Sentencia absolutoria: la creación de un virus no es delictiva si no causa daños ni revela secretos

JUZGADO DE LO PENAL N° 4 ALCALÁ DE HENARES
JUICIO ORAL N ° 435/ 2010

SENTENCIA Nº 238/ 2014

En Alcalá de Henares, a veinticuatro de junio de dos mil catorce

Vistos por Nuria Alcalde Alcalde, Magistrada-Juez del Juzgado de lo Penal nº 4 de Alcalá de Henares, los presentes autos de juicio oral n° 435/ 2010 dimanantes de las Diligencias Previas nº 347/2005 del Juzgado deInstrucción nº 4 de Alcalá de Henares, seguidos por A) un delito de descubrimiento de secretos del art. 197-2 del Código Penal, y B) un delito de daños del art. 264-2 del Código Penal, en los que es acusado don X.Y.Z., nacional de España, mayor de edad y sin antecedentes penales, asistidos por el letrado don J. A. Maestre Rodríguez; y ha intervenido el Ministerio Fiscal en la representación que le es propia, se procede a dictar la siguiente sentencia.

ANTECEDENTES DE HECHO

PRIMERO.- Dio lugar a la formación de la causa atestado instruido por la Dirección General de la Guardia Civil, Grupo de Delitos Telemáticos, que motivó la práctica por el juzgado instructor correspondiente de cuantas actuaciones consideró necesarias para la determinación del procedimiento aplicable y preparación del juicio oral, así como en orden a la averiguación y constancia de la perpetración del hecho punible, circunstancias en el mismo concurrentes y culpabilidad de los presuntos partícipes.

SEGUNDO.- El juicio oral se celebró en la fecha señalada en su día para ello, siendo practicadas, con el resultado que es de ver en la grabación, las pruebas acordadas y declaradas pertinentes, con el resultado que obra en la misma

 TERCERO.- A la vista de lo anterior, el Ministerio Fiscal, elevando a definitivas sus conclusiones provisionales, solicitó la condena del acusado como autor: A) un delito de descubrimiento de secretos del art. 197-2 del Código Penal, y B) un delito de daños del art. 264-2 del Código Penal, solicitando la imposición de las siguientes penas: A) la pena de 2 años y 6 meses de prisión y 18 meses de multa con cuota diaria de 30 euros con responsabilidad personal subsidiaria para caso de impago de multa de un día de privación de libertad por cada dos cuota de multa no satisfechas, y por el delito B) la pena de 2 años de prisión y 18 meses de multa con cuota diaria de 30 euros con responsabilidad personal subsidiaria para caso de impago de multa de un día de privación de libertad por cada dos
cuota de multa no satisfechas. Costas. El acusado indemnizará a los perjudicados en la cantidad en que queden pericialmente tasados los daños ocasionados por el virus.

La defensa solicitó la absolución de sus clientes.

CUARTO.- Finalmente, se concedió al acusado el uso del derecho a la última palabra.

HECHOS PROBADOS


El día 17 de Agosto de 2003 el acusado, X.Y.Z., desde el terminal informático de su domicilio sito en la Calle F. de la localidad de Alcalá de Henares, creó el virus gusano Kelar (también llamado Raleka), sin que se hayan acreditado el resto de los hechos por los que se formuló acusación consistentes en: "que con el virus infectaba a usuarios de Panda, de manera que una vez infectado el equipo informático éste se conectaba a la página web http://www.arrakis.es/- 900k, la cual descargaba en el equipo un programa troyano que permitía el acceso por parte del acusado a toda la información del ordenador, así como el acceso y control remoto del equipo informático, todo ello sin conocimiento del usuario. Entre el 17 y el 28 de Agosto que estuvo operativa dicha página web, 70.000 usuarios descargaron el virus y el programa troyano. En el disco duro del ordenador del acusado con nº de serie 3HR19EA9 intervenido en la entrada y registro practicada en fecha 19-11-03 en su domicilio autorizada por el juzgado, se encontraron 396 ficheros de texto que recogen las conversaciones de canales deI RC y conexiones por ordenadores infectados con el virus Kelar, habiendo dado órdenes a algunos de éstos.

Dada la gran capacidad del virus y del programa troyano para destruir y modificar los equipos infectados, se ocasionaros perjuicios y confusión en los usuarios que precisaron de actividades de búsqueda y limpieza del disco duro".

FUNDAMENTOS DE DERECHO

PRIMERO.- Para reprochar criminalmente a una persona su obrar doloso o culposo es preciso que previamente se pruebe cuál ha sido su actuación , procediéndose con posterioridad a examinar si esa actividad es maliciosa o negligente y si, en estos casos, se incardina en algunos de los tipos penales que el Código Penal contiene . Como quiera que en el caso de autos no hay elementos suficientes para declarar cuál fue la conducta del acusado, la solución correcta es proceder a su absolución por los delitos de descubrimiento de secretos del art. 197.2 Cp y de daños del art. 264.2 Cp por los que
el Ministerio Fiscal mantuvo la acusación.

Establece el artículo 197.2 Código penal: "Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero."

El carácter material de este delito son los datos reservados de carácter personal o familiar. Los datos reservados se protegen cuando están almacenados en un sistema informático, electrónico o telemático o en cualquier otro tipo de archivo o registro público o privado. Para que se consideren de ámbito reservado deberán formar parte de la esfera privada del sujeto afectado, cuya disponibilidad a dicha información estará limitada a personas autorizadas por el sujeto en concreto.

El artículo 197.2 del Código penal regula dos supuestos que en virtud del caso en concreto pueden incluso sobreponerse. En primer lugar, se castiga a quien se apodere, utilice o modifique datos reservados de carácter personal o familiar; y el segundo supuesto castiga el llamado espionaje informático; esto es, acceder, modificar o utilizar datos de carácter reservado .
La SAP-Navarra de 10 de marzo de 2009 (ponente Zubiri Oteiza) condena por un delito del artículo 197 .2 del Código penal a un sujeto que accedió al correo electrónico de otra persona utilizando el nombre y la contraseña que le había teclear y envió un correo. Por otro lado, la SAP-Baleares de 11 de febrero de 2009 (ponente Izquierdo Téllez) castiga a un médico funcionario que accedió en distintas ocasiones al historial de un colega para averiguar el nombre de su médico de cabecera, aplicando la agravante del artículo 197.6 CP por tratarse de datos que afectan a la salud.

Por lo tanto, y según lo expuesto, para que pueda condenarse al acusado por el delito del art. 197 .2 Cp, sería preciso que el Sr. X.Y.Z. se hubiera apoderado, utilizado o modificado datos reservados de carácter personal o familiar, o bien hubiera accedido, modificado o utilizado datos de carácter reservado.

Pues bien, de la prueba practicada en el • plenario no consta que el acusado haya realizado ninguna de estas conductas. Dando por cierta la creación de un virus por parte del acusado, extremo reconocido por éste, si bien lo llama programa, e incluso dando por cierta la difusión más allá de la empresa para la que trabajaba, lo cierto es que, negados los hechos por el acusado, las testificales no acreditan la existencia de dicho apoderamiento o utilización de datos reservados, sino únicamente un riesgo potencial de que este apoderamiento, utilización o modificación, pudieran llevarse a cabo. Así, el agente de la Guardia Civil V-84648-D, declara que practicó la diligencia de entrada y registro, que Panda antivirus les hace una comunicación, había dos direcciones IIP que dirigían a la casa y al trabajo del acusado, a través de la información de ARRAQUIS, la víctima solo se leía, que desde la IP del acusado de accedía al ordenador de las personas, había dos o tres conexiones de otras personas que no eran del acusado, que cree recordar que accedía a los ordenadores de otros, que tenía capacidad para dañar otros equipos. En el folio 31 se hace constar los programas de la página de Arraquis programas que se pueden utilizar para seguridad o para otras cosas malas. El programa aprovechaba una vulnerabilidad de Windows, diagnosticada en julio, que no recuerda si borraba información de otros ordenadores, que no recuerda si el programa chupaba información de otros ordenadores, que necesitaría una manipulación del administrador del mismo, que era una manipulación de un programa que existía, que no tuvieron constancia de que se sustrajera información, que no accedió a ningún ordenador de ninguna víctima, se podría hacer parchear la vulnerabilidad y no lo investigaron, que no sabe si accedieron a la intimidad ajena ni si se causaron daños, solo sabe que tenía capacidad para hacerlo. Don A.C.G. dice que el acusado le comentó que estaba investigando tema de virus, que lo que declaró en el folio 644 no lo recuerda por el paso del tiempo, don A.B.J. manifiesta que era el jefe de seguridad informática, cree recordar que tenía un fairwork y seguramente el acusado llevaba el tema, el fairwork se pone en el ordenador para detectar un fallo, para gestionar una red informática debe tener un control remoto para acceder a los ordenadores de la empresa, se hace utilizando los medios de la empresa, si uno quiere estar seguro de que desde fuera se quiera acceder ha de hacerse desde fuera de la red, que el acusado estaba autorizado para acceder desde fuera e incluso para hacer parches desde fuera, al ordenador, que no tiene constancia de que se dañaran equipos ni que hubiera apoderamiento alguno de datos, que no sabe cómo actuaba el virus y que pudo realizarse para parchear equipos; por último la pericial de don J.L.P.V., ha sido elocuente, declarando el perito, después de ratificarse en el detallado, pormenorizado y claro informe pericial que obra en autos, que el virus raleka tiene una parte de propagación y otra de infección, que el virus instalaba un programa, no se ha encontrado en la documentación que se hiciese efectiva la utilización del troyano, que cree que al final se salió de las manos el asunto, el éxito de un virus está en su difusión, los ordenadores infectados se encuentran en una posibilidad de perder el control, crean molestias y problemas, la vulnerabilidad de Microsoft ya se había descubierto, no había ni borrados ni robo de información, lo que quedaba era abierto a que desde fuera pudieran hacerse otras funciones, si un ordenador va lento puede ser por este virus o por otro, participaron diversas personas en su creación, pudo ocurrir que el acusado quiso probar y se le pudo ir de las manos. Con todas estas declaraciones, como se ha expuesto, no hay ni la más mínima evidencia de que el acusado hubiera accedido, modificado o utilizado datos de carácter reservado, personal o familiar, sino únicamente una posibilidad de hacerlo, posibilidad no tipificada en nuestro ordenamiento jurídico y que, por lo tanto obliga a absolver al acusado del delito analizado.

La misma suerte ha de correr el delito de daños. El artículo 264.2 del Código Penal vigente, establece textualmente que: "2. La misma pena se impondrá al que por cualquier medio destruya, altere, inutilice, o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos".

La acción necesaria para cometer el delito consiste en cualquiera de las acciones de destruir, alterar, inutilizar o dañar, pudiendo utilizarse 'cualquier medio', con lo que se engloba cualquier posibilidad, ya sea mediante una destrucción externa de un ordenador o mediante una entrada ilícita. La norma jurídica iguala, por tanto, un acto de destrucción física a un acto de manejo de un ordenador .
De las declaraciones anteriormente analizadas, no resulta la realización de ningún acto de borrado, deterioro, alteración, supresión de datos, ni programas informáticos, ni por supuesto, ninguna obstrucción o interrupción de un sistema informático en su conjunto. Solo ha declarado en el acto de plenario un afectado y es don J.M.L.G., el cual declara que le contactó un agente de la Guardia Civil y le dijo que su equipo se estaba utilizando para envío de información, que tuvo problemas de conexión con el ruter y formatearon el disco duro, el agente le dijo que utilizaban su ordenador para infectar equipos, no sabe si su ordenador tenía un virus, pero el ordenador no funcionaba bien. Si bien parece que el ordenador del Sr. J.M.L.G. no funcionaba correctamente, lo cierto es que no se ha determinado si este defecto fue consecuencia del virus Raleka, o, tal y como ha señalado el perito, por una sobrecarga de información del ordenador, o por otra causa, y ello por cuanto que el agente que ha depuesto en el plenario, no h sido interrogado acerca de las consecuencias de tal virus en el ordenador del Sr. J.M.L.G., o si el mismo sufrió daño alguno a consecuencia de este virus, habiendo declarado el agente, como se ha recogido anteriormente que no sabe si se causaron daños, solo sabe que tenía capacidad para hacerlo.

Admitido por el acusado la creación del virus, así como por las propias investigaciones de la Guardia Civil, lo cierto es que de la prueba practicada no se desprende que se haya destruido, cercenado o inutilizado, ningún disco disco duro de ningún ordenador, ni tampoco que fueron alterados o dañados programas de ningún ordenador o servidor , pero es que, tampoco se ha probado que la intención del Sr. X.Y.Z., fuera dañar los equipos, y ello por cuanto el virus utilizaba una vulnerabilidad de Windows ya detectada, y para la que ya había solución, en definitiva, y en relación a este segundo delito, el resultado de la prueba practicada es compatible con la versión del acusado y no despeja las dudas que se plantean al respecto por lo que, en aplicación del principio in dubio pro reo, procede absolver a don X.Y.Z.del delito de daños del art. 264.2 Cp de que había sido acusado.

SEGUNDO.- Como no existe responsabilidad penal por los hechos que se enjuician no será posible declarar en la presente sentencia responsabilidad civil alguna derivada de los mismos, según es obligado deducir de lo previsto en los artículos 116 del Código Penal y 116 de la Ley de Enjuiciamiento Criminal.

TERCERO.- La absolución del acusado impone que las costas procesales deban declararse de oficio, como dispone el artículo 240 de la Ley de Enjuiciamiento Criminal.

Vistos los artículos citados y demás de general y pertinente aplicación,

 FALLO

ABSUELVO a don X.Y.Z. de los delitos de descubrimiento de secretos del art. 197-2 del Código Penal, y delito de daños del art. 264-2 del Código Penal por los que había sido acusado. Declaro de oficio las costas causadas en esta instancia.

Notifíquese la presente sentencia al Ministerio Fiscal y demás partes procesales, haciéndoles saber que contra la misma cabe interponer recurso de apelación, que se formalizará ante este juzgado en el plazo de DIEZ DÍAS contados a partir del siguiente al de su notificación, para su resolución ante la Audiencia Provincial de Madrid. Notifíquese igualmente a los ofendidos y perjudicados, aun cuando no se hayan mostrado parte en la causa.

Así por esta mi sentencia, juzgando definitivamente en esta instancia, lo pronuncio, mando y firmo.