra Constitución.

A continuación la sentencia completa (los enfásis en el texto son nuestros)

SENTENCIA núm. 422/19

En Madrid, a veinte de enero de dos mil veinte.

Habiendo visto Doña María Nieves Bayo Recuero, Juez del Juzgado de lo Penal nº 24 de Madrid los presentes autos de Procedimiento Abreviado nº 198/2017, procedentes del Juzgado de Instrucción nº 2 de Madrid (Diligencias Previas 79/2014) seguidos por un Delito de DESCUBRIMIENTO DE SECRETOS en CONCURSO MEDIAL con un delito de ACCESO NO AUTORIZADO A DATOS O PROGRAMAS INFORMATICOS contra JS con D.N.I. nº X, de nacionalidad española, nacido en X, hijo de JG y de CG, sin antecedentes penales, asistido por el Letrado Don Javier Maestre Rodríguez y el Ministerio Fiscal en la representación que por Ley le corresponde.

ANTECEDENTES DE HECHO

PRIMERO.- Las presentes actuaciones se iniciaron como Diligencias Previas nº 79/2014 por el Juzgado de Instrucción nº 2 de Madrid, habiendo sido repartidas a este Órgano jurisdiccional para su enjuiciamiento.

SEGUNDO.- Recibidas las actuaciones en este Juzgado, se formó el correspondiente Juicio Oral, se pronunció sobre la admisión de las prueba, celebrándose el juicio en el día señalado.

TERCERO.- El Ministerio Fiscal en el acto del juicio elevó a definitivas sus conclusiones provisionales calificando los hechos como constitutivos de un delito de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal en concurso medial del artículo 77 del Código Penal con un delito de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal en su redacción vigente en el momento de los hechos, considerando responsable del mismo al acusado como autor, sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, interesando la imposición de una pena de prisión de dos años de prisión con la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena y multa de 18 meses a razón de 6 euros diarios con aplicación de la responsabilidad personal subsidiaria prevista en el artículo 53 del Código Penal para el supuesto de impago, así como el comiso del disco duro de marca SAMSUNG n1 de serie S19, disco duro marca WESTERN DIGITAL, nº de serie WC, disco duro marca WESTERN DIGITAL nº de serie WC extraídos del ordenador de sobremesa intervenido conforme al artículo 127 del Código Penal y las costas causadas en este procedimiento.

El Letrado de la defensa elevó a definitivas su escrito de conclusiones provisionales, interesando la libre absolución de su patrocinado, y subsidiariamente que se aplique la atenuante muy cualificadas de dilaciones indebidas prevista en el artículo 21.6ª del CP.

CUARTO: Tras los correspondientes informes, y concedida al acusado el uso de la última palabra, quedaron los autos vistos para sentencia.

HECHOS PROBADOS

Resulta probado y así se declara expresamente que JS de profesión ingeniero superior informático por la Universidad Pontificia de Comillas, en el mes de noviembre de 2012 y período comprendido entre el 12 de noviembre de 2013 y el 12 de diciembre de 2013 accedió, sin estar autorizado para ello, desde el ordenador que utilizaba en su domicilio sito en CCC, a través de las direcciones IPs x, x, x, a las bases de datos de la Universidad Pontificia de Comillas mediante la inyección de parámetros SQL en las páginas web de la Universidad www.iit.upcomillas.es y www.upcomillas.es llegando a acceder a dos de esas bases de datos sin estar autorizado para ello.

Por auto de fecha 18 de julio de 2014 del Juzgado de Instrucción nº 2 se autorizó la entrada y registro en el domicilio del acusado así como en su puesto de trabajo, interviniéndose en su domicilio el ordenador personal y los discos duros de marca SAMSUNG n1 de serie S19, disco duro marca WESTERN DIGITAL, nº de serie WC, disco duro marca WESTERN DIGITAL nº de serie WC, y el disco duro marca SEAGATE con nº de serie 9W.

Tras el análisis técnico policial practicado en el equipo personal intervenido al acusado en su domicilio, se localizaron ficheros correspondientes a las bases de datos de la Universidad Pontificia de Comillas.

No ha resultado acreditado de la prueba practicada que el acusado utilizara ningún medio o programa para vulnerar los sistemas de seguridad de la Universidad Comillas, ni que su intención fuera apoderarse, utilizar o modificar algún dato contenido en las bases de datos, ni que haya ocasionado ningún perjuicio a la Universidad.

FUNDAMENTOS DE DERECHO

PRIMERO.- Los hechos declarados probados se derivan de la valoración conjunta de la prueba practicada y, en especial, del resultado arrojado por las pruebas testifical, pericial y documental.

El acusado en el acto del juicio, manifestó que es ingeniero informático especializado en seguridad, y que es cierto que utilizó la base de datos de la Universidad de Comillas donde había estudiado su carrera de ingeniería informática en los años 2006 a 2011, pero lo hizo con la finalidad de hacer consultas desde su casa para el ejercicio de entrenamientos y ver cómo funcionaba la web. Que la página era pública y no había ninguna medida de seguridad. Que cuando hicieron la intervención lo que se llevaron era lo único que había de la Universidad Comillas, que accedió a esos datos pulsando en cada uno de ellos. Que descargó los datos con la idea de poder operar, y los datos a los que accedió eran de naturaleza pública. Que no se descargó todo. Que si pudo comprobar que el sistema tenía 12 agujeros importantes y sólo hizo dos pruebas en la Universidad, porque la tecnología que usaba estaba obsoleta. Pero que no quiso entrar más al ver que había datos delicados. Que una vez que lanzó la herramienta y vio que el troncal de la base de datos era único, cortó con lo que estaba haciendo y lo dejó, porque vio que podía ser delicado el tema. La universidad detecta el tráfico sospechoso de acceso a datos. Que lo que encontró la Guardia Civil en su ordenador son los nombres de los investigadores, porque no se descargó la información que encontró.

El testigo B, como Representante Legal de la Universidad de Comillas declaró que él interpuso la denuncia porque le informaron que había habido una persona que había accedido a los datos de la universidad a través de la página web, pero que él plasmó en su denuncia lo que les comentaron los informáticos de la Universidad ya que son los que tienen conocimiento del tema al no ser el declarante especialista técnico en informática, y como consecuencia de ello encargaron a una empresa externa la realización de un análisis de lo que había sucedido. Que por lo que le dijeron, en el acceso no se borró ninguna información, ni se modificaron los datos que estaban en la base de datos de la Universidad, y tampoco se causaron daños, más allá del coste que se ocasionó de tener que encargar a una empresa el estudio, que es lo que reclaman, así como los costes internos de dedicarse los técnicos para poder solucionar el problema. Que le dijeron que se accedió a información de carácter básico, como el nombre de investigadores o su DNI. No se accedió a las cuentas bancarias.

Por su parte, MM, como técnico informático de la Universidad y director de redes de seguridad, declaró que aquel día se dieron cuenta de que habían entrado en la red de la Universidad porque ésta tenía un comportamiento extraño y vieron instrucciones raras en el sistema. Que comenzaron a buscar de donde venía y empezaron a cortar, porque por los portales se puede acceder a mucha información. Que encargaron a unos peritos que hicieran un estudio. Que los datos a los que se accedió por el acusado, eran nombres y apellidos y DNI u otros datos de gestión de la Universidad, pero no tiene conocimiento que esos datos a que se accedió hayan sido divulgados. Que han introducido algunas modificaciones desde entonces para evitar el acceso de terceros, porque saben que el sistema tenía una brecha de seguridad. El perjuicio causado a la Universidad se traduce en el coste del peritaje, pero no hubo daños en el sistema, porque el declarante no tuvo que reparar nada. Que la herramienta SQL se suele utilizar para ver si el sistema de seguridad de acceso es vulnerable y esa herramienta es gratuita, y que el declarante la usa en su casa para ver si todo está correcto.

Los agentes de la Guardia Civil con TIP nº U y B, declararon que su trabajo consistió en averiguar la IP desde donde se había hecho la conexión para acceder a la web de la Universidad, además de llevar a cabo la entrada y registro e incautar los ordenadores del acusado. Que para ello analizaron la pericial que les mandaron y los “logs” que aportaron. Que el hecho de utilizar la herramienta SQL provoca daños al sistema por el impacto que tiene en el mismo, porque los sistemas dejan de funcionar correctamente, al provocar un stress en el sistema que puede ocasionar daños. Que sospecharon que el acusado estaba utilizando “proxis” y después él mismo confirmó que las utilizaba. Que aunque había más IPs, la más sospechosa era la que les llevó hasta el acusado. Que ellos no analizaron el material intervenido. Aunque nada les hizo pensar que con la intrusión se borrara o modificada nada.

En el mismo sentido declaró MF, que ratificó que firmó todos los oficios que se mandaron al Juzgado como alférez del grupo, manifestando que fueron sus compañeros los que hicieron el informe y que su trabajo consistió en identificar las IPs. Que al contenido que accedió se lo facilitó la universidad y ECIX y que luego lo comprobaron cuando se incautó el ordenador del acusado.

Los agentes de la Guardia Civil S y G que realizaron el informe pericial, así como el perito JM, declararon que la primera línea de investigación fue identificar las IPs y vieron que había 3 direcciones que habían hecho consultas accediendo a la base de datos y obteniendo información y vieron como esa información se había extraído de la carpeta del servidor de la web de la universidad, que como se puede apreciar en el folio 51, el acceso se hizo a datos privados como DNI. Que la Universidad no les ha comunicado que existiera algún daño de funcionamiento. Que en el sistema de la universidad existía un fallo de programación en la aplicación que producía vulnerabilidad. Que consideran que solo se accedió en modo de lectura. Que cuando analizaron el ordenador del acusado, en el disco duro había algunas bases de datos descargadas y en carpetas ordenadas y que tenía una caja de herramientas que se utilizan en el mundo del hacking, pero solo dos bases estaban relacionadas con la Universidad. Que no recordaban si había accedido a nóminas, pero creía recordar que si a bajas laborales. Que pensaban que la intención del acusado en todo momento fue didáctica, porque no hubo daños, ni tampoco descarga. Que el SQL es lo que utilizó y esa aplicación detecta vulnerabilidades. Que cuando el sistema genera un código 500, eso quiere decir que te deniega el acceso, pero queda registrado el intento, y que algunas cosas de la base de datos de la universidad venían con contraseña y se produjo un código 500.

Finalmente, declaró el perito de la defensa CAS, el cual ratificó su informe unido a los folios 373 a 404, cuyo original fue aportado en el acto del juicio, el cual, además de aclarar aspectos del funcionamiento de las herramientas informáticas utilizadas para acceder a los sistemas o bases de datos de terceros, también manifestó que el fichero que se aportó refleja todo el frontal, donde dice a lo que no se pudo acceder, como por ejemplo a “nóminas” ya que arrojó un Código 500. Además, quedó registrado que solo se hizo el acceso a nivel de consulta. Además, añadió que había que tener en cuenta, que los datos fueron facilitados por la Universidad, que fueron fácilmente manipulables y por ello, no se respetó la cadena de custodia. Además para un estudio exhaustivo del alcance, habría que haber comprobado los 200 logs, porque cuando da código 500 no se puede acceder a la información. Además, añadió que el sistema de la Universidad tenía agujeros de tensión y que fueron más IPs las que intentaron o accedieron a la Universidad.

Por otra parte, consta unido a los folios 24 a 29 el informe inicial que realizó los agentes de la Guardia Civil para poder analizar e identificar qué IP era la utilizada para acceder a las bases de datos de la Universidad, partiendo de los datos que les habían sido facilitados por la entidad ECIX que había realizado un informe pericial de la amenaza informática que habían sufrido. En este informe inicial de la Guardia Civil, puede apreciarse como fueron varias las IPs localizadas y que habían intentado acceder a la información de la Universidad mediante el empleo de herramientas FOCA, SQL y ACUNETIX utilizadas para poder encontrar fallos informáticos o vulnerabilidades del sistema. Asimismo, también consta que fue utilizando por el usuario, el programa o dispositivo PROXI para poder encubrir su real identidad.

No obstante, de este primer informe, se observa que fueron varias IPs las que intentaron acceder a los datos de la universidad, y que según se expone, dos fueron las que arrojaron un resultado más agresivo y que posteriormente fueron identificadas como del acusado, como consta en los folios 74 a 95 de las actuaciones.

Asimismo, consta en los folios 98 y 104 los autos acordando la entrada y registro tanto en el domicilio de JS, así como en su lugar de trabajo, y las actas levantadas en la citada diligencia, unidas al folio 107 a 113, donde se incautó todo el material informático del acusado y que había sido utilizado para el acceso a los datos de la Universidad Comillas, como puede apreciarse del informe elaborado por el Grupo de Delitos Telemáticos de la Unidad de la Guardia Civil, unido a los folios 143 y siguientes, y en donde se llega a la misma conclusión, en cuanto al alcance de la actividad desarrollada por el acusado de acceso a la información de la Universidad Comillas, que la expuesta en el informe pericial de la empresa ECIX .

A los folios 31 a 64 consta unido el informe pericial de la empresa ECIX que fue encargado por la Universidad Comillas, para valorar el alcance de la intrusión que podrían haber sufrido, y según consta en el mismo, el estudio se realizó desde las bitácoras o “logs” de los servidores de la web corporativa y las bases de datos de la Universidad, siendo éstos los que sirvieron para almacenar la actividad sospechosa de la persona o personas que habían accedido a la información. Llegando a la conclusión los peritos, que solo tres de las direcciones IPs la x,x,x fueron las que consiguieron acceder a las base de datos mediante la inyección de parámetros SQL. Que no obstante, esas IPs identificadas solo realizaron consultas de lectura de información, sin haber modificado, introducido o eliminado información adicional, siendo la última IP de las mencionadas, la que mayor actividad maliciosa presentó, al haber accedido a un mayor número de bases de datos, siendo los datos consultados los que aparecen en el informe (folio 51). Asimismo, consta que la Universidad tras lo sucedido había procedido a subsanar el problema técnico que tenía en su sistema con el fin de limitar en la medida de lo posible la repetición de hechos como los ocurridos.

Igualmente, puede apreciarse el análisis realizado por el acusado a la base de datos de la Universidad Comillas en los folios 145 y siguientes en donde aparecen distintas carpetas y bases con nombres y apellidos de personas relacionadas con la Universidad, que como se expone en los informes y así fue confirmado en el acto del juicio, se corresponde en la mayoría con datos relativos a nombres de alumnos y profesores. Pero para tener un mejor conocimiento de los derechos que podrían haber sido vulnerados por el acusado, por el Juzgado de Instrucción se requirió a la Universidad Comillas para que facilitara de forma específica los datos a los que tuvo acceso el acusado en su intrusión, los cuales fueron aportados, como puede apreciarse en los folios 240 a 244, donde constan todas las bases de datos a las que se tuvo acceso, y como puede comprobarse en algunas constan los nombres y apellidos de determinadas personas, en otras son datos de contacto, en algunos existen datos codificados, siendo las que se puede calificar de contenido más personal las de datos de atención psicológica y terapeutas y pacientes, pero sin que conste el contenido exacto de lo que existía dentro de ellas, al no haber sido facilitado, pese el requerimiento judicial efectuado por el Juzgado de Instrucción nº 2 de Madrid (folio 236 y 237), por lo que se hace imposible poder valorar el alcance verdadero y la gravedad de la intrusión realizada por el acusado.

Finalmente a los folios 373 a 404, se encuentra el informe pericial aportado por el perito de la defensa CAS, donde se expone que no se realizó una cadena de custodia correcta, porque la información facilitada por la Universidad pudo ser manipulada. Además, de faltar un examen del detalle de los ficheros, porque se pudo constatar que a la mayor parte de la información no se pudo acceder. Además, de que los datos consultados por el acusado es información pública, que al día de hoy se puede visionar desde cualquier navegador web, sin el uso de claves, siendo por ello, todos los exámenes periciales parciales, al no analizar toda la información.

SEGUNDO.- El delito que se imputa a JS es el de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal en concurso medial del artículo 77 del Código Penal con un delito de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal en su redacción vigente al momento de comento de cometer los hechos.

En cuanto al delito de descubrimiento y revelación de secretos tipificado en el artículo 197.2 del Código Penal, castiga al que, “sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.

Por lo tanto, la conducta que se castiga es el de apoderamiento, utilización o modificación, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, que se encuentren registrados o archivados, o de acceder por cualquier medio a los mismos. Por lo tanto, son conductas de apoderamiento -aprehensión material o virtual de los mencionados datos reservados-, de utilización -hacer uso ilegítimo de la información contenida en los mismos-, de modificación o alteración -cambiar alterar o transformar esos datos reservados registrados-, y de acceder -mediante el conocimiento o la obtención de información sobre tales datos, es decir, tenerlos a disposición- de los datos reservados de carácter personal o familiar registrados en ficheros, soportes informáticos o archivos, siempre y cuando se lleven a cabo con la finalidad de perjudicar a un tercero (SSTS de 18 de febrero de 199, 11 de julio de 2001, SAP Barcelona de 18 de enero de 2008)

Tales datos reservados  han de entenderse en un sentido funcional, y no vinculado estrictamente a los efectos administrativos, como los relativos a datos no públicos -secretos-, no conocidos por el sujeto activo y que el sujeto pasivo no desea que se conozcan (STS 11 de julio de 2001), que afectan a la privacidad de la persona o de su ámbito familiar. Han de ser ajenos, siendo indiferente el modo de tratamiento de tales datos que han de hallarse registrados en ficheros, soportes informáticos, etc. o en cualquier otro tipo de archivos o registro público o privado.

Los datos reservados de carácter personal o familiar, no pueden ser confundidos con los datos personales  que pertenecen al núcleo duro de la privacidad -ideología, creencias, salud, etc.-, cuya tutela penal se articula a través del tipo cualificado del  art.197.5 del Código Penal.

La conducta del tipo básico de los delitos contra la libertad informática solo admite la comisión dolosa. Además, se requiere la concurrencia de un especial elemento subjetivo del tipo, al exigir que el agente obre «en perjuicio» de otro. No es necesaria la causación del perjuicio ajeno para consumar el delito, al ser suficiente con que la realización de la acción típica se lleve a cabo para causar a otro, cualquier clase de perjuicio, no necesariamente económico (TS 11-7-01, EDJ 16167).

Como ha declarado el Tribunal Supremo, “en el art. 197.2 se incrimina tanto el hurto, como el espionaje informático, dentro del tipo básico, al que también corresponde el número anterior, de modo que se sanciona el “apoderamiento, utilización o modificación” de los datos personales o familiares, tanto automatizados (soportes informáticos, electrónicos o telemáticos) como residentes en ficheros (archivo o registro) de tipo manual, (tanto público como privado); es decir, cuando las referidas conductas se hayan efectuado de manera ilegal con infracción de la Ley de protección de datos de carácter personal 15/1999, de 13 de diciembre, vigente” (STS 1084/10, de 9 de diciembre).

En cuanto a la conducta que castiga el tipo penal, la Sala Segunda explica que “el primer inciso se refiere a la conducta de apoderarse, que evoca la acción de sustraer, mientras que el segundo inciso se refiere al acto de acceder por cualquier medio, con el que se alude a todo forma ilícita de llegar a conocer los datos reservados” (STS 234/99, de 18 de febrero).

El delito requiere que la conducta se realice en perjuicio de tercero. El Tribunal Supremo recuerda: “tres formas comisivas se recogen en el párrafo segundo del artículo 197.2 del Código Penal: a) el apoderamiento, utilización o modificación de los datos que hemos descritos; b) el mero acceso; y c) la alteración o utilización. Sólo con relación a la primera y a la tercera de ellas, menciona expresamente el legislador que la conducta se haga en perjuicio de tercero, mientras que no exigiría tal perjuicio en el caso de la conducta de acceso. Pero como decíamos en la resolución ya mencionada, es necesario realizar una interpretación integradora del precepto, en el sentido de que como en el inciso primero se castigan idénticos comportamientos objetivos que el inciso 2º (apodere, utilice, modifique) no tendría sentido que en el mero acceso no se exija perjuicio alguno, y en conductas que precisan ese previo acceso añadiendo otros comportamientos, se exija ese perjuicio, cuando tales conductas ya serían punibles -y con la misma pena- en el inciso segundo” (STS 990/12, de 18 de octubre).

Por lo tanto, se precisa, el acceso a la información que en el caso de autos ha sido probado, pero también se requiere, que ese acceso se haga en perjuicio de tercero. Perjuicio que no ha resultado acreditado, porque aunque la Universidad lo cuantifica en la suma que ha tenido que abonar a los técnicos para averiguar la intromisión y arreglar las posibles brechas que tenía el sistema por donde terceros podían acceder. Ese gasto económico no puede considerarse perjuicio, ya que no es un perjuicio causado por el acusado al acceder al sistema de la Universidad, pues su conducta, según ha resultado probado, no provocó ningún tipo de daño, ni modificación en el sistema, por lo que no puede considerarse que su acción fuera realizada con el fin de causar un perjuicio al titular de los datos, como expone y exige el precepto.

Tampoco se ha acreditado que por parte del acusado ejecutara los verbos que exige la conducta del tipo, apoderarse, utilizar o modificación los datos sin autorización de su propietario, porque según expusieron los peritos, la intromisión solo se realizó a los efectos de consultar o modo lectura, sin que haya resultado probado que esos datos hayan sido utilizados, y el hecho de que en su ordenador constara alguno de estos datos consultados, es porque como se explicó en el acto del juicio por los peritos, la herramienta SQL provoca que en el ordenador del usuario de esta herramienta informática, quede reflejo de los datos consultados.

Asimismo, tampoco podemos apreciar en la conducta del acusado, que la misma se hiciera con el dolo necesario que exige el tipo, pues en ningún momento se ha acreditado que la finalidad o ánimo buscado por el acusado, fuera acceder a las bases de datos con la idea de poder descubrir determinados datos secretos o vulnerar la intimidad de alguna persona, pues como se ha expuesto, la Universidad no ha probado que aquellos datos a los que se tuvo acceso por el acusado, hayan podido vulnerar la intimidad de las personas, porque a los datos que accedió eran públicos, como era el nombre y apellidos o en algunos casos el número del Documento Nacional de Identidad, y sin que se haya demostrado que dentro del contenido de esas bases de datos existieran datos que afectan a la privacidad de la persona o de su ámbito familiar.

Por todo ello, valorando en su conjunto la prueba practicada no puede llegarse a la conclusión que los hechos realizados por el acusado, puedan ser incardinados en la conducta del tipo previsto en el artículo 197.2 del Código Penal.

TERCERO.- Por otra parte también se le imputa al acusado, el delito de acceso no autorizado a datos o programas informáticos, regulado en el apartado tercero del artículo 197 en su redacción a la fecha de los hechos, el cual venía redactado: “ El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.”

Este tipo penal desde la reforma del Código Penal llevada a cabo por LO 1/2015, ha sido objeto de tratamiento sistemático autónomo, sacándole del artículo 197 del Código Penal, que regula los tipos básicos y cualificados de descubrimiento y/o revelación de secretos, e incorporando las conductas objeto de protección al vigente artículo 197 bis.

Las conductas que pretende regular este precepto son las llevadas a cabo por hackers cuya única finalidad consiste en burlar sistemas de seguridad informáticos, sin el menor interés hacia el contenido de la información a la que podría accederse. De hecho, la ética hacker y su evolución sociológic., tiene más que ver con el reto o desafío personal o compartido en la comunidad hacker de quebrar la seguridad de un sistema informático, demostrando sus puntos débiles y con ello incluso ayudando, si bien indirectamente, a mejorarla.

La primera modalidad típica que se regula en este precepto es la de acceso sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo. El acceso puede ser directo o remoto, debiendo realizarse siempre vulnerando las medidas de seguridad establecidas para evitarlo

El objeto material está integrado por los datos y programas informáticos contenidos en un sistema informático.

La segunda modalidad típica, alternativa a la primera, es la de mantenerse dentro del sistema en contra de la voluntad de quien tiene el legítimo derecho de exclusión. De ahí, que se exija que la entrada haya sido consentida por el titular del sistema, y que el sujeto activo se mantenga después de haber cesado ese consentimiento.

El tipo se consuma desde el momento en que el agente accede sin autorización a los datos o programas informáticos de un sistema informático, vulnerando las medidas de seguridad establecidas para evitar el acceso informático ilícito, o cuando, después de un previo acceso informático lícito, el sujeto activo se mantiene dentro del sistema informático después de que se haya manifestado la voluntad contraria del titular de derecho de exclusión.

La conducta típica consiste en acceder o mantenerse, resultando indiferente que se realice una u otra, o incluso ambas, pues el delito seguirá siendo único

El alcance de la conducta típica, en el plano objetivo, quedará condicionado y limitado por la exigencia de la vulneración de las medidas de seguridad antivirus o firewall, claves de acceso, contraseñas, establecidas para impedir el acceso informático no autorizado. En cuanto al mismo, la modalidad típica más común será el empleo de técnicas de hacking, como es la utilización de generadores de claves o keygens, programas destinados a burlar contraseñas u otras barreras de seguridad interpuestas por el titular de los bienes jurídicos amenazados, como el empleo de cracks y artificios semejantes, hoy por hoy bastante comunes en el ciberespacio y al alcance de cualquier usuario.

En el caso de autos, ha resultado probado que el sistema informático de la Universidad Comillas presentaba ciertas irregularidades o deficiencias que le hacían vulnerable a ciertas amenazas, y que por ello, a raíz de ocurrir los hechos que son objeto de enjuiciamiento, se adoptaron las medidas precisas para arreglar esas posibles deficiencias, como expusieron tanto el testigo MM, o el perito que elaboró el informe de la entidad ECIX y los peritos del Grupo perteneciente a la Guardia Civil de Delitos Telemáticos.

Asimismo, ha resultado probado, que las herramientas utilizadas por el acusado fueron aquellas que sirven para encontrar vulnerabilidades en los sistemas, y que el mismo lo hizo con la finalidad de encontrar esa posible vulnerabilidad de los sistemas de seguridad de la Universidad donde él había cursado sus estudios de Ingeniería Informática, accediendo por su página web. Sin que en ningún momento haya utilizado programas u otros artificios semejantes, destinados a burlar contraseñas u otras barreras de seguridad interpuestas por el titular y que actualmente pueden utilizarse, y que no cabe la menor duda que el acusado conoce y pudo utilizar, en virtud de los conocimientos que tiene como ingeniero informático y experto en sistemas de seguridad.

Es por ello, por lo que no se puede apreciar que concurra en la conducta del acusado los elementos exigidos en el tipo, pues su actuación no fue dirigida a burlar los sistemas de seguridad de la Universidad, sino que su conducta fue dirigida a comprobar si el citado sistema era vulnerable, porque como explicaron todos los peritos el empleo de las herramientas SQL y ACUNETIX son utilizadas para poder encontrar fallos o carencias informáticas o vulnerabilidades en los sistemas de seguridad. Pues así lo expuso el propio acusado en todas sus declaraciones, como también lo expusieron prácticamente la totalidad de los peritos, al manifestar que dada la forma de acceder y las herramientas utilizadas por el acusado, no tenían dudas que la intención del acusado fue en todo momento didáctica.

Por lo que ante tales circunstancias, existiendo una total falta de prueba de cargo, sobre la concurrencia de los presupuestos del delito de descubrimiento de secretos y del delito de acceso no autorizado a datos o programas informáticos que se le imputa a JS, se hace necesario el dictado de una sentencia absolutoria en favor de ambos acusados.

Porque en este sentido cabe manifestar que el derecho a la presunción de inocencia, consagrado en el art. 24.2 de la Constitución, es además de un derecho fundamental que vincula a todos los poderes y que resulta de aplicación directa, una regla de juicio que debe ser aplicada en el momento de dictar sentencia. Y en base a su significado, se extrae la conclusión que le incumbe a quien acusa aportar las pruebas destructoras de aquella presunción iuris tantum, pues es la inocencia la que se presume como cierta hasta que no se demuestre lo contrario (STC 124/1983, de 21 de diciembre). Se trata pues, como recuerda la STS 2073/2007, de 25 abril, de un derecho que presenta una naturaleza de carácter “reaccional”, o pasiva, de modo que no precisa de un comportamiento activo de su titular sino que, antes al contrario, constituye una auténtica e inicial afirmación interina de inculpabilidad, respecto de quien es objeto de acusación. Ahora bien, su carácter de interinidad o de presunción “iuris tantum”, es el que posibilita, precisamente, su legal enervación, mediante la aportación, por quien acusa, de material probatorio de cargo, válido y bastante, sometido a la valoración por parte del Juzgador y desde la inmediación, de la real concurrencia de esos dos requisitos: el de su validez, en la que por supuesto se ha de incluir la licitud en la obtención de la prueba; y el de su suficiencia para producir la necesaria convicción racional acerca de la veracidad de los hechos sobre los que se asienta la pretensión acusatoria. La prueba de cargo, además, debe estar referida a los elementos esenciales del delito objeto de la condena, tanto de naturaleza objetiva como subjetiva, y a la participación en dichos hechos del acusado, lo que constituye el ámbito propio de este derecho fundamental (Sentencias del Tribunal Supremo de 9 de mayo de 1989, 30 de septiembre de 1993, 30 de septiembre de 1994 y 10 de octubre de 1997).

Pero junto a este derecho fundamental de presunción de inocencia, que da derecho a no ser condenado sin prueba de cargo válida, que es la obtenida en el juicio (salvo las excepciones constitucionalmente admitidas), que haya sido racional y explícitamente valorada, de forma motivada, en la sentencia (STC 17/2002, de 28 de enero y STS 213/2002, de 14 de febrero), contamos con el principio “in dubio pro reo”, que pertenece al momento de valoración de la prueba y que juega cuando, concurrente aquella actividad probatoria indispensable, y que no permite que exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos del tipo penal de que se trate ( STC 44/1989, de 20 de febrero), y que en caso de existir la duda, habrá de resolverse a favor el reo.

Igualmente esta doctrina jurisprudencial también ha sido recogida en las Sentencias del Tribunal Supremo 1386/2003 de 24 de octubre, 1565/2003 de 21 de noviembre, 1415/2003 de 29 de octubre y 1280/2003 de 8 de octubre entre otras.

CUARTO.- Por lo que respecta a las costas del presente procedimiento, deben ser declaradas de oficio ante la absolución de los acusados, por aplicación del artículo 240 de la Ley de Enjuiciamiento Criminal.

FALLO

Que debo declarar la LIBRE ABSOLUCIÓN de JS de los hechos que se le imputaban en la presente causa.

Impónganse las costas de oficio.

Notifíquese la presente a las partes y al Ministerio Fiscal y a los ofendidos y perjudicados, aun cuando no se hayan mostrado parte en la causa.

Esta Sentencia no es firme. Contra ella cabe interponer recurso de apelación, en el plazo de DIEZ DÍAS a contar desde su notificación, ante este Juzgado para su resolución por la Audiencia Provincial de Madrid.

Llévese testimonio de la presente resolución a los autos principales, quedando el original en el libro de Sentencia.

Así lo acuerdo, mando y firmo.

Magistrado/a-Juez

[:en]

SENTENCIA núm. 422/19

En Madrid, a veinte de enero de dos mil veinte.

Habiendo visto Doña María Nieves Bayo Recuero, Juez del Juzgado de lo Penal nº 24 de Madrid los presentes autos de Procedimiento Abreviado nº 198/2017, procedentes del Juzgado de Instrucción nº 2 de Madrid (Diligencias Previas 79/2014) seguidos por un Delito de DESCUBRIMIENTO DE SECRETOS en CONCURSO MEDIAL con un delito de ACCESO NO AUTORIZADO A DATOS O PROGRAMAS INFORMATICOS contra JS con D.N.I. nº X, de nacionalidad española, nacido en X, hijo de JG y de CG, sin antecedentes penales, asistido por el Letrado Don Javier Maestre Rodríguez y el Ministerio Fiscal en la representación que por Ley le corresponde.

ANTECEDENTES DE HECHO

PRIMERO.- Las presentes actuaciones se iniciaron como Diligencias Previas nº 79/2014 por el Juzgado de Instrucción nº 2 de Madrid, habiendo sido repartidas a este Órgano jurisdiccional para su enjuiciamiento.

SEGUNDO.- Recibidas las actuaciones en este Juzgado, se formó el correspondiente Juicio Oral, se pronunció sobre la admisión de las prueba, celebrándose el juicio en el día señalado.

TERCERO.- El Ministerio Fiscal en el acto del juicio elevó a definitivas sus conclusiones provisionales calificando los hechos como constitutivos de un delito de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal en concurso medial del artículo 77 del Código Penal con un delito de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal en su redacción vigente en el momento de los hechos, considerando responsable del mismo al acusado como autor, sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, interesando la imposición de una pena de prisión de dos años de prisión con la accesoria de inhabilitación especial para el ejercicio del derecho de sufragio pasivo durante el tiempo de la condena y multa de 18 meses a razón de 6 euros diarios con aplicación de la responsabilidad personal subsidiaria prevista en el artículo 53 del Código Penal para el supuesto de impago, así como el comiso del disco duro de marca SAMSUNG n1 de serie S19, disco duro marca WESTERN DIGITAL, nº de serie WC, disco duro marca WESTERN DIGITAL nº de serie WC extraídos del ordenador de sobremesa intervenido conforme al artículo 127 del Código Penal y las costas causadas en este procedimiento.

El Letrado de la defensa elevó a definitivas su escrito de conclusiones provisionales, interesando la libre absolución de su patrocinado, y subsidiariamente que se aplique la atenuante muy cualificadas de dilaciones indebidas prevista en el artículo 21.6ª del CP.

CUARTO: Tras los correspondientes informes, y concedida al acusado el uso de la última palabra, quedaron los autos vistos para sentencia.

HECHOS PROBADOS

Resulta probado y así se declara expresamente que JS de profesión ingeniero superior informático por la Universidad Pontificia de Comillas, en el mes de noviembre de 2012 y período comprendido entre el 12 de noviembre de 2013 y el 12 de diciembre de 2013 accedió, sin estar autorizado para ello, desde el ordenador que utilizaba en su domicilio sito en CCC, a través de las direcciones IPs x, x, x, a las bases de datos de la Universidad Pontificia de Comillas mediante la inyección de parámetros SQL en las páginas web de la Universidad www.iit.upcomillas.es y www.upcomillas.es llegando a acceder a dos de esas bases de datos sin estar autorizado para ello.

Por auto de fecha 18 de julio de 2014 del Juzgado de Instrucción nº 2 se autorizó la entrada y registro en el domicilio del acusado así como en su puesto de trabajo, interviniéndose en su domicilio el ordenador personal y los discos duros de marca SAMSUNG n1 de serie S19, disco duro marca WESTERN DIGITAL, nº de serie WC, disco duro marca WESTERN DIGITAL nº de serie WC, y el disco duro marca SEAGATE con nº de serie 9W.

Tras el análisis técnico policial practicado en el equipo personal intervenido al acusado en su domicilio, se localizaron ficheros correspondientes a las bases de datos de la Universidad Pontificia de Comillas.

No ha resultado acreditado de la prueba practicada que el acusado utilizara ningún medio o programa para vulnerar los sistemas de seguridad de la Universidad Comillas, ni que su intención fuera apoderarse, utilizar o modificar algún dato contenido en las bases de datos, ni que haya ocasionado ningún perjuicio a la Universidad.

FUNDAMENTOS DE DERECHO

PRIMERO.- Los hechos declarados probados se derivan de la valoración conjunta de la prueba practicada y, en especial, del resultado arrojado por las pruebas testifical, pericial y documental.

El acusado en el acto del juicio, manifestó que es ingeniero informático especializado en seguridad, y que es cierto que utilizó la base de datos de la Universidad de Comillas donde había estudiado su carrera de ingeniería informática en los años 2006 a 2011, pero lo hizo con la finalidad de hacer consultas desde su casa para el ejercicio de entrenamientos y ver cómo funcionaba la web. Que la página era pública y no había ninguna medida de seguridad. Que cuando hicieron la intervención lo que se llevaron era lo único que había de la Universidad Comillas, que accedió a esos datos pulsando en cada uno de ellos. Que descargó los datos con la idea de poder operar, y los datos a los que accedió eran de naturaleza pública. Que no se descargó todo. Que si pudo comprobar que el sistema tenía 12 agujeros importantes y sólo hizo dos pruebas en la Universidad, porque la tecnología que usaba estaba obsoleta. Pero que no quiso entrar más al ver que había datos delicados. Que una vez que lanzó la herramienta y vio que el troncal de la base de datos era único, cortó con lo que estaba haciendo y lo dejó, porque vio que podía ser delicado el tema. La universidad detecta el tráfico sospechoso de acceso a datos. Que lo que encontró la Guardia Civil en su ordenador son los nombres de los investigadores, porque no se descargó la información que encontró.

El testigo B, como Representante Legal de la Universidad de Comillas declaró que él interpuso la denuncia porque le informaron que había habido una persona que había accedido a los datos de la universidad a través de la página web, pero que él plasmó en su denuncia lo que les comentaron los informáticos de la Universidad ya que son los que tienen conocimiento del tema al no ser el declarante especialista técnico en informática, y como consecuencia de ello encargaron a una empresa externa la realización de un análisis de lo que había sucedido. Que por lo que le dijeron, en el acceso no se borró ninguna información, ni se modificaron los datos que estaban en la base de datos de la Universidad, y tampoco se causaron daños, más allá del coste que se ocasionó de tener que encargar a una empresa el estudio, que es lo que reclaman, así como los costes internos de dedicarse los técnicos para poder solucionar el problema. Que le dijeron que se accedió a información de carácter básico, como el nombre de investigadores o su DNI. No se accedió a las cuentas bancarias.

Por su parte, MM, como técnico informático de la Universidad y director de redes de seguridad, declaró que aquel día se dieron cuenta de que habían entrado en la red de la Universidad porque ésta tenía un comportamiento extraño y vieron instrucciones raras en el sistema. Que comenzaron a buscar de donde venía y empezaron a cortar, porque por los portales se puede acceder a mucha información. Que encargaron a unos peritos que hicieran un estudio. Que los datos a los que se accedió por el acusado, eran nombres y apellidos y DNI u otros datos de gestión de la Universidad, pero no tiene conocimiento que esos datos a que se accedió hayan sido divulgados. Que han introducido algunas modificaciones desde entonces para evitar el acceso de terceros, porque saben que el sistema tenía una brecha de seguridad. El perjuicio causado a la Universidad se traduce en el coste del peritaje, pero no hubo daños en el sistema, porque el declarante no tuvo que reparar nada. Que la herramienta SQL se suele utilizar para ver si el sistema de seguridad de acceso es vulnerable y esa herramienta es gratuita, y que el declarante la usa en su casa para ver si todo está correcto.

Los agentes de la Guardia Civil con TIP nº U y B, declararon que su trabajo consistió en averiguar la IP desde donde se había hecho la conexión para acceder a la web de la Universidad, además de llevar a cabo la entrada y registro e incautar los ordenadores del acusado. Que para ello analizaron la pericial que les mandaron y los “logs” que aportaron. Que el hecho de utilizar la herramienta SQL provoca daños al sistema por el impacto que tiene en el mismo, porque los sistemas dejan de funcionar correctamente, al provocar un stress en el sistema que puede ocasionar daños. Que sospecharon que el acusado estaba utilizando “proxis” y después él mismo confirmó que las utilizaba. Que aunque había más IPs, la más sospechosa era la que les llevó hasta el acusado. Que ellos no analizaron el material intervenido. Aunque nada les hizo pensar que con la intrusión se borrara o modificada nada.

En el mismo sentido declaró MF, que ratificó que firmó todos los oficios que se mandaron al Juzgado como alférez del grupo, manifestando que fueron sus compañeros los que hicieron el informe y que su trabajo consistió en identificar las IPs. Que al contenido que accedió se lo facilitó la universidad y ECIX y que luego lo comprobaron cuando se incautó el ordenador del acusado.

Los agentes de la Guardia Civil S y G que realizaron el informe pericial, así como el perito JM, declararon que la primera línea de investigación fue identificar las IPs y vieron que había 3 direcciones que habían hecho consultas accediendo a la base de datos y obteniendo información y vieron como esa información se había extraído de la carpeta del servidor de la web de la universidad, que como se puede apreciar en el folio 51, el acceso se hizo a datos privados como DNI. Que la Universidad no les ha comunicado que existiera algún daño de funcionamiento. Que en el sistema de la universidad existía un fallo de programación en la aplicación que producía vulnerabilidad. Que consideran que solo se accedió en modo de lectura. Que cuando analizaron el ordenador del acusado, en el disco duro había algunas bases de datos descargadas y en carpetas ordenadas y que tenía una caja de herramientas que se utilizan en el mundo del hacking, pero solo dos bases estaban relacionadas con la Universidad. Que no recordaban si había accedido a nóminas, pero creía recordar que si a bajas laborales. Que pensaban que la intención del acusado en todo momento fue didáctica, porque no hubo daños, ni tampoco descarga. Que el SQL es lo que utilizó y esa aplicación detecta vulnerabilidades. Que cuando el sistema genera un código 500, eso quiere decir que te deniega el acceso, pero queda registrado el intento, y que algunas cosas de la base de datos de la universidad venían con contraseña y se produjo un código 500.

Finalmente, declaró el perito de la defensa CAS, el cual ratificó su informe unido a los folios 373 a 404, cuyo original fue aportado en el acto del juicio, el cual, además de aclarar aspectos del funcionamiento de las herramientas informáticas utilizadas para acceder a los sistemas o bases de datos de terceros, también manifestó que el fichero que se aportó refleja todo el frontal, donde dice a lo que no se pudo acceder, como por ejemplo a “nóminas” ya que arrojó un Código 500. Además, quedó registrado que solo se hizo el acceso a nivel de consulta. Además, añadió que había que tener en cuenta, que los datos fueron facilitados por la Universidad, que fueron fácilmente manipulables y por ello, no se respetó la cadena de custodia. Además para un estudio exhaustivo del alcance, habría que haber comprobado los 200 logs, porque cuando da código 500 no se puede acceder a la información. Además, añadió que el sistema de la Universidad tenía agujeros de tensión y que fueron más IPs las que intentaron o accedieron a la Universidad.

Por otra parte, consta unido a los folios 24 a 29 el informe inicial que realizó los agentes de la Guardia Civil para poder analizar e identificar qué IP era la utilizada para acceder a las bases de datos de la Universidad, partiendo de los datos que les habían sido facilitados por la entidad ECIX que había realizado un informe pericial de la amenaza informática que habían sufrido. En este informe inicial de la Guardia Civil, puede apreciarse como fueron varias las IPs localizadas y que habían intentado acceder a la información de la Universidad mediante el empleo de herramientas FOCA, SQL y ACUNETIX utilizadas para poder encontrar fallos informáticos o vulnerabilidades del sistema. Asimismo, también consta que fue utilizando por el usuario, el programa o dispositivo PROXI para poder encubrir su real identidad.

No obstante, de este primer informe, se observa que fueron varias IPs las que intentaron acceder a los datos de la universidad, y que según se expone, dos fueron las que arrojaron un resultado más agresivo y que posteriormente fueron identificadas como del acusado, como consta en los folios 74 a 95 de las actuaciones.

Asimismo, consta en los folios 98 y 104 los autos acordando la entrada y registro tanto en el domicilio de JS, así como en su lugar de trabajo, y las actas levantadas en la citada diligencia, unidas al folio 107 a 113, donde se incautó todo el material informático del acusado y que había sido utilizado para el acceso a los datos de la Universidad Comillas, como puede apreciarse del informe elaborado por el Grupo de Delitos Telemáticos de la Unidad de la Guardia Civil, unido a los folios 143 y siguientes, y en donde se llega a la misma conclusión, en cuanto al alcance de la actividad desarrollada por el acusado de acceso a la información de la Universidad Comillas, que la expuesta en el informe pericial de la empresa ECIX .

A los folios 31 a 64 consta unido el informe pericial de la empresa ECIX que fue encargado por la Universidad Comillas, para valorar el alcance de la intrusión que podrían haber sufrido, y según consta en el mismo, el estudio se realizó desde las bitácoras o “logs” de los servidores de la web corporativa y las bases de datos de la Universidad, siendo éstos los que sirvieron para almacenar la actividad sospechosa de la persona o personas que habían accedido a la información. Llegando a la conclusión los peritos, que solo tres de las direcciones IPs la x,x,x fueron las que consiguieron acceder a las base de datos mediante la inyección de parámetros SQL. Que no obstante, esas IPs identificadas solo realizaron consultas de lectura de información, sin haber modificado, introducido o eliminado información adicional, siendo la última IP de las mencionadas, la que mayor actividad maliciosa presentó, al haber accedido a un mayor número de bases de datos, siendo los datos consultados los que aparecen en el informe (folio 51). Asimismo, consta que la Universidad tras lo sucedido había procedido a subsanar el problema técnico que tenía en su sistema con el fin de limitar en la medida de lo posible la repetición de hechos como los ocurridos.

Igualmente, puede apreciarse el análisis realizado por el acusado a la base de datos de la Universidad Comillas en los folios 145 y siguientes en donde aparecen distintas carpetas y bases con nombres y apellidos de personas relacionadas con la Universidad, que como se expone en los informes y así fue confirmado en el acto del juicio, se corresponde en la mayoría con datos relativos a nombres de alumnos y profesores. Pero para tener un mejor conocimiento de los derechos que podrían haber sido vulnerados por el acusado, por el Juzgado de Instrucción se requirió a la Universidad Comillas para que facilitara de forma específica los datos a los que tuvo acceso el acusado en su intrusión, los cuales fueron aportados, como puede apreciarse en los folios 240 a 244, donde constan todas las bases de datos a las que se tuvo acceso, y como puede comprobarse en algunas constan los nombres y apellidos de determinadas personas, en otras son datos de contacto, en algunos existen datos codificados, siendo las que se puede calificar de contenido más personal las de datos de atención psicológica y terapeutas y pacientes, pero sin que conste el contenido exacto de lo que existía dentro de ellas, al no haber sido facilitado, pese el requerimiento judicial efectuado por el Juzgado de Instrucción nº 2 de Madrid (folio 236 y 237), por lo que se hace imposible poder valorar el alcance verdadero y la gravedad de la intrusión realizada por el acusado.

Finalmente a los folios 373 a 404, se encuentra el informe pericial aportado por el perito de la defensa CAS, donde se expone que no se realizó una cadena de custodia correcta, porque la información facilitada por la Universidad pudo ser manipulada. Además, de faltar un examen del detalle de los ficheros, porque se pudo constatar que a la mayor parte de la información no se pudo acceder. Además, de que los datos consultados por el acusado es información pública, que al día de hoy se puede visionar desde cualquier navegador web, sin el uso de claves, siendo por ello, todos los exámenes periciales parciales, al no analizar toda la información.

SEGUNDO.- El delito que se imputa a JS es el de descubrimiento de secretos previsto en el artículo 197.2 del Código Penal en concurso medial del artículo 77 del Código Penal con un delito de acceso no autorizado de datos o programas informáticos, previsto y penado en el artículo 197.3 del Código Penal en su redacción vigente al momento de comento de cometer los hechos.

En cuanto al delito de descubrimiento y revelación de secretos tipificado en el artículo 197.2 del Código Penal, castiga al que, “sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero”.

Por lo tanto, la conducta que se castiga es el de apoderamiento, utilización o modificación, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, que se encuentren registrados o archivados, o de acceder por cualquier medio a los mismos. Por lo tanto, son conductas de apoderamiento -aprehensión material o virtual de los mencionados datos reservados-, de utilización -hacer uso ilegítimo de la información contenida en los mismos-, de modificación o alteración -cambiar alterar o transformar esos datos reservados registrados-, y de acceder -mediante el conocimiento o la obtención de información sobre tales datos, es decir, tenerlos a disposición- de los datos reservados de carácter personal o familiar registrados en ficheros, soportes informáticos o archivos, siempre y cuando se lleven a cabo con la finalidad de perjudicar a un tercero (SSTS de 18 de febrero de 199, 11 de julio de 2001, SAP Barcelona de 18 de enero de 2008)

Tales datos reservados  han de entenderse en un sentido funcional, y no vinculado estrictamente a los efectos administrativos, como los relativos a datos no públicos -secretos-, no conocidos por el sujeto activo y que el sujeto pasivo no desea que se conozcan (STS 11 de julio de 2001), que afectan a la privacidad de la persona o de su ámbito familiar. Han de ser ajenos, siendo indiferente el modo de tratamiento de tales datos que han de hallarse registrados en ficheros, soportes informáticos, etc. o en cualquier otro tipo de archivos o registro público o privado.

Los datos reservados de carácter personal o familiar, no pueden ser confundidos con los datos personales  que pertenecen al núcleo duro de la privacidad -ideología, creencias, salud, etc.-, cuya tutela penal se articula a través del tipo cualificado del  art.197.5 del Código Penal.

La conducta del tipo básico de los delitos contra la libertad informática solo admite la comisión dolosa. Además, se requiere la concurrencia de un especial elemento subjetivo del tipo, al exigir que el agente obre «en perjuicio» de otro. No es necesaria la causación del perjuicio ajeno para consumar el delito, al ser suficiente con que la realización de la acción típica se lleve a cabo para causar a otro, cualquier clase de perjuicio, no necesariamente económico (TS 11-7-01, EDJ 16167).

Como ha declarado el Tribunal Supremo, “en el art. 197.2 se incrimina tanto el hurto, como el espionaje informático, dentro del tipo básico, al que también corresponde el número anterior, de modo que se sanciona el “apoderamiento, utilización o modificación” de los datos personales o familiares, tanto automatizados (soportes informáticos, electrónicos o telemáticos) como residentes en ficheros (archivo o registro) de tipo manual, (tanto público como privado); es decir, cuando las referidas conductas se hayan efectuado de manera ilegal con infracción de la Ley de protección de datos de carácter personal 15/1999, de 13 de diciembre, vigente” (STS 1084/10, de 9 de diciembre).

En cuanto a la conducta que castiga el tipo penal, la Sala Segunda explica que “el primer inciso se refiere a la conducta de apoderarse, que evoca la acción de sustraer, mientras que el segundo inciso se refiere al acto de acceder por cualquier medio, con el que se alude a todo forma ilícita de llegar a conocer los datos reservados” (STS 234/99, de 18 de febrero).

El delito requiere que la conducta se realice en perjuicio de tercero. El Tribunal Supremo recuerda: “tres formas comisivas se recogen en el párrafo segundo del artículo 197.2 del Código Penal: a) el apoderamiento, utilización o modificación de los datos que hemos descritos; b) el mero acceso; y c) la alteración o utilización. Sólo con relación a la primera y a la tercera de ellas, menciona expresamente el legislador que la conducta se haga en perjuicio de tercero, mientras que no exigiría tal perjuicio en el caso de la conducta de acceso. Pero como decíamos en la resolución ya mencionada, es necesario realizar una interpretación integradora del precepto, en el sentido de que como en el inciso primero se castigan idénticos comportamientos objetivos que el inciso 2º (apodere, utilice, modifique) no tendría sentido que en el mero acceso no se exija perjuicio alguno, y en conductas que precisan ese previo acceso añadiendo otros comportamientos, se exija ese perjuicio, cuando tales conductas ya serían punibles -y con la misma pena- en el inciso segundo” (STS 990/12, de 18 de octubre).

Por lo tanto, se precisa, el acceso a la información que en el caso de autos ha sido probado, pero también se requiere, que ese acceso se haga en perjuicio de tercero. Perjuicio que no ha resultado acreditado, porque aunque la Universidad lo cuantifica en la suma que ha tenido que abonar a los técnicos para averiguar la intromisión y arreglar las posibles brechas que tenía el sistema por donde terceros podían acceder. Ese gasto económico no puede considerarse perjuicio, ya que no es un perjuicio causado por el acusado al acceder al sistema de la Universidad, pues su conducta, según ha resultado probado, no provocó ningún tipo de daño, ni modificación en el sistema, por lo que no puede considerarse que su acción fuera realizada con el fin de causar un perjuicio al titular de los datos, como expone y exige el precepto.

Tampoco se ha acreditado que por parte del acusado ejecutara los verbos que exige la conducta del tipo, apoderarse, utilizar o modificación los datos sin autorización de su propietario, porque según expusieron los peritos, la intromisión solo se realizó a los efectos de consultar o modo lectura, sin que haya resultado probado que esos datos hayan sido utilizados, y el hecho de que en su ordenador constara alguno de estos datos consultados, es porque como se explicó en el acto del juicio por los peritos, la herramienta SQL provoca que en el ordenador del usuario de esta herramienta informática, quede reflejo de los datos consultados.

Asimismo, tampoco podemos apreciar en la conducta del acusado, que la misma se hiciera con el dolo necesario que exige el tipo, pues en ningún momento se ha acreditado que la finalidad o ánimo buscado por el acusado, fuera acceder a las bases de datos con la idea de poder descubrir determinados datos secretos o vulnerar la intimidad de alguna persona, pues como se ha expuesto, la Universidad no ha probado que aquellos datos a los que se tuvo acceso por el acusado, hayan podido vulnerar la intimidad de las personas, porque a los datos que accedió eran públicos, como era el nombre y apellidos o en algunos casos el número del Documento Nacional de Identidad, y sin que se haya demostrado que dentro del contenido de esas bases de datos existieran datos que afectan a la privacidad de la persona o de su ámbito familiar.

Por todo ello, valorando en su conjunto la prueba practicada no puede llegarse a la conclusión que los hechos realizados por el acusado, puedan ser incardinados en la conducta del tipo previsto en el artículo 197.2 del Código Penal.

TERCERO.- Por otra parte también se le imputa al acusado, el delito de acceso no autorizado a datos o programas informáticos, regulado en el apartado tercero del artículo 197 en su redacción a la fecha de los hechos, el cual venía redactado: “ El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.”

Este tipo penal desde la reforma del Código Penal llevada a cabo por LO 1/2015, ha sido objeto de tratamiento sistemático autónomo, sacándole del artículo 197 del Código Penal, que regula los tipos básicos y cualificados de descubrimiento y/o revelación de secretos, e incorporando las conductas objeto de protección al vigente artículo 197 bis.

Las conductas que pretende regular este precepto son las llevadas a cabo por hackers cuya única finalidad consiste en burlar sistemas de seguridad informáticos, sin el menor interés hacia el contenido de la información a la que podría accederse. De hecho, la ética hacker y su evolución sociológic., tiene más que ver con el reto o desafío personal o compartido en la comunidad hacker de quebrar la seguridad de un sistema informático, demostrando sus puntos débiles y con ello incluso ayudando, si bien indirectamente, a mejorarla.

La primera modalidad típica que se regula en este precepto es la de acceso sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo. El acceso puede ser directo o remoto, debiendo realizarse siempre vulnerando las medidas de seguridad establecidas para evitarlo

El objeto material está integrado por los datos y programas informáticos contenidos en un sistema informático.

La segunda modalidad típica, alternativa a la primera, es la de mantenerse dentro del sistema en contra de la voluntad de quien tiene el legítimo derecho de exclusión. De ahí, que se exija que la entrada haya sido consentida por el titular del sistema, y que el sujeto activo se mantenga después de haber cesado ese consentimiento.

El tipo se consuma desde el momento en que el agente accede sin autorización a los datos o programas informáticos de un sistema informático, vulnerando las medidas de seguridad establecidas para evitar el acceso informático ilícito, o cuando, después de un previo acceso informático lícito, el sujeto activo se mantiene dentro del sistema informático después de que se haya manifestado la voluntad contraria del titular de derecho de exclusión.

La conducta típica consiste en acceder o mantenerse, resultando indiferente que se realice una u otra, o incluso ambas, pues el delito seguirá siendo único

El alcance de la conducta típica, en el plano objetivo, quedará condicionado y limitado por la exigencia de la vulneración de las medidas de seguridad antivirus o firewall, claves de acceso, contraseñas, establecidas para impedir el acceso informático no autorizado. En cuanto al mismo, la modalidad típica más común será el empleo de técnicas de hacking, como es la utilización de generadores de claves o keygens, programas destinados a burlar contraseñas u otras barreras de seguridad interpuestas por el titular de los bienes jurídicos amenazados, como el empleo de cracks y artificios semejantes, hoy por hoy bastante comunes en el ciberespacio y al alcance de cualquier usuario.

En el caso de autos, ha resultado probado que el sistema informático de la Universidad Comillas presentaba ciertas irregularidades o deficiencias que le hacían vulnerable a ciertas amenazas, y que por ello, a raíz de ocurrir los hechos que son objeto de enjuiciamiento, se adoptaron las medidas precisas para arreglar esas posibles deficiencias, como expusieron tanto el testigo MM, o el perito que elaboró el informe de la entidad ECIX y los peritos del Grupo perteneciente a la Guardia Civil de Delitos Telemáticos.

Asimismo, ha resultado probado, que las herramientas utilizadas por el acusado fueron aquellas que sirven para encontrar vulnerabilidades en los sistemas, y que el mismo lo hizo con la finalidad de encontrar esa posible vulnerabilidad de los sistemas de seguridad de la Universidad donde él había cursado sus estudios de Ingeniería Informática, accediendo por su página web. Sin que en ningún momento haya utilizado programas u otros artificios semejantes, destinados a burlar contraseñas u otras barreras de seguridad interpuestas por el titular y que actualmente pueden utilizarse, y que no cabe la menor duda que el acusado conoce y pudo utilizar, en virtud de los conocimientos que tiene como ingeniero informático y experto en sistemas de seguridad.

Es por ello, por lo que no se puede apreciar que concurra en la conducta del acusado los elementos exigidos en el tipo, pues su actuación no fue dirigida a burlar los sistemas de seguridad de la Universidad, sino que su conducta fue dirigida a comprobar si el citado sistema era vulnerable, porque como explicaron todos los peritos el empleo de las herramientas SQL y ACUNETIX son utilizadas para poder encontrar fallos o carencias informáticas o vulnerabilidades en los sistemas de seguridad. Pues así lo expuso el propio acusado en todas sus declaraciones, como también lo expusieron prácticamente la totalidad de los peritos, al manifestar que dada la forma de acceder y las herramientas utilizadas por el acusado, no tenían dudas que la intención del acusado fue en todo momento didáctica.

Por lo que ante tales circunstancias, existiendo una total falta de prueba de cargo, sobre la concurrencia de los presupuestos del delito de descubrimiento de secretos y del delito de acceso no autorizado a datos o programas informáticos que se le imputa a JS, se hace necesario el dictado de una sentencia absolutoria en favor de ambos acusados.

Porque en este sentido cabe manifestar que el derecho a la presunción de inocencia, consagrado en el art. 24.2 de la Constitución, es además de un derecho fundamental que vincula a todos los poderes y que resulta de aplicación directa, una regla de juicio que debe ser aplicada en el momento de dictar sentencia. Y en base a su significado, se extrae la conclusión que le incumbe a quien acusa aportar las pruebas destructoras de aquella presunción iuris tantum, pues es la inocencia la que se presume como cierta hasta que no se demuestre lo contrario (STC 124/1983, de 21 de diciembre). Se trata pues, como recuerda la STS 2073/2007, de 25 abril, de un derecho que presenta una naturaleza de carácter “reaccional”, o pasiva, de modo que no precisa de un comportamiento activo de su titular sino que, antes al contrario, constituye una auténtica e inicial afirmación interina de inculpabilidad, respecto de quien es objeto de acusación. Ahora bien, su carácter de interinidad o de presunción “iuris tantum”, es el que posibilita, precisamente, su legal enervación, mediante la aportación, por quien acusa, de material probatorio de cargo, válido y bastante, sometido a la valoración por parte del Juzgador y desde la inmediación, de la real concurrencia de esos dos requisitos: el de su validez, en la que por supuesto se ha de incluir la licitud en la obtención de la prueba; y el de su suficiencia para producir la necesaria convicción racional acerca de la veracidad de los hechos sobre los que se asienta la pretensión acusatoria. La prueba de cargo, además, debe estar referida a los elementos esenciales del delito objeto de la condena, tanto de naturaleza objetiva como subjetiva, y a la participación en dichos hechos del acusado, lo que constituye el ámbito propio de este derecho fundamental (Sentencias del Tribunal Supremo de 9 de mayo de 1989, 30 de septiembre de 1993, 30 de septiembre de 1994 y 10 de octubre de 1997).

Pero junto a este derecho fundamental de presunción de inocencia, que da derecho a no ser condenado sin prueba de cargo válida, que es la obtenida en el juicio (salvo las excepciones constitucionalmente admitidas), que haya sido racional y explícitamente valorada, de forma motivada, en la sentencia (STC 17/2002, de 28 de enero y STS 213/2002, de 14 de febrero), contamos con el principio “in dubio pro reo”, que pertenece al momento de valoración de la prueba y que juega cuando, concurrente aquella actividad probatoria indispensable, y que no permite que exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos del tipo penal de que se trate ( STC 44/1989, de 20 de febrero), y que en caso de existir la duda, habrá de resolverse a favor el reo.

Igualmente esta doctrina jurisprudencial también ha sido recogida en las Sentencias del Tribunal Supremo 1386/2003 de 24 de octubre, 1565/2003 de 21 de noviembre, 1415/2003 de 29 de octubre y 1280/2003 de 8 de octubre entre otras.

CUARTO.- Por lo que respecta a las costas del presente procedimiento, deben ser declaradas de oficio ante la absolución de los acusados, por aplicación del artículo 240 de la Ley de Enjuiciamiento Criminal.

FALLO

Que debo declarar la LIBRE ABSOLUCIÓN de JS de los hechos que se le imputaban en la presente causa.

Impónganse las costas de oficio.

Notifíquese la presente a las partes y al Ministerio Fiscal y a los ofendidos y perjudicados, aun cuando no se hayan mostrado parte en la causa.

Esta Sentencia no es firme. Contra ella cabe interponer recurso de apelación, en el plazo de DIEZ DÍAS a contar desde su notificación, ante este Juzgado para su resolución por la Audiencia Provincial de Madrid.

Llévese testimonio de la presente resolución a los autos principales, quedando el original en el libro de Sentencia.

Así lo acuerdo, mando y firmo.

Magistrado/a-Juez