Robo de contraseñas con keyloggers: ¿delito de descubrimiento de secretos o intrusismo informático?
- Ana M. Valero Cuadra
- GACETA JURÍDICA
El acceso no autorizado a cuentas personales mediante el uso ilícito de contraseñas no siempre se deriva de una filtración de datos o el descubrimiento casual de los credenciales de acceso (por ejemplo, a través de ataques de diccionario). En muchos casos el robo de contraseñas no se produce mediante un “hackeo” sofisticado, sino con métodos mucho más discretos como los keyloggers, programas capaces de registrar todo lo que se escribe en un teclado, incluidas las contraseñas.
En la práctica, este tipo de situaciones aparece con más frecuencia de lo que se piensa y suelen dar lugar a investigaciones por delitos de intrusismo informático o contra la intimidad, donde la asistencia de un abogado especializado resulta clave. Sin embargo, muchas personas desconocen que la mera obtención no autorizada de una contraseña o el acceso a un dispositivo vulnerando las medidas de seguridad es constitutivo de delito, sin necesidad de que se lleguen a consultar documentos, datos u otros archivos del equipo afectado.
La cuestión jurídica no siempre es sencilla: ¿estamos ante un delito contra la intimidad, ante intrusismo informático o ante ambas cosas? En este artículo analizamos qué interpretación jurídico-penal han dado los tribunales al robo de contraseñas mediante keyloggers.
¿Qué es un keylogger?
Los keyloggers son programas informáticos que detectan y registran las pulsaciones del teclado de un dispositivo, sin que el usuario se de cuenta. Son generalmente utilizados por ciberdelincuentes para robar las credenciales personales, contraseñas y otra información sensible de equipos informáticos.
Tal y como informa INCIBE, hay distintos tipos de keyloggers en función de la manera en que los mismos se integran en el dispositivo afectado:
– Como hardware, es decir, dispositivos físicos que se conectan al dispositivo electrónico que se pretende “espiar”. Normalmente se tratan de dispositivos de almacenamientos USB, para cuya instalación será necesario tener acceso físico al equipo que se pretenda afectar. La información recabada por el hardware quedará almacenada en dicho dispositivo; no obstante, también es posible que, en función de sus características (por ejemplo, mediante conexión WiFi), permita el acceso remoto.
– Como software malicioso (malware) que infecta el dispositivo. Este tipo de programas espía pueden instalarse a través de la descarga de archivos desde enlaces maliciosos o programas procedentes de sitios web no confiables, así como mediante la conexión de dispositivos de almacenamiento externos (como unidades USB) desconocidos que lo contengan y que infecten el equipo. En este caso, la información recopilada por este software se transmite a un tercero de forma remota.
¿Es delito usar un keylogger para descubrir contraseñas?
El artículo 197 del Código Penal no solo protege la intimidad, el secreto de las comunicaciones y los datos personales, sino que también contempla conductas delictivas que representan una injerencia en la seguridad de los sistemas de información, esto es, la confidencialidad, integridad y disponibilidad de dichos sistemas, incluso cuando no se produce un acceso directo a archivos o datos almacenados en los soportes informáticos.
Así, la utilización de keyloggers puede estar tipificada en diferentes figuras penales, dependiendo de la conducta específica realizada, ya sea la obtención ilícita de contraseñas y/o el acceso ulterior al sistema informático y otros datos mediante dichas credenciales.
Robo de contraseñas y delito de intrusismo informático (art. 197 bis CP)
El art. 197 bis del Código Penal recoge los delitos de intrusismo informático. En su apartado primero, castiga con pena de prisión de seis meses a dos años a quien «(…) por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo y sin estar debidamente autorizado acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo (…)». Es decir, lo que sanciona este precepto penal es el acceso, facilitación de acceso o mantenerse en un sistema informático, vulnerando las medidas de seguridad y sin estar autorizado para ello, no siendo necesario que se llegue a conocer información de carácter íntimo o reservado que se encuentre en éste.
Por su parte, el art. 197 bis 2 CP castiga con pena inferior, de tres meses a dos años de prisión o, alternativamente, de multa de tres a doce meses, a quien «(…) mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información (…)» y que no tengan contenido comunicativo, ya que, en dicho caso, nos encontraríamos ante una interceptación de comunicaciones, castigada en el art. 197.1 CP.
De ambos preceptos penales, se puede concluir que, tanto la utilización de un keylogger tipo hardware, en que se intercepta la transmisión de datos (pulsaciones del teclado), como la infección del equipo mediante un software malicioso en que se captan, igualmente, las pulsaciones del teclado y, eventualmente, se accede a parte del propio sistema de información; tienen encaje jurídico penal en alguna o en ambas de las conductas descritas, en función de si se ha llegado a acceder al sistema informático (con el propio software malicioso o con posterioridad mediante el uso de los datos informáticos descubiertos ilícitamente) o si únicamente se han interceptado datos informáticos.
La contraseña como dato personal en el delito de abuso de datos personales del art. 197.2 CP
Aunque la utilización del keylogger encuentra un correcto encuadre en el art. 197 bis CP, la homogeneidad entre los tipos penales de intrusismo informático y el delito de abuso de datos del art. 197.2 CP, en que las conductas típicas pueden ser concurrentes y la diferencia radica, esencialmente, en el objeto material del delito (datos informáticos y datos personales) y el perjuicio exigible, ha obligado a nuestros Tribunales a interpretar si las contraseñas pueden considerarse datos personales acreedores de protección bajo el paraguas del art. 197.2 CP.
El artículo 197.2 CP sanciona con pena de prisión de uno a cuatro años y multa de doce a veinticuatro meses «al que, sin estar autorizado, acceda por cualquier medio a datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero». Cabe señalar que, tal y como lo ha interpretado nuestra jurisprudencia, todas las conductas (inclusive el acceso) deben realizarse en «en perjuicio del titular o de tercero» (vid. SSTS 1328/2009, de 30 de diciembre y 40/2016, de 3 de febrero, por todas); perjuicio que siempre existirá cuando los datos sean «especialmente sensibles», es decir, aquellos contemplados en el art. 9 RGPD y los que afectan al llamado «núcleo duro» de la intimidad recogidos en el art. 197.5 CP (que, además conllevará la aplicación del tipo agravado previsto en dicho artículo). Por su parte, en caso de que los datos afectados no revistan tal condición, habrá de acreditarse la existencia de un perjuicio.
Así las cosas, lo primero que conviene dilucidar es si una contraseña puede ser considerada un dato personal. Sobre esta cuestión se pronuncia favorablemente nuestro Tribunal Supremo, en la STS 849/2025, de 16 de octubre, considerando que, la clave o contraseña se trata de un identificador de su titular, que permite «el acceso a toda la información que pueda existir en el ordenador, y que, por lo mismo, constituye per se un dato personal reservado protegido por el artículo 197.2 del Código Penal».
Sin embargo, el análisis del encuadre típico no se agota en el apoderamiento de la contraseña. Como hemos señalado es necesario acreditar el perjuicio en su titular o un tercero y, evidentemente, una clave no se trata de un dato especialmente sensible o relativo aquellas parcelas de la intimidad cuya afectación castiga de forma agravada el tipo del art. 197.5 CP (ideología, religión, creencias, salud, origen racial o vida sexual, etc.).
En la misma sentencia aludida, dice el Tribunal Supremo que dicho perjuicio se integraría si con la obtención de la contraseña se produjera un «acceso indiscriminado a todo el contenido de un ordenador personal, que puede y ordinariamente incluye información personal muy amplia y variada».
Esta interpretación del Alto Tribunal es novedosa, ya que se pone el foco en el acceso a contraseña, como objeto material de protección, y no sólo al el contenido concreto del dispositivo cuyo acceso se produce a raíz del uso no autorizado de la clave, ilícitamente obtenida.
En síntesis, si de la obtención ilícita de la contraseña se deriva un acceso no autorizado al contenido de un ordenador personal, aun no quedando acreditado a qué contenido concreto almacenado en dicho dispositivo se ha accedido, la aptitud para afectar el ese espacio reservado de la víctima (el contenido del ordenador), sería suficiente para entender acreditado el perjuicio y, con ello, colmar las exigencias típicas del delito de abuso de datos del art. 197.2 CP.
A modo de conclusión: tratamiento penal del robo y uso de contraseñas ajenas
El encaje jurídico penal del robo de contraseñas se ha interpretado por nuestros tribunales de forma diversa, en función de la dinámica delictual y si se ha producido un acceso al sistema informático, previo apoderamiento de las claves.
De lo expuesto, podemos concluir, a grandes rasgos, lo siguiente:
– La mera utilización de un dispositivo capaz de interceptar transmisiones de datos hacia un sistema informático, como efectivamente realiza un keylogger, es constitutivo de delito, conforme a lo dispuesto en el art. 197 bis 2 CP.
– El acceso a un ordenador personal mediante el uso no autorizado de una clave obtenida de forma ilícita tiene encaje penal tanto en el delito de intrusismo informático (art. 197 bis 1 CP) como en el delito de abuso de datos (art. 197.2 CP), dada la naturaleza híbrida de las contraseñas y su aptitud para causar un perjuicio a la víctima, al hallarse en el sistema de información (ordenador) una amplia información personal de ésta o de terceros.
Cuando existe una obtención o uso no autorizado de contraseñas con acceso a sistemas o datos personales, la correcta calificación jurídica de los hechos desde el inicio puede ser determinante en un procedimiento penal por delitos contra la intimidad o intrusismo informático.
En Despacho Jurídico Valero Cuadra somos abogados penalistas especializados en delitos de descubrimiento y revelación de secretos e intrusismo informático. Si te enfrentas a una investigación penal o has sido víctima de un acceso ilícito a tus datos, consulta tu caso con nuestro equipo.
⇒ Para conocer medidas de prevención y buenas prácticas en seguridad de credenciales, puedes consultar estos ciberconsejos sobre protección de contraseñas y detección de filtaciones de datos.
Comparte este artículo
¡Suscríbete al blog!
Recibirás en tu correo notificaciones con todas las novedades y actualizaciones de nuestro blog.
