La Audiencia de Alicante desestima su recurso de apelación y confirma la pena que le impuso el Juzgado de lo Penal 4 de Alicante en julio de 2022, que también incluye que indemnice a la empresa con la cantidad que se determine en ejecución de sentencia.
La AP de Alicante confirma 6 meses de cárcel a un trabajador que cometió un delito de daños informáticos contra su antigua empresa
Provocó la caída intencionada de los servidores de la mercantil, Sender Email Global S.L, durante cuatro horas
|
07/11/2023 06:31
|
Actualizado: 07/11/2023 12:24
|
La Audiencia Provincial de Alicante ha confirmado seis meses de cárcel a un trabajador que cometió un delito de daños informáticos contra su antigua empresa.
La mercantil es Sender Email Global S.L, dedicada a la informática.
Este extrabajador provocó la caída intencionada de los servidores de la mercantil durante 4 horas.
Además de la pena de cárcel, tendrá que indemnizar a la empresa. La cantidad se determinará en ejecución de sentencia.
El artículo 264 bis 1 del Código Penal dispone que será castigado con la pena de prisión de seis meses a tres años el que “sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno realizando alguna de las conductas a que se refiere el artículo anterior; introduciendo o transmitiendo datos; o destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica”.
Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
La Audiencia Provincial ha desestimado el recurso de apelación que el condenado interpuso contra la sentencia del Juzgado de lo Penal número 4 de Alicante que en julio de 2022 le impuso esta pena.
Confirma la resolución, con imposición de la otra mitad de las costas procesales causadas en esta instancia.
La sentencia, dictada el pasado 1 de junio (153/2023) y notificada recientemente, la firman los magistrados de la Sección Tercera José Daniel Mira-Perceval Verdú (presidente), Encarnación Gómez Casells y María Dolores Ojeda Domínguez (ponente).
La Audiencia hace hincapié en que se trató de una acción que “paralizó la actividad empresarial durante varias horas, que dejó a la empresa sin red tras la caída de dos servidores, que impidió a los clientes acceder a sus cuentas y que generó, cuanto menos, desprestigio de la mercantil frente a éstos”.
Por ello, coincide plenamente con el juez de primera instancia en que, tanto desde el punto de vista de la acción desplegada por el acusado, como por el resultado, los hechos contienen los elementos del tipo, así como la nota de gravedad requerida por el artículo 264 bis 1 del Código Penal.
EL CASO, AL DETALLE
El condenado estuvo trabajando para esta empresa de febrero de 2016 a febrero de 2017, conociendo por sus funciones tanto el usuario como las claves de seguridad para acceder al sistema informático de la empresa.
Según los hechos probados, aprovechando esa circunstancia, el 3 de julio de 2017 accedió a la plataforma de la mercantil usando el usuario y contraseña (que no se había modificado). Acceso que inició de forma remota de las 10.57 a las 11.27 horas.
Una vez dentro, accedió a WordPress (‘software’, programa de código abierto que se utiliza para crear páginas webs) con las claves de administrador y realizó diferentes acciones, entre ellas abrir el panel de configuración e incluir un botón en la plataforma; inclusión de icono y obtención de imagen en del logo de la plataforma; o instalación de ‘plugins’ (aplicación que añade una funcionalidad adicional al programa informático o nuevas características al software para obtención y creación de gráficos para presentar la información de manera gráfica).
Dejó sin servicio a los usuarios que quisieran acceder a la plataforma, causando grandes problemas al propietario de la misma, por no poder ofrecer servicios a los usuarios
También procedió a la obtención del calendario con solicitud de notificaciones, añadió una aplicación ejecutable que diera acceso a funciones de uso frecuente, a inserción de vídeos, control de ratón, acceso al buzón y al editor de email, conversión de visitas a la página en suscriptores, campañas de recordatorio, acceso al panel SDR y en el panel interno, eliminar dominio, forzar proceso y acceso a servidores.
A su vez, procedió a realizar un cambio de la dirección de la IP de la plataforma y accedió a los scripts (serie de instrucciones para ejecutar funciones en el interior de un programa) del panel interno.
Además, cambió la IP de la plataforma y realizó cambios en el panel interno provocando la inoperatividad de la actividad de la empresa en internet durante 4 horas, lo que motivó que durante ese tiempo la actividad empresarial se orientara al restablecimiento de la situación.
En noviembre de 2017 se produjo un acceso a la ficha de dos clientes cuya identidad se desconoce; y en enero de 2018 hubo un intento de acceso que no se materializó porque ya se habían cambiado el usuario y claves.
LO QUE ALEGABA EL CONDENADO EN EL RECURSO
El trabajador recurrió la sentencia del Juzgado ante la Audiencia Provincial alegando error en la valoración de la prueba, infracción del principio acusatorio, incongruencia e infracción por indebida aplicación del artículo 264 bis, incongruencia omisiva por inaplicación de la atenuante de dilaciones indebidas, incongruencia por error en el sistema de cálculo de la responsabilidad civil, y contravención del artículo 588 ter f) de la Ley de Enjuiciamiento Criminal.
CAUSÓ GRAVES PROBLEMAS AL PROPIETARIO Y SE PRODUJO UN PERJUICIO REPUTACIONAL
La Audiencia explica que la conclusión del juez de primera instancia está plenamente justificada.
Afirma que es la única conclusión lógica posible, y que la ausencia de factura u otros documentos o testigos no puede invalidar la ponderación de las pruebas practicadas que realiza el juez, quien razona de forma inobjetable en qué motivos basa la condena del apelante, a quien ha de considerarse autor de los hechos enjuiciados.
En segundo lugar, el condenado afirmaba que se había infringido el principio acusatorio, dada la variación de la calificación y la falta de cuantificación por parte de la acusación de la responsabilidad civil.
Cosa que también rechaza la Audiencia. “Ha sido condenado como autor de un delito de daños informáticos por el que venía siendo acusado, por lo que la alegación de vulneración del principio acusatorio no se sostiene en dicho aspecto”, explican los magistrados.
En cuanto a la cuantificación del perjuicio causado, el tribunal entiende que la solución adoptada por el juez ‘a quo’ ante la petición de diferir a la fase de ejecución de sentencia la cuantificación exacta del perjuicio, resulta acertada.
En este sentido, destaca que fundamentó que la empresa “sufrió un indudable perjuicio”, y que dicho perjuicio se cuantificará en ejecución de sentencia teniendo en cuenta la facturación de la empresa en 2017.
En tercer lugar, el condenado cuestionó la tipificación de la conducta enjuiciada, aduciendo incongruencia de la sentencia y que no se cumplen los requisitos jurisprudenciales del tipo penal del 264 bis.
Afirmó en el recurso que la resolución impugnada «contradice de forma directa la sentencia de 220/2020 de 22 de mayo de nuestro Tribunal Supremo».
Tampoco dicha afirmación resulta estimable, expone la Audiencia.
Y ello “siendo evidente que se produjo un acceso no autorizado a la plataforma de Sender Global (así lo afirmaron los testigos y se deduce de la IP desde la que se produce el acceso, por completo ajena a la empresa); en el informe pericial (FJ 3°) se describen una serie de conductas en el acceso (tanto cambios en el panel interno de la plataforma: instalación de diversos ‘plugins’, como cambio de la dirección de la IP a terceros) que parece igualmente evidente que suponen una alteración del programa informático de la empresa”.
En cuanto a la gravedad de la acción, los magistrados exponen que “ambos testigos afirmaron con rotundidad y plena credibilidad que las alteraciones efectuadas produjeron una caída del sistema, lo que supone que el rendimiento del mismo se vio alterado y afectado, matizándose en el juicio que afectó a dos servidores de los 70 de que disponía de la empresa, pero indicándose que eran los más importantes”.
La Audiencia razona que una caída del sistema ‘per sé’ no supone una afectación grave. En este caso, en la medida en que se expuso que “esa caída dejó sin red a la empresa, que aun cuando la restauración de la IP pueda hacerse en tiempo relativamente corto el proceso en general tardó unas cuatro o cinco o horas (pues hubo de contactar con el proveedor y buscar el fallo que provocó la caída y restaurar la red) y que el cambio de IP afectó (y resulta lógico) a los usuarios que querían acceder motivando numerosas quejas”, el tribunal concluye que “lo sucedido adquiere la nota de gravedad que exige el tipo penal”.
“Además, se produjo un perjuicio reputacional, pues se trata de una empresa informática y tuvo de informar a los clientes, con pérdida de alguno de ellos”
Además, declara que a lo anterior se suma el perjuicio reputacional expuesto por la propietaria, de que se trata de una empresa informática y que ante problemas de estas características que hubo de informar a los clientes, con pérdida de alguno de ellos, por lo que “no nos encontramos ante una acción que generase incomodidad, molestia o fastidio (que también)”, sino que los hechos contienen los elementos del tipo, así como la nota de gravedad requerida por el artículo 264 bis 1.
La resolución todavía no es firme. Contra la misma cabe recurso de casación ante el Tribunal Supremo.
Noticias Relacionadas:
