¿A qué peligros cibernéticos se enfrenta un despacho de abogados?

Los despachos de abogados trabajan cada día con gran cantidad de información confidencial. Con frecuencia, asociamos la pérdida de este tipo de informaciones a ataques informáticos realizados por ciberdelincuentes que pretenden apoderarse de la información. Sin embargo, la realidad es otra: las pérdidas de información pueden venir desde empleados descontentos y al común de los ataques informáticos que derivan de simples fallos internos:

• Empleados que tienen contraseñas genéricas
• Tablets y móviles mal protegidos
• Descargas de internet infectadas de virus
• Accesos a los sistemas por medio de un wifi público

La casuística es diversa, pero la realidad es que los ciberdelincuentes se aprovechan de fallos comunes realizados por las compañías: esperan a que el sistema falle en algún punto y se cuelan en el entorno informático. ¿Y estas actuaciones ilícitas en qué delitos se pueden encuadrar? Principalmente en cuatro:

1. Delitos de descubrimiento de la información personal y familiar (art. 197.1 y 197.2 C.P.)

El artículo 197 del Código Penal, ha sido uno de los artículos reformados con la LO 1/2015, y ha sufrido una profunda modificación con la intención de adaptar el articulado de nuestro Código Penal a las nuevas tecnologías. Este artículo sanciona conductas que afectan a la inviolabilidad de las comunicaciones, al derecho a la protección de datos y a los derechos de intimidad y de propia imagen.

Si bien, el gran cambio normativo de la reforma es la nueva acomodación del antiguo artículo 197.3 del Código Penal, o lo que anteriormente se conocía como el acceso ilícito a datos o programas informáticos, y recogía lo denominado comúnmente como ciberataques, desarrollándose un nuevo articulado en este sentido. Este cambio normativo atiende a los intentos y la concienciación europea para cubrir estos riesgos, concretamente al Convenio del Cibercrimen, aprobado en Budapest en 2001 y a la Decisión Marco 2005/222/JA, sustituida en 2013 por la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 20132. 

2. Acceso a sistemas de información e interceptación de transmisiones no públicas (197 bis y ss C.P.)

Los artículos 197bis y ss del Código Penal vienen a desarrollar la protección de lo que se ha denominado derecho al entorno digital definido por el Tribunal Supremo en su STS 342/2013, de 17 de abril, como un derecho de nueva generación que no puede confundirse como un derecho ligado al concepto tradicional del derecho a la intimidad. Este derecho engloba en síntesis los derechos de inviolabilidad de las comunicaciones, protección de datos e intimidad, creando así un concepto nuevo de domicilio virtual.

Además, protege no sólo a la información confidencial que albergan las bases de datos, sino también la propia integridad del sistema informático. Con la incorporación de este artículo, el legislador cubre las conductas que pueden estar destipificadas en el art. 197, como son aquellas actuaciones que pueden no ser lesivas desde la perspectiva de la intimidad, pero que implican el acceso al sistema informático, el mero hacking, sin transmisión de información, eliminando el elemento subjetivo del tipo exigido en el artículo 197, la intencionalidad o voluntad de vulnerar la intimidad.

3. Delitos de descubrimiento y revelación de secreto de empresa (art 278 C.P.)

La conducta básica definida en este artículo consiste en el apoderamiento por cualquier medio de datos, documentos escritos o electrónicos, o soportes informáticos en que se encuentre el secreto o, alternativamente, empleando alguno de los medios o instrumentos descritos en el artículo 197.1 del Código Penal -interceptación de telecomunicaciones o utilización de artificios técnicos de escucha, transmisión, grabación o reproducción de sonido, de imagen o de cualquier otra señal de comunicación-.

En referencia a este delito es importante señalar que no es necesario que se produzca el descubrimiento de la información, pues nos encontraríamos en la conducta agravada tipificada en el apartado segundo del artículo, sino que basta con el mero apoderamiento de la información confidencial o secreto de empresa. Sin embargo, es cierto, que se trata de un delito de carácter “tendencial”, por lo que si no se prueba la intencionalidad la acción devendrá atípica.

4. Daños informáticos (art 264, 264 bis, 264ter C.P.)     

Los daños informáticos son una modalidad del delito de daños incorporados nuevamente por el legislador tras tomar conciencia de la presencia de la informática en nuestro entorno. Estos delitos contemplan la protección de todo tipo de programa informático (plataformas propias o ajenas) y datos y documentos electrónicos, entendidos como cualquier documento cuyo soporte material sea un dispositivo electrónico o cuyo contenido se encuentre codificado por código digital.

Aunque no son las únicas conductas tipificadas por el Código Penal, sí que son las que pueden enfocarse dentro del ámbito de la protección de la información en los despachos de abogados. Además, hay que tener en cuenta que muchas veces, los ataques informáticos están encaminados a la comisión de otro tipo de delitos, como pueden ser delitos contra la propiedad intelectual e industrial, delitos contra el honor, delitos de suplantación de identidad y coacciones o amenazas.

Por último, no hay que olvidar que este tipo de actuaciones ilícitas, conllevan un importante daño reputacional a los despachos de abogados, caracterizados por ser confidentes y custodios de información confidencial. Por eso mismo, no basta con conocer los ilícitos de los que podemos ser objeto, si no que debemos establecer fuertes controles, especialmente preventivos, que permitan minimizar estos riesgos.