Logo David Macías Abogado

¿Puedo ir a juicio por intentar hackear un servidor con una contraseña antigua?

Avatar de David Macias Gonzalez

David Macias Gonzalez

Delito de revelación de secretos de empresa. Usar una contraseña antigua para hackear el servidor de la empresaLa STS 662/2025 ordena reabrir una causa penal por revelación de secretos empresariales en grado de tentativa, pese a que los autores no lograron acceder al sistema informático porque las claves habían sido modificadas.

Resumen

La sentencia del Tribunal Supremo 662/2025 ordena reabrir una causa penal por delito de revelación de secretos empresariales en grado de tentativa, pese a que los autores no lograron acceder al sistema informático porque las claves habían sido modificadas.

En el caso el Tribunal Supremo analiza la diferencia entre la tentativa absolutamente inidónea y la tentativa relativamente inidónea así como los diferentes efectos jurídicos que tienen cada una de ellas en cuento a la persecución del delito.

Antecedentes: A juicio por delito de revelación de secretos de empresa en grado de tentativa

Dos extrabajadores de empresas del sector financiero fueron investigados por:

  • Intentar acceder sin autorización al servidor corporativo que contenía bases de datos con clientes y documentación sensible.
  • Usar credenciales personales y profesionales antiguas, con las que antes sí accedían como empleados.
  • Intentar la conexión desde el domicilio que compartían.

No lograron acceder porque las empresas habían actualizado el sistema con doble autenticación y nuevas contraseñas. Aun así, las IPs y credenciales utilizadas coincidían con las suyas.

Inicialmente, el Juzgado de Instrucción ordenó continuar el procedimiento penal por tentativa de revelación de secretos (art. 278 y 16 CP). Pero la Audiencia Provincial de Barcelona decretó el sobreseimiento libre al considerar que la tentativa era absolutamente inidónea.

Las acusaciones recurrieron en casación esa decisión.

Argumentos del recurso: La tentativa era relativamente inidónea y debe ir a juicio

Las empresas perjudicadas recurrieron la decisión de sobreseimiento y argumentaron que:

1. La tentativa no era absolutamente inidónea, sino relativamente inidónea, puesto que

  • Los acusados tenían formación técnica.
  • Conocían el sistema informático desde dentro.
  • Utilizaron las credenciales que antes les daban acceso.

2. El hecho de que las claves hubieran sido cambiadas es un elemento accidental y ajeno a la voluntad de los autores.

3. La conducta supone una acción objetiva de peligro que debe llevarse a juicio oral.

Conclusión del Tribunal: Reabre la causa y ordena su remisión a juicio

El Supremo estima el recurso de casación y ordena continuar el procedimiento penal. Destaca:

1. El intento fue objetivamente peligroso

Aunque la clave ya no funcionara, el intento de acceso sí generó un riesgo para el bien jurídico protegido (la confidencialidad de los datos empresariales).

Concretamente dice el Tribunal Supremo que:

“Un observador objetivo, ex ante, habría considerado razonable que las claves funcionaran.”

El tribunal recuerda que la tentativa es punible si existe dolo y se realiza una acción que objetivamente puede producir el resultado, aunque no lo logre por factores externos.

2. Diferencia entre tentativa absolutamente inidónea y relativamente inidónea

  • La tentativa absolutamente inidónea es impune (ej: intentar disparar con un plátano creyendo que es un arma).
  • Pero la relativamente inidónea sí se castiga: el autor cree razonablemente que su plan puede funcionar, aunque en realidad no lo haga.

El Supremo aplica aquí esa segunda categoría y afirma que:

“Utilizar claves anteriores no es absurdo ni inofensivo; es un método objetivamente idóneo, aunque no eficaz en este caso concreto.”

Trascendencia jurídica de la sentencia

Esta sentencia refuerza varios puntos clave:

1. Puede haber delito aunque el acceso no se logre (tentativa)

2. El peligro potencial, valorado objetivamente ex ante, justifica la intervención penal.

3. La doctrina de la tentativa inidónea se adapta a los nuevos entornos tecnológicos.

4. Pone de manifiesto la protección de secretos empresariales en la era digital.

La STS 662/2025 marca una línea clara: Intentar vulnerar la seguridad de una empresa con medios razonablemente eficaces es punible, incluso si el ataque fracasa por factores ajenos al autor.

El Tribunal Supremo es contundente en esta línea al indicar que:

Es doctrina pacífica de esta Sala (SS 1000/1999, de 21 de junio; 905/2014, de 29 de diciembre, 693/2015, de 7 de noviembre; 101/2018 de 28 de febrero y 139/2018, de 22 de marzo, entre otras muchas), que existirá inidoneidad relativa en aquellos casos en que los medios utilizados, "objetivamente" valorados "ex ante" y desde una perspectiva general, son abstracta y racionalmente aptos para ocasionar el resultado típico (de lesión o de peligro). Se trata de supuestos en los que la intervención penal se justifica plenamente porque el autor ha decidido vulnerar el bien jurídico tutelado, a través de una acción que no resulta ajena a la órbita del tipo y utilizando medios generalmente idóneos, aun cuando no lo sean en el caso concreto. La concepción contraria equivaldría, prácticamente, a la opción, no aceptada por el legislador, de la despenalización de la tentativa, pues desde una perspectiva "ex post" toda tentativa implica, en cierto modo, un error de su autor sobre la idoneidad de su acción. En el mimo sentido, expresábamos en la sentencia núm. 476/2009, de 7 de mayo que, cuando se trata de delitos de resultado, el mismo es imputable al comportamiento del autor si éste crea un riesgo, jurídicamente desaprobado, y de cuyo riesgo el resultado es su realización concreta. Ello implica que debe concurrir el dolo por parte del autor, quien además debe haber iniciado la fase ejecutiva con actos que impliquen "objetivamente" un peligro para el bien jurídico protegido. Por tanto, para la punibilidad de la tentativa, basta haber ejecutado una acción abstractamente peligrosa para el bien jurídico. Esta puesta en peligro del bien jurídico protegido debe determinarse a partir de criterios objetivos a través de los cuales se deduzca cual era el propósito del sujeto activo al acometer su acción, teniendo en cuenta las circunstancias y contexto en el que actuó. Solo será punible la que objetivamente con una consideración ex ante, puede llegar a materializarse en su resultado consumativo

En este caso concreto el que los investigados desconocieran que habían modificado las contraseñas que permitían acceder al servidor no altera esta conclusión ya que aquéllos, en principio, podían haber decidido vulnerar el bien jurídico tutelado, accediendo a las bases de datos donde constaban las listas de clientes y documentación relevante de las empresas. Además, el medio utilizado, objetivamente considerado y ex ante, parece idóneo, al menos en forma relativa, para ocasionar el resultado expresamente buscado por ellos. Así pues, no puede afirmarse en este momento que el plan de los investigados fuera absolutamente inidóneo para la consecución del resultado previsto.

¿Qué opinas tú querido lector? Puedes dejarme tu opinión aquí o en cualquiera de mis redes sociales o en mis colaboraciones con Economist & Jurist o en Jurisdia

¡Gracias por leer y hasta el próximo #martesdepenal!

Sobre el abogado penalista David Macias

👋 ¿Ya nos conocemos? Puedes ver cómo puedo ayudarte aquí o si quieres puedes conocer un poco más de mí pinchando aquí

👀 ¿Te has quedado con ganas de más artículos penales? Pincha aquí

🧐 ¿Tienes más dudas? Puedes agendar una consulta conmigo aquí

Pie de firma David Macias Abogado Penalista

Mi nombre es David Macías y como abogado penalista especializado en asesorar a empresas y particulares, puedo ayudarte en la acusación o defensa en diferentes delitos.

Llámame desde el primer momento para que podamos definir juntos la mejor estrategia. #Abogado Penalista

Consultar con un especialista