En una de las últimas entradas se daban una serie de orientaciones ante la solicitud de un rescate a consecuencia de un ataque ransomware. Como se contextualizó, un ataque ransomware consiste en la instalación de un tipo de malware en nuestro equipo que bloquea los datos o los dispositivos informáticos y se amenaza a las víctimas de mantenerlo bloqueado hasta que no se pague un rescate al atacante.
Pero, ¿cómo se persiguen penalmente este tipo de delitos?
Pues bien, debemos delimitar las tres acciones que formar este tipo de ataques y la adecuación de cada una a su tipo penal (tipicidad):
La primera acción sería el bloqueo del acceso, es decir en este caso el ciberdelincuente entra en los datos del usuario y crea una barrera que impide el acceso a una serie de datos, archivos o disco duro, entre otros.
Por lo tanto, este primer paso puede ser valorado como una vulneración a la intimidad, ya que se accede sin permiso en el ámbito ajeno de lo personal del usuario, es decir se produce una intrusión ajena a sus archivos o datos. Esta conducta es subsumible dentro artículo 197.1, 2 y 6 del Código Penal.
Una vez bloqueado el acceso, la segunda acción consiste en la encriptación de estos datos o archivos, es decir se produce una codificación de estos datos de tal forma que no se puede acceder a ellos. En otras palabras podríamos decir que se produce un secuestro de esta información de tal forma que se hace inaccesible para el usuario entrar a usarla o visualizarla.
Esta conducta sería recogida en el artículo 264. 1 del Código Penal como un delito de daños, en este caso informáticos.
Finalmente, si el usuario quiere recuperar la información encriptada se produce una solicitud de rescate por parte del ciberdelincuente, es decir, se le advierte que de no realizar el pago, su información puede ser borrada o publicada, por ejemplo.
Es evidente que el objetivo principal de los ciberdelincuentes es obtener un beneficio económico de la situación, es por ello que se produce una extorsión del usuario, advirtiéndole que de no pagar pueden suceder algunas consecuencias. Por lo tanto, esta acción está tipificada en el Código Penal en el artículo 243.
En definitiva, debemos señalar que se podría resolver como un concurso a tres, es decir un concurso medial del artículo 77 CP, toda vez que existen dos infracciones penales previas para acabar logrando el objetivo final del ciberdelincuente, que es obtener el pego del rescate. Es decir, el bloqueo y la encriptación son medios necesarios para lograr el rescate.