Información jurídica inteligente
 España | 900 649 672

STS 183/2024, 29 de Febrero de 2024

Sentencia Citas 51 Citado por Mapa de Precedentes Relacionados
Vincent
JurisdicciónEspaña
EmisorTribunal Supremo, sala segunda, (penal)
Número de resolución183/2024
Fecha29 Febrero 2024

T R I B U N A L S U P R E M O

Sala de lo Penal

Sentencia núm. 183/2024

Fecha de sentencia: 29/02/2024

Tipo de procedimiento: RECURSO CASACION

Número del procedimiento: 462/2022

Fallo/Acuerdo:

Fecha de Votación y Fallo: 28/02/2024

Ponente: Excma. Sra. D.ª Carmen Lamela Díaz

Procedencia: T.S.J.MADRID CIVIL/PENAL

Letrado de la Administración de Justicia: Ilmo. Sr. D. Tomás Yubero Martínez

Transcrito por: AGG

Nota:

RECURSO CASACION núm.: 462/2022

Ponente: Excma. Sra. D.ª Carmen Lamela Díaz

Letrado de la Administración de Justicia: Ilmo. Sr. D. Tomás Yubero Martínez

TRIBUNAL SUPREMO

Sala de lo Penal

Sentencia núm. 183/2024

Excmos. Sres. y Excma. Sra.

D. Julián Sánchez Melgar

D. Antonio del Moral García

D. Vicente Magro Servet

D.ª Carmen Lamela Díaz

D. Ángel Luis Hurtado Adrián

En Madrid, a 29 de febrero de 2024.

Esta Sala ha visto el recurso de casación núm. 462/2022 interpuesto, por infracción de precepto constitucional e infracción de ley, por D. Sixto , representado por el procurador D. Xavier Goñi Echevarría y bajo la dirección letrada de D. José Luis De La Fuente Fernández, contra la sentencia núm. 395/2021, de 24 de noviembre 2021, dictada por la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Madrid, en el Recurso de Apelación núm. 425/2021, que desestimó los recursos de apelación interpuestos por el recurrente y Santander Global Technology S.L, estimando parcialmente el recurso de apelación formulado por Ministerio Fiscal contra la Sentencia núm. 221/2021, de 22 de abril, dictada por la Sección Veintinueve de la Audiencia Provincial de Madrid (aclarada por auto de fecha 27 de julio de 2021), dimanante del Procedimiento Abreviado núm. 1125/2020, del Juzgado de Instrucción núm. 1 de Móstoles por la que se condena a D. Sixto como autor responsable de un delito daños informáticos, sin la concurrencia de circunstancias modificativas de la responsabilidad criminal. Es parte el Ministerio Fiscal y como parte recurrida, en condición de Acusación Particular, Santander Global Technology S.L , anteriormente Produban Servicios Generales SL, representado por el procurador D. Juan Antonio Gómez García y bajo la dirección letrada de D. Carlos Martínez Almeida Morales y Aubay Spain S.A , que actúa representada por la procuradora D.ª Milagros Pastor Fernández y bajo la dirección letrada de D. José Miguel Benito Notario.

Ha sido ponente la Excma. Sra. D.ª Carmen Lamela Díaz.

PRIMERO.- El Juzgado de Instrucción núm. 1 de Móstoles incoó Diligencias Previas con el núm. 1387/2018 por delitos de daños informáticos contra D. Sixto y una vez concluso, lo remitió para su enjuiciamiento a la Audiencia Provincial de Madrid, cuya Sección Veintinueve dictó, en el Procedimiento Abreviado núm. 1125/2020, sentencia el 22 de abril de 2021, que contiene los siguientes hechos probados:

"Del conjunto de prueba practicada a lo largo de las presentes actuaciones, ha resultado acreditado

El querellado, don Sixto era trabajador de la mercantil NORMA 4 SERVICIOS INFORMATICOS S.A a través de la cual prestó sus servicios a PRODUBAN hasta el 3 de marzo de 2017 desempeñando funciones de administrador de red prestando sus servicios en la Ciudad Financiera del Banco Santander sita en Boadilla del Monte y con ánimo de menoscabar el patrimonio ajeno creo una BOMBA LOGICA que consistía en una aplicación o software que va incrustado en varios códigos y que su principal objetivo era realizar un ataque malicioso a la parte lógica del ordenador para borrar ficheros, alterar el sistema o incluso inhabilitar por completo el sistema operativo de un PC, bomba lógica que tenía capacidad de permanecer suspendida o inactiva hasta que se cumpliera el periodo de tiempo establecido por el acusado y una vez que se activara ejecutar la acción maliciosa que había sido creada por Sixto y que programo para que se activara el día 20 de marzo de 2017 lo que motivo que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3168 equipos informáticos del Banco Santander en toda España provocando la falta de operatividad de los equipos afectados entre el día 21 de marzo de 2017 al 27 de marzo de 2017 provocando problemas para el desarrollo de la actividad de 839 oficinas causando unos perjuicios tasados pericialmente en la cantidad de 292.237,86 euros .

IBERMÁTICA, decidió prescindir de sus servicios en marzo de 2017, cesando, DON Sixto en la prestación de servicios a PRODUBAN y por ello, introdujo el día 2 de marzo de 2017 a las 17:27:43 horas un código malicioso de la forma anteriormente descrita en el script " RF.BOOT.VTS", para la cual uso los credenciales del usuario NUM000 (pero realmente la propagación del ataque fue planificada desde el ordenador del usuario NUM001) que era utilizado a diario por PRODUBAN para la tarea administrativa de reinicio de los puestos clientes Windows 7 de Banco Santander España programando la ejecución de dicho código a partir del 20 de marzo de 2017 y así conseguir la eliminación de la configuración de arranque del SO de las maquinas Windows 7 de las Oficinas del Banco Santander. Para ello, el querellado accedió, a través de su usuario, NUM001 a la Máquina de Salto a fin de comprobar la exitosa instalación del software malicioso. A las 18:03:23 del mismo día 3 de marzo, el querellado, al objeto de ocultar su rastro, actualizó su ordenador portátil tratando de modificar, no obstante sin éxito, su dirección IP.

A las 9:11 del 21 de marzo de 2017, los responsables de PRODUBAN tuvieron noticia de un fallo que afectó a múltiples equipos informáticos de la RED. Concretamente, quedaron inutilizados e inhabilitados de modo simultáneo TRES MIL CIENTO SESENTA Y OCHO (3.178) equipos informáticos; inutilidad operativa que se prolongó durante SEIS (6) días, desde el 21 al 27 de marzo de 2017. Durante dicho período. OCHOCIENTAS TREINTA Y NUEVE (839) oficinas de la entidad padecieron graves dificultades para el desarrollo habitual de su actividad, al no poder realizar tareas que llevasen aparejado el uso de ordenadores, quedando VEINTIÚN (21) oficinas comerciales y más de un CENTENAR de puestos de caja inoperativos.

La creación y propagación de la bomba supuso para la querellante un elevado coste material, dada la cantidad de recursos propios y de terceros que precisó tanto para la detección, contención e investigación del origen del fallo de los múltiples equipos, como para su reparación. Cristobal, representante Legal de PRODUBAN reclama por los perjuicios sufridos."

SEGUNDO.- La Audiencia de instancia dictó el siguiente pronunciamiento :

"Que debemos ABSOLVER y ABSOLVEMOS a D. Sixto, del delito de daños informáticos del art. 264.2 apartado 2° y 5° CP por el que venía acusado, declarándose de oficio el 50 % de las costas procesales causadas.

Que debemos CONDENAR y CONDENAMOS a D. Sixto, como autor criminalmente responsable de un delito de daños en sistemas informáticos, del art. 264 bis, 1, a y c) CP en relación con el del art. 264 ter CP, ya definidos y sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, a la pena de SIETE MESES DE PRISION, con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena. Como al abono del 50 % de las costas procesales, incluidas las de las Acusaciones Particulares.

En concepto de responsabilidad civil, D. Sixto indemnizará al PRODUBAN en la suma de 33.184 €, con responsabilidad personal subsidiaria de NORMA 4 SERVICIOS INMOBILIARIOS S.A. (Hoy ALUBAY SPAIN S.A.) con más los intereses correspondientes."

La Audiencia de instancia dictó Auto de Aclaración de fecha 27 de julio de 2021, con la siguiente parte dispositiva:

"LA SALA ACUERDA: RECTIFICAR LA SENTENCIA dictada el 22 de abril de 2021 en el presente Procedimiento Abreviado 1125/20, en el sentido de:

-Sustituir en el fallo de la misma la pena de SIETE MESES DE PRISIÓN por la de UN AÑO, NUEVE MESES Y UN DÍA DE PRISIÓN.

-Sustituir en el párrafo último del Fundamento Jurídico Noveno la expresión: "La responsabilidad de Produban en este caso es clara" por "La responsabilidad de Norma 4 (actualmente, " AUBAY SPAIN,S.A.) en este caso es clara".

-Sustituir en el párrafo primero de la Sentencia la referencia a ADUBAY SPAIN, S.A. por "AUBAY SPAIN, S.A.", y en el párrafo tercero del Fallo, la referencia ALUBAY SPAIN S A por "AUBAY SPAIN S.A".

Se mantiene inalterado el resto de la sentencia."

TERCERO.- Contra la anterior sentencia se interpuso recurso de apelación por la representación procesal del condenado D. Sixto, dictándose sentencia por la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Madrid, en fecha 24 de noviembre de 2021, en el Rollo de Apelación núm. 425/2021, cuyo Fallo es el siguiente:

"DESESTIMAMOS el recurso de apelación interpuesto por el Procurador de los Tribunales don Xavier de Goñi Echevarría en nombre de don Sixto.

DESESTIMAMOS el recurso de apelación interpuesto por el Procurador de los Tribunales don Juan Antonio Gómez García en nombre de SANTANDER GLOBAL TECHNOLOGY, S.L.

ESTIMAMOS PARCIALMENTE EL RECURSO DEL MINISTERIO FISCAL, condenamos a Sixto por la concurrencia del tipo agravado del artículo 264 bis. 2 del CP en relación el artículo 264. 2.5 del CP a la pena de tres años de prisión, accesoria de inhabilitación especial para el ejercicio del derecho de sufragio durante el tiempo de condena y multa del tiple del perjuicio causado- 99.552 euros con responsabilidad personal subsidiaria de un mes en caso de impago.

CONFIRMAMOS PARCIALMENTE la sentencia núm. 221/2021, de 22 de abril, dictada por la Sección 29 de la Audiencia Provincial de Madrid, Y LA MODIFICAMOS EN LOS TÉRMINOS QUE ANTECEDEN.

DECLARAMOS LAS COSTAS DE OFICIO."

CUARTO.- Notificada la sentencia a las partes, se preparó recurso de casación por infracción de precepto constitucional e infracción de ley, por el acusado, que se tuvo por anunciado, remitiéndose a esta Sala Segunda del Tribunal Supremo las certificaciones necesarias para su substanciación y resolución, formándose el correspondiente rollo y formalizándose el recurso.

QUINTO.- La representación procesal del recurrente basa su recurso de casación en los siguientes motivos:

Primero.- Por vulneración de precepto constitucional, en concreto, el art. 24.1 de la Constitución Española referido al derecho a la tutela judicial efectiva como autoriza el art. 5.4 de la LOPJ por vulneración del principio de presunción de inocencia y por vulneración del derecho a la intimidad.

Segundo.- Al amparo del art. 849. 2 de la LECrim se alega infracción de ley por considerar que ha existido error en la apreciación de la prueba documental.

Tercero.- Al amparo del art. 849.1 de la LECrim se denuncia infracción de ley por indebida aplicación del art. 264 bis. 2 del CP en relación el art. 264. 2.5ª del CP.

SEXTO.- Instruido el Ministerio Fiscal solicita la inadmisión de todos los motivos del recurso de casación interpuesto, impugnándolos subsidiariamente, teniendo por decaídos de dicho trámite a los Procuradores, D. Juan Antonio Gómez García y D.ª Milagros Pastor Fernández, en representación de sus respectivos recurridos. Evacuado el traslado del art. 882 LECrim, párrafo segundo, por la representación procesal del recurrente, la Sala admitió el recurso, quedando conclusos los autos para el señalamiento del fallo cuando por turno correspondiera.

SÉPTIMO.- Hecho el señalamiento del fallo prevenido, se celebró deliberación y votación el día 28 de febrero de 2024.

PRIMERO.- 1. El recurrente, D. Sixto fue condenado en sentencia núm. 221/2021, de 22 de abril, aclarada mediante auto dictado el día 27 de julio de 2021, dictada por la Sección Vigesimonovena de la Audiencia Provincial Madrid, en el Rollo núm. 1125/2020 dimanante del procedimiento abreviado núm. 1387/2018 del Juzgado de Instrucción núm. 1 de Móstoles, como autor de un delito de daños en sistemas informáticos, del art. 264 bis, 1, a y c) CP en relación con el del art. 264 ter CP, sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, a la pena de un año, nueve meses y un día de prisión, con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena y abono del cincuenta por ciento de las costas procesales, incluidas las de las Acusaciones Particulares.

En concepto de responsabilidad civil, D. Sixto fue condenado a indemnizar al PRODUBAN en la suma de 33.184 euros, con responsabilidad personal subsidiaria de NORMA 4 SERVICIOS INMOBILIARIOS S.A. (Hoy AUBAY SPAIN S.A.) con más los intereses correspondientes.

En la misma sentencia fue absuelto del delito de daños informáticos del art. 264.2 apartado 2° y 5° CP por el que venía acusado, declarando de oficio el cincuenta por ciento de las costas procesales.

2. Recurrida la citada sentencia en apelación por D. Sixto, por SANTANDER GLOBAL TECHNOLOGY, S.L. y por el Ministerio Fiscal, la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Madrid dictó sentencia núm. 395/2021, de 24 de noviembre, en el Rollo de Apelación 425/2021, por la que desestimó los recursos de apelación interpuestos por las representaciones procesales de D. Sixto y de SANTANDER GLOBAL TECHNOLOGY, S.L., y estimó parcialmente el recurso formulado por el Ministerio Fiscal, condenando a D. Sixto por la concurrencia del tipo agravado del art. 264 bis. 2 CP en relación el art. 264. 2.5 CP a la pena de tres años de prisión, accesoria de inhabilitación especial para el ejercicio del derecho de sufragio durante el tiempo de condena y multa del triple del perjuicio causado -99.552 euros- con responsabilidad personal subsidiaria de un mes en caso de impago, declarando de oficio las costas procesales.

Contra esta última sentencia se formula ahora recurso de casación por D. Sixto.

3. Antes de entrar en el estudio del recurso, debemos recordar la naturaleza del recurso de casación en relación a las sentencias dictadas en apelación por las Audiencias Provinciales y los Tribunales Superiores de Justicia.

Conforme señalan numerosas resoluciones de esta Sala (AATS núm. 662/2019, de 27 de junio, 674/2019, de 27 de junio, 655/2019, de 20 de junio, con referencia expresa a la sentencia núm. 476/2017, de 26 de junio), "la reforma de la ley de Enjuiciamiento Criminal operada por la Ley 41/2015, modificó sustancialmente el régimen impugnatorio de las sentencias de la jurisdicción penal, al generalizar la segunda instancia, bien ante la Audiencia Provincial o bien ante la Sala de lo Civil y Penal del Tribunal Superior de Justicia, y se prevé un régimen de casación con un contenido distinto, según los supuestos. Estas profundas modificaciones legales satisfacen una antigua exigencia del orden penal de la jurisdicción, la doble instancia. Ahora, una vez superada la necesidad de atender la revisión de las sentencias condenatorias exigidas por los Tratados Internacionales, la casación ha de ir dirigida a satisfacer las exigencias necesarias de seguridad jurídica y del principio de igualdad de los ciudadanos ante la ley, a través de la función nomofiláctica, esto es, fijar la interpretación de la ley para asegurar la observancia de ambos principios, propiciando que la ley se aplique por igual a todos los ciudadanos y que la aplicación de la norma penal sea previsible.

En la fijación del contenido de la nueva modalidad de la casación disponemos, por otro lado, de la experiencia adquirida por el conocimiento del recurso de casación contra sentencias dictadas en los procesos seguidos ante el Tribunal de Jurado respecto al que la ley reguladora prevé que el pronunciamiento del Tribunal del Jurado sea revisado a través de la apelación ante el Tribunal Superior de Justicia y, en su caso, casación ante esta Sala.

En este marco, la sentencia contra la que se plantea el recurso de casación es la resolutoria del recurso de apelación. Frente a la misma el recurrente deberá plantear su disidencia, sin que - como principio general y, sobre todo, en relación con el ámbito fáctico- pueda consistir en la reiteración simple del contenido de la impugnación desarrollada en la apelación ni en el planteamiento de cuestiones no debatidas en la apelación, pues las mismas ya han tenido respuesta desestimatoria o son cuestiones que han sido consentidas por la parte. En particular, respecto al ámbito del control casacional cuando se invoca la lesión al derecho fundamental a la presunción de inocencia, cumplida la doble instancia, la función revisora de la casación en este ámbito se contrae al examen de la racionalidad de la resolución realizada a partir de la motivación de la sentencia de la apelación, comprensiva de la licitud, regularidad y suficiencia de la prueba. Respecto al error de Derecho, función primordial de la nueva casación, deberá actuarse conforme a la consolidada jurisprudencia de esta Sala en torno a los dos apartados del artículo 885 de la ley procesal penal. Los quebrantamientos de forma, una vez que han sido planteados en la apelación y resueltos en forma negativa, pues de lo contrario la nulidad declarada no tiene acceso a la casación, la queja se contrae a la racionalidad y acierto de la resolución recurrida al resolver la cuestión planteada."

En definitiva el objeto del recurso de casación no está integrado por la sentencia dictada en la instancia, en la que se han valorado las pruebas con inmediación, sino por la sentencia dictada por la Sala de Apelación del Tribunal Superior de Justicia, al resolver -y motivar- la queja sobre la insuficiencia o invalidez de las pruebas, así como sobre la falta de racionalidad con la que aquéllas han sido ponderadas. Es este proceso motivacional el que habrá de servir de base para el discurso impugnativo.

En el mismo sentido, hemos señalado en la sentencia núm. 582/2020, de 5 de noviembre que "El recurso ha de entablar un debate directo con la sentencia de apelación, tratando de rebatir o contradecir sus argumentos. Indirectamente ello supondrá también cuestionar otra vez la sentencia dictada en primera instancia. Pero no parece correcto limitar la casación a una reproducción mimética del recurso, ya desestimado, contra la sentencia de instancia, ignorando la de apelación; es decir, actuar como si no existiese una resolución dictada por un Tribunal Superior; como si se tratase del primer recurso y los argumentos aducidos no hubiesen sido ya objeto de un primer examen que de facto se ignora sin convertirlo en el objeto directo de la nueva impugnación, por más que eso, indirectamente, suponga traer a colación otra vez la sentencia inicial.

El recurso de casación ha de proponerse como objetivo rebatir las argumentaciones vertidas en la fiscalización realizada mediante la apelación; no combatir de nuevo la sentencia de instancia como si no se hubiese resuelto ya una impugnación por un órgano judicial como es el Tribunal Superior de Justicia. Cuando éste ha dado respuesta de forma cumplida y la casación es un simple clon de la previa apelación se deforma el sistema de recursos. Si esta Sala considera convincentes los argumentos del Tribunal Superior de Justicia y nada nuevo se arguye frente a ellos, no podremos más que remitirnos a la respuesta ofrecida al desestimar la apelación, si acaso con alguna adición o glosa. Pero en la medida en que no se introduce argumentación novedosa, tampoco es exigible una respuesta diferenciada en tanto estén ya satisfactoriamente refutados esos argumentos que se presentan de nuevo sin la más mínima alteración, es decir, sin atender a la argumentación del Tribunal Superior de Justicia que, en este caso, además, es especialmente, rigurosa, detallada y elaborada."

Desde esta perspectiva procede analizar los motivos del recurso que formula la representación de D. Sixto.

SEGUNDO.- 1. El primer motivo del recurso se deduce por vulneración del art. 24.1 CE referido al derecho a la tutela judicial efectiva, al amparo del art. 5.4 LOPJ por vulneración del principio de presunción de inocencia y por vulneración del derecho a la intimidad.

Su queja se desgaja en tres submotivos. El primero, al entender que en el plenario no se practicó prueba de cargo suficiente para llegar a una sentencia condenatoria. Igualmente denuncia falta de prueba "respecto a la responsabilidad civil que determina la cuantificación de la multa impuesta como parte de la pena". Por último, alega vulneración del derecho a la intimidad del acusado ya que se inspeccionó su ordenador por parte de la empresa querellante sin ningún tipo de control o tutela judicial.

1. En relación al primero de ellos señala que no se ha practicado prueba de cargo suficiente, ya que la sentencia de instancia reconoce que no existe prueba directa y la sentencia condenatoria se funda en prueba indiciaria, y que además no ha sido racionalmente valorada.

Expone que, aun cuando ha quedado demostrado que la bomba lógica fue instalada en el sistema y que provocó problemas en el desarrollo de la actividad del banco, él ha negado en todo momento los hechos argumentando que no existía prueba pericial ni de otro tipo que afirmara que la creación de la bomba lógica que se instaló en el sistema fuera obra suya así como tampoco se ha acreditado que fuese él quien la activase. Aduce que no hay evidencia de que fuera él quien suplantara al usuario NUM000, máxime cuando todos los peritos han señalado la posibilidad de conectarse a la máquina de salto por control remoto. Asimismo ha sido acreditado que la bomba lógica se instaló desde el usuario NUM000 y que fue suplantado por el NUM001, pero indica que no existe evidencia alguna de que esta suplantación se realizara por él. Por el contrario existen dudas más que razonables de que el usuario NUM001 también pudiera haber sido suplantado.

Señala que lo que ha quedado acreditado es que cualquier administrador del sistema podía acceder a cualquier equipo. Se refiere al informe emitido por Deloitte en el que se hace constar que desde un punto de vista estrictamente técnico, habría otros dieciocho potenciales usuarios que tenían capacidad de suplantar la identidad de NUM000.

A su juicio las únicas pruebas practicadas para descubrir qué persona física se encontraba detrás del usuario que suplantó a NUM000, fueron las declaraciones de trabajadores de la querellante Produban, con claro interés en la causa y el registro de entradas y salidas del departamento de Produban adjunto a la querella como documento núm. 6.

Destaca que al ser los citados testigos precisamente los responsables del sistema de seguridad debían encontrar rápidamente un culpable para que sus puestos de trabajo no estuviesen en peligro, ya que su seguridad había fallado.

Repasa las declaraciones prestadas por D.ª Lorena, D.ª Luz y considera que son testigos de referencia. La primera señaló que llegaron a la conclusión de que solo estaba él en la oficina el día 2 de marzo, pero no aclaró porqué llegó a esta conclusión. La segunda señaló que pidieron al departamento de seguridad que comprobara si estaba el día dos en la empresa y así fue, y descartaron la presencia de otra persona. Sin embargo no declaró nadie del departamento de seguridad. Añade que es extraño que no haya una sola imagen (en un lugar lleno de cámaras de seguridad como es la Ciudad Financiera) que acredite que él era la única persona en el lugar de los hechos el día 2, fecha en la que supuestamente suceden los hechos.

Junto a ello considera que el registro de entrada y salidas de los días 2 y 3 de marzo de 2017 presenta irregularidades, ya que solo se recoge el registro de dos trabajadores, él y Severiano (supuestos suplantador y suplantado) y ningún dato se recoge del resto de los dieciocho posibles usuarios referidos en el informe de Deloitte.

Estima también extraño que si hubiera intervenido en el hecho ilícito hubiera dejado abierta su conexión el día 2 de marzo a las 22 horas. Insiste en que todos los peritos que han intervenido han manifestado que es posible que dentro de la Ciudad Financiera del Banco de Santander se podía conectar más de una persona a la máquina de salto por control remoto; que los trabajadores conocían las claves de los compañeros; y que aparece una conexión activa el 2 de marzo de 2017 a las 22 horas del usuario NUM001, cuando consta acreditado que abandonó las oficinas a las 19:02:15 horas.

Igualmente alega que el día 2 de marzo no le habían comunicado que le cambiaban de lugar de trabajo, que cualquier usuario podía introducir por control remoto la bomba lógica si conocía las claves, cualquiera podía haber suplantado su usuario y que él no ganaba nada con el sabotaje, amén de que no había sido despedido sino cambiado de centro de trabajo, pasando a trabajar para BBVA.

Entiende por todo ello que no existe prueba que le incrimine y que lo que se ha realizado es una investigación dirigida y manipulada en todo momento por la querellante Produban con el fin de evadir sus responsabilidades en el fallo de seguridad, intentando encontrar rápidamente un culpable, fuese quien fuese.

2. No podemos compartir tal conclusión. Las conclusiones a las que llega el Tribunal no suponen presunciones en contra del recurrente. Por el contrario, constituyen coherente y unívoca explicación de lo sucedido y de su participación en los hechos por los que ha resultado condenado.

Para ello, el Tribunal ha contado con los testimonios prestados por distintos trabajadores, respecto a los que no ha hallado motivo o circunstancia que les impidiera decir verdad. La mayor o menor prontitud para encontrar al culpable del caos ocasionado, o incluso el éxito en tal investigación no excluía ni mitigaba la posible responsabilidad en el fallo de seguridad de la empresa y de sus sistemas informáticos.

Igualmente ha contado con prueba pericial y documental de la que pueden extraerse conclusiones distintas a las pretendidas por el recurrente.

Este no discute que se instalara una bomba lógica en el sistema del banco, ni los problemas que ello produjo en la actividad diaria del banco. Tampoco discute que se suplantara al usuario NUM000 por el usuario NUM001, desde el cual se instaló la bomba lógica. Lo que niega es que la suplantación se realizara por él, existiendo a su juicio dudas de que el usuario NUM001 también pudiera haber sido suplantado.

El Tribunal se planteó esos mismos interrogantes, a los que finalmente, tras el examen y valoración de la prueba practicada, dio contestación llegando a conclusiones diametralmente opuestas por el recurrente.

De esta forma, tal y como explica la sentencia dictada por el Tribunal Superior de Justicia, que coincide en sus conclusiones con las alcanzadas por el Tribunal de instancia, "La prueba personal de cargo consistente en los testimonios de los responsables de PRODUBAN, mercantil del Grupo Santander, así el de la Sra. Lorena quien constató que el día 21 de marzo cuando muchos ordenadores no arrancaban y en tres vieron cambios en el fichero de arranque, y encontraron un fichero modificado el día 2 de marzo. Y como de los ordenadores se llega a través de la máquina de salto, comprobaron quien accedía a la máquina, y de los dos empleados en la central, se encontró un fichero Excel con más de 40000 líneas en el ordenador del usuario acusado y que el día 3 entró en las oficinas de nuevo desde su usuario. La acción maliciosa consistió en el borrado de datos el día 1 y en introducir el día 2 los cambios en el sistema de arranque a través de un archivo malicioso, que eliminaba el sistema de arranque de las máquinas de las oficinas y que el acceso a la máquina de asalto sólo puede ser del acusado pues era el único de los administradores que estaba de servicio el día 2 y el está en condiciones de acceder al equipo del compañero puesto que conoce su usuario y contraseña.

En el mismo sentido la sala llegó gracias al testimonio de la Sra. Luz, en el mismo sentido había que estar en la red del banco.

Es decir que su posición el día 2 de marzo en la central y la localización del fichero que se corresponde a las cuarenta mil líneas que corresponden a las oficinas del Banco. Ratifica el Sr. Alejo el hallazgo en el ordenador del acusado y como el inmediato día 3 accedió de nuevo para ver si estaba cambiado el fichero accediendo a las oficinas con terminación 0.

Dijo que se podía hacer por control remoto pero las anteriores testigos y los peritos de Deloitte sobre ciberseguridad lo descartaron, indicando que se realizó desde la máquina de salto en la que se hacían operaciones de mantenimiento y explicó que se conectó utilizando el otro usuario desde dentro de la máquina por no se pudo localizar la IP y reiteraron su informe afirmando que la infección procedía de la preparación de la máquina de asalto por el usuario suplantado, dado que el acusado administrador 41 tenía el mismo archivo de fichero que se había introducido. El peritaje atribuye la creación del fichero y la sustitución de este por el del sistema de arranque de las máquinas de las oficinas, precisamente por el hallazgo del mismo fichero en el ordenador que tenía asignado como usuario. El fichero no es un cuerpo que opere en la realidad física, es sólo virtual, con lo que es difícil conseguir la determinación del responsable usuario que realiza la inserción de la bomba gracias a una prueba ocular directa, como en muchos otros ilícitos, lo que viene sucediendo y ha sucedido es que su determinación como autor se ha extraído de las pruebas personales, testificales y periciales que aportan como indicios indubitados".

Sobre el acceso a la máquina de salto, lo que el acusado manifestó en el acto del juicio oral, según recoge la sentencia de instancia, es que, en remoto se podía acceder a su equipo, pero en la nave solo podía acceder al equipo el declarante.

D. Baltasar, autor del informe de Mcaffe, manifestó que no sabía si la operación podía hacerse por control remoto. Don Alejo indicó que en realidad no conocía la operativa de Banco Santander, señalando sin embargo que el banco dijo que el usuario no podía acceder remotamente, si no estaba provisto del software, credenciales y permisos, así como que esta acción se hizo desde el 03, pero el acusado fue el 41, se hizo desde la máquina de salto, no desde el ordenador del 03, así como que no había habido ninguna evidencia de otra persona.

Por su parte D.ª Lorena explicó, en igual sentido, que "a las máquinas se llega o a través de una máquina de salto que es como un portal de entrada y ya puedes acceder a las máquinas de las oficinas o a través de una máquina de IBM, en la máquina de salto se observó conexiones del usuario a las oficinas y a las máquinas afectadas el día 3, se había conectado para comprobar que el fichero rebut estaba y cogieron el ordenador del usuario b, el ordenador estaba sin apagar, comprobaron que nadie lo había tocado desde el día 3 de marzo, el problema era el fichero rebut y se encontró un fichero Excel con más de 40000 líneas y era de todas las máquinas de las oficinas de Banco Santander. Había más usuarios accediendo a la máquina de salto y a las oficinas, se analizó ese ordenador del otro usuario y no se encontró nada, además ese usuario no estaba en la oficina el día 2. El trabajo de ambos usuarios era la homologación de software y allí hay maquetas donde pueden hacer maquetas sin acceder a las oficinas, de hecho, desde agosto de 2016 no se había conectado, todos los administradores podían acceder a la máquina de salto, desde fuera de las instalaciones no se puede acceder a la máquina de salto, no estaban dados de alto en la VPN, el equipo del acusado es el b, el código se distribuyó el día 2 y los logs de la máquina de salto son del usuario a que no estaba en las oficinas y en su equipo no se encontró nada".

Finalmente, D.ª Luz, responsable de Produban, señaló que " Sixto había estado primero en la parte de soporte y después en homologación, sabía cómo estaba montado, para acceder a las oficinas era acceder a la máquina de salto y los de homologación podían acceder y solo podían hacerlo desde dentro de la red del banco".

Igualmente, en contra de lo que sostiene el recurrente, aun cuando la empresa contara con más usuarios de los sistemas, al accederse a las oficinas a través de la máquina de salto y pudiendo realizarse el acceso únicamente a través de la red del banco y en sus instalaciones, se comprobó cuáles de los usuarios autorizados habían estado en las instalaciones del banco los días en los que se instaló bomba lógica en el sistema del banco, resultando que se trataba precisamente del Sr. Sixto, siendo este la única persona que estuvo en la instalación el día de los hechos, lo que pudo comprobarse con los registros de entradas y salidas de la empresa. Además el acusado no ha negado esta circunstancia. Y, como él mismo manifestó a preguntas de su letrada, efectivamente no fue despedido de Norma 4, pero si lo fue de Produban, pasando a prestar servicios en BBVA.

Conforme a la prueba practicada, también resume el Tribunal Superior de Justicia esos indicios a través de los cuales se ha llegado, de forma lógica y racional a afirmar la autoría del acusado:

"1. Que era el único administrador con acceso a la máquina de asalto el día 2 de marzo.

2. Que a través del usuario de otro administrador, se había programado una bomba lógica diferida que cambiaba el scritp "Reboot.vbs" que consiste en el guion de comandos o fichero ubicado en la máquina de salto al que se conectan las máquinas de las oficinas del cliente Santander.

3. El día 2 entró con login y contraseña del administrador NUM000 (al ser el único que se hallaba de servicio) en la máquina de salto quedando introducida una versión alterada del programa o script Reboot.vbs.

4. Fueron halladas en su ordenador una hoja Excel con 42.997 entradas de las máquinas de todas las oficinas del cliente Santander para realizar la copia del fichero Reboot.vbs de la máquina de salto, siendo la última fecha de modificación del fichero el 2/3/2018.

5. El día 3 entró desde su usuario para comprobar si se ha instalado en las oficinas que comienzan por 0, 1 y una con el 4 primero en la máquina de salto y de allí a las oficinas.

6. Este día actualizó su configuración del ordenador intentando cambiar la IP para que no coincidiera la IP del análisis de la máquina de salto con la dirección IP de la maquina usada durante el ataque, lo que no se consiguió pues repite la IP anterior".

Todos estos elementos, relacionados y constatados por el Tribunal con prueba directa que detalla en la resolución recurrida, y debidamente valorados, sin lugar a duda exteriorizan su conclusión en los términos que explicita. De la misma forma, las conclusiones alcanzadas por el Tribunal Superior de Justicia, tras repasar las pruebas practicadas y la valoración de las mismas realizadas por la Audiencia, coinciden en todos sus extremos con las alcanzadas por el citado Tribunal, ofreciendo puntual contestación al recurrente sobre las quejas que en análogos términos reproduce nuevamente en casación. No se limita lógicamente a analizar individualmente cada uno de aquellos indicios sobre los que el recurrente pretende otra interpretación, sino que examina el conjunto de todos ellos estimando racionales y acertadas las conclusiones que, tras su valoración conjunta, ha alcanzado el Tribunal de instancia.

De esta forma, la prueba indiciaria valorada por el Tribunal reúne los requisitos que vienen siendo exigidos por esta Sala y por el Tribunal Constitucional. Relaciona los hechos base o indicios plurales, acreditados por prueba de carácter directo (declaraciones prestadas por testigos y peritos que depusieron en el acto del Juicio Oral y documental incorporada a las actuaciones). Se trata de indicios interrelacionados entre sí y con el hecho que se trata de probar, esto es, que fue el recurrente quien instaló una bomba lógica en el sistema del banco, que determinó que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3168 equipos informáticos del Banco de Santander en toda España provocando la falta de operatividad de los equipos afectados entre los días 21 a 27 de marzo y afectando a la actividad de 839 oficinas. Además, la inferencia realizada por el Tribunal es razonable, existiendo entre los hechos relacionados por el Tribunal y los que han resultado acreditados, un enlace preciso y directo según las reglas del criterio humano, no permitiendo llegar a conclusiones contrarias que sean igualmente lógicas. Por último, la sentencia contiene motivación suficiente que explica convenientemente cómo el Tribunal llega a formar su convicción a partir de esos hechos-base o indicios.

Por lo demás, como expresábamos en la sentencia núm. 566/2015, de 9 de octubre, "El control de la racionalidad de la inferencia no conlleva la sustitución del criterio valorativo del Tribunal sentenciador por el del Tribunal casacional y tampoco por el del recurrente, sino únicamente comprobar que dicha inferencia responde a las reglas de la lógica y del criterio humano y que respeta la prohibición de la arbitrariedad. Se trata exclusivamente de excluir aquellos supuestos en los que la inferencia es excesivamente abierta, débil o indeterminada, o en los que en el razonamiento se aprecian saltos lógicos o ausencia de necesarias premisas intermedias o bien que del mismo se derive un amplio abanico de conclusiones alternativas, o se empleen en la valoración probatoria criterios contrarios a los derechos, principios o valores constitucionales".

Solo cabe recordar en este momento que el derecho a la presunción de inocencia no puede ser invocado con éxito para cubrir cada episodio, vicisitud, hecho o elemento debatido en el proceso penal, o parcialmente integrante de la resolución final que le ponga término. Los límites de nuestro control no permiten desmenuzar o dilucidar cada elemento probatorio, sino que debe realizarse un examen general y contextualizado de la valoración probatoria para puntualizar en cada caso si ese derecho fue o no respetado, concretamente en la decisión judicial condenatoria, pero tomando en cuenta el conjunto de la actividad probatoria ( SSTC 105/1983, de 23 de noviembre, FJ 10; 4/1986, de 20 de enero, FJ 3; 44/1989, de 20 de febrero, FJ 2; 41/1998, de 31 de marzo, FJ 4; 124/2001, de 4 de junio, FJ 14; y ATC 247/1993, de 15 de julio, FJ 1).

El motivo se desestima.

TERCERO.- Como anticipábamos, alega también el recurrente, dentro del primer motivo de su recurso vulneración del derecho a la intimidad por ausencia total de control y tutela judicial en la investigación y en el trato de los datos personales de su ordenador.

Afirma que la investigación del delito la hace y dirige exclusivamente Produban, sin intervención de la unidad de delitos informáticos de la policía y sin la intervención durante todo el proceso de investigación de ni un solo agente de la autoridad o judicial. Por ello adolece en todo momento de las mínimas garantías legales que una investigación imparcial precisa. Considera además que se investigaron los datos de su ordenador vulnerando sus derechos fundamentales más elementales ya que el volcado de memoria de sus datos así como toda la investigación se hizo sin control judicial alguno.

Discrepa también del cálculo que se ha efectuado de la responsabilidad civil (33.184 euros), utilizando este cálculo para imponer la multa del triple del mismo. Entiende que dicha responsabilidad civil carece de sentido desde el momento en el cual el responsable del Banco Santander que depuso en el acto del juicio oral renunció a la indemnización de los daños causados reservándose las acciones civiles correspondientes.

Se trata de cuestiones nuevas no alegadas cuando pudieron serlo, ni ante la Audiencia, ni en el recurso de apelación, por lo que no es posible proceder ahora a su examen por vez primera.

Como afirma la STS 84/2018, de 15 de febrero, con cita de la STS 54/2008, 8 de abril, "es consustancial al recurso de casación, dada su naturaleza de recurso devolutivo, que el mismo se circunscriba al examen de los errores legales que pudo cometer el Tribunal de instancia -en el presente caso, el órgano ad quem llamado a resolver la apelación- al enjuiciar los temas que las partes le plantearon, sin que quepa ex novo y per saltum formular alegaciones relativas a la aplicación o interpretación de preceptos sustantivos no invocados, es decir, sobre cuestiones jurídicas no formalmente planteadas ni debatidas por las partes. Esta Sala necesita resolver siempre sobre aquello que antes ha sido resuelto en la instancia tras el correspondiente debate contradictorio, con la salvedad de que la infracción contra la que se recurre se haya producido en la misma sentencia (cfr. SSTS 1237/2002, 1 de julio y 1219/2005, 17 de octubre). En caso contrario, el Tribunal de casación estaría resolviendo por primera vez, es decir, como si actuase en instancia y no en vía de recurso, sin posibilidad de ulterior recurso sobre lo resuelto en relación con estas cuestiones nuevas ( SSTS 1256/2002 4 de julio, y 545/2003 15 de abril)"". ( STS nº 290/2019, de 31 de mayo)".

En consecuencia, ambos submotivos se desestiman.

CUARTO.- El segundo motivo del recurso se formula al amparo del art. 849.2º LECrim, por infracción de ley por considerar que ha existido error en la apreciación de la prueba documental. Señala que el Tribunal ha valorado erróneamente los documentos del procedimiento como son los informes periciales, y lo ha hecho de modo incompleto, fragmentario, mutilado e incluso contradictorio, de forma que se ve alterado de forma relevante su sentido originario y, pese a no disponerse de otras pruebas, el tribunal de instancia llega a conclusiones contrarias a lo que establecen dichos informes sin expresar las razones.

También se refiere al documento núm. 6 adjunto a la querella relativo al registro de entradas y salidas del departamento de Produban de los días 2 y 3 de marzo de 2017.

1. Respecto del motivo de casación por error en la apreciación de la prueba esta Sala (sentencias núm. 936/2006, de 10 de octubre, 778/2007, de 9 de octubre y 424/2018, de 26 de septiembre), viene exigiendo para su prosperabilidad la concurrencia de los siguientes elementos: 1) Ha de fundarse, en una verdadera prueba documental, y no de otra clase, como las pruebas personales aunque estén documentadas en la causa; 2) Ha de evidenciar el error de algún dato o elemento fáctico o material de la Sentencia de instancia, por su propio y literosuficiente poder demostrativo directo, es decir, sin precisar de la adición de ninguna otra prueba ni tener que recurrir a conjeturas o complejas argumentaciones; 3) Que el dato que el documento acredite no se encuentre en contradicción con otros elementos de prueba, pues en esos casos no se trata de un problema de error sino de valoración, la cual corresponde al Tribunal, artículo 741 de la Ley de Enjuiciamiento Criminal; 4) Que el dato contradictorio así acreditado documentalmente sea importante en cuanto tenga virtualidad para modificar alguno de los pronunciamientos del fallo, pues si afecta a elementos fácticos carentes de tal virtualidad el motivo no puede prosperar ya que, como reiteradamente tiene dicho esta Sala, el recurso se da contra el fallo y no contra los argumentos de hecho o de derecho que no tienen aptitud para modificarlo.

Por tanto -se dice en las STS 765/2001, de 19 de julio- el motivo de casación alegado no permite una nueva valoración de la prueba documental en su conjunto sino que exclusivamente autoriza la rectificación del relato de hechos probados para incluir en él un hecho que el Tribunal omitió erróneamente declarar probado, cuando su existencia resulta incuestionable del particular del documento designado, o bien para excluir de dicho relato unos hechos que el Tribunal declaró probados erróneamente, ya que su inexistencia resulta de la misma forma incuestionable del particular del documento que el recurrente designa. Además, como se ha dicho, es preciso que sobre el particular cuestionado no existan otros elementos de prueba, ya que en esos casos, lo que estaría bajo discusión, sería la racionalidad del proceso valorativo por la vía de la presunción de inocencia en caso de sentencias condenatorias o de la interdicción de la arbitrariedad, en todo caso, aunque sus efectos de su estimación fueran distintos el referido vicio de error en la valoración probatoria presupone la autarquía demostrativa del documento que ha de serlo desde dos planos: 1º) El propiamente autárquico, lo que se ha venido denominando como literosuficiente, es decir que no precise de la adición de otras pruebas para evidenciar el error; y 2º) que no resulte contradicho por otros elementos de prueba obrantes en la causa, como, siguiendo lo expresamente establecido en el precepto, viene también señalando una reiterada doctrina jurisprudencial" ( STS 310/2017, de 3 de mayo).

2. Los documentos citados por el recurrente carecen de la condición de literosuficiencia. Su lectura no conduce de forma inequívoca a la conclusión de que el Juzgador haya valorado erróneamente la prueba.

Es cierto, tal y como expone el recurrente, que es reiterada la Jurisprudencia de esta Sala que admite excepcionalmente la virtualidad de los informes periciales para modificar los hechos, cuando: a) exista un solo dictamen o varios absolutamente coincidentes y no disponga la Audiencia de otras pruebas sobre los mismos elementos fácticos y se estime el dictamen o dictámenes coincidentes como base única de los hechos declarados probados, pero incorporándolos de un modo incompleto, fragmentario, mutilado o contradictorio, de modo que se altere su sentido originario; o b) cuando se cuenta sólo con dicho dictamen, o dictámenes coincidentes, y no concurriendo otras pruebas sobre el mismo punto fáctico, el Tribunal de instancia haya llegado a conclusiones divergentes con los de los citados informes, sin expresar razones que lo justifiquen. El informe, en suma, ha de patentizar el error denunciado, no estar contradicho por otras pruebas y ser relevante para la resolución del caso.

Sin embargo, los informes que indica la defensa no se encuentran tampoco en ninguno de estos casos.

De esta forma, los peritos que elaboraron tales informes comparecieron en el acto del juicio oral y fueron sometidos a la contradicción de las partes y a la inmediación del Tribunal, quien los ha analizado y valorado junto a los testimonios de los trabajadores y responsables de las empresas implicadas, encontrándose entre ellos otros profesionales que también han procedido, por distintos motivos, a investigar lo realmente acaecido en torno a la instalación de la bomba lógica en los sistemas informáticos del Banco de Santander, exponiendo en sus declaraciones determinados datos que lejos de contrastar con aquéllos, los complementan. El examen de tales pruebas ya ha sido abordado en el fundamento de derecho segundo de la presente resolución, al que ahora nos remitimos a fin de evitar reiteraciones innecesarias.

Tampoco el documento núm. 6 adjunto a la querella relativo al registro de entradas y salidas del departamento de Produban es literosuficiente. Junto a él, el Tribunal ha valorado el testimonio prestado por los distintos responsables de la empresa a la que pertenecía el acusado, quienes expusieron el resultado de las investigaciones que personalmente realizaron para concluir que era el acusado la única persona que durante los días 2 y 3 de marzo accedió a las instalaciones de la entidad bancaria, único medio a través del cual podía accederse a la máquina de salto a la red del banco.

En definitiva, los documentos que cita el recurrente no contienen información contradictoria con el resultado de otras pruebas que el Tribunal ha resuelto, valorando y relacionando tales informes con otros elementos de prueba obtenidos en el acto del juicio oral en los términos que ya han sido expuestos, razón por la que los mencionados documentos en ningún caso tienen aptitud suficiente para modificar el fallo.

Aun cuando el recurrente discrepe con las conclusiones alcanzadas por la Audiencia, los razonamientos que se expresan en la sentencia se ajusten a las reglas de la lógica y son ajenos al error que se denuncia en el motivo examinado, que en consecuencia debe ser rechazado.

El motivo por ello se desestima.

QUINTO.- El tercer motivo se deduce al amparo del art. 849.1 LECrim, por infracción de ley por indebida aplicación del art. 264 bis. 2 CP en relación el art. 264. 2.5ª CP.

Entiende que no se ha acreditado su culpabilidad para que opere el art. 264 bis.1 apartados a y c por el que fue condenado en primera instancia por la Audiencia Provincial de Madrid, y menos aún se ha acreditado el tipo agravado del delito contenido en el art. 264. bis 2 en relación con el art. 264 ter por el que el Tribunal Superior de Justicia le condenó modificando la sentencia de la Audiencia Provincial.

Discrepa de la conclusión alcanzada por el Tribunal Superior de Justicia que aplica el apartado 5 del art. 264.2 por remisión a su vez del artículo 264 bis. 2 que remite a su vez al artículo 264 ter, por entender probado que generó el fichero dañino y se sirvió de él, por lo tanto, utilizó para cometer el delito los medios que establece el art. 264 ter (apartado a) programa informático).

Indica que, según los hechos probados, creó una bomba lógica valiéndose de un fichero dañino en concreto y según los peritos expertos lo que se encontró en su ordenador era un fichero de Excel, lo que en términos técnicos en ningún caso es un programa informático. Añade que en los hechos probados en ningún caso se hace referencia a la creación por su parte de un programa informático que es lo que exige el art. 264 bis.2 en relación con el art. 264 ter y 264.2 apartado 5º CP.

Explica que una bomba lógica es una parte de un código que se inserta en un programa y que bajo determinadas circunstancias ejecuta una acción maliciosa. Considera que en ningún caso se ha practicado prueba que acredite que la bomba lógica que causó los daños en el Banco Santander fuese un programa informático como tal, de hecho la sentencia de primera instancia lo califica como "códigos" y "modificaciones en los programas que dieron lugar a alteraciones del sistema" y los peritos lo refieren como un fichero automático de Excel.

Por ello entiende que no se ha practicado prueba técnica suficiente para determinar si lo que causó los daños fue un programa informático como exige el tipo agravado.

1. A través de este motivo expresa nuevamente el recurrente su discrepancia con la suficiencia y valoración de la prueba llevada a cabo por el Tribunal de instancia y con la que se ha considerado enervada la presunción de inocencia.

La queja del recurrente no guarda relación alguna con el motivo invocado. Lo que realmente se está denunciando de nuevo es la vulneración del derecho a la presunción de inocencia que ya ha obtenido debida contestación por parte de este Tribunal en el anterior fundamento de derecho de la presente resolución, al que por tanto y a efectos de evitar repeticiones, expresamente nos remitimos.

El motivo por infracción de Ley del art. 849.1 LECrim es la vía adecuada para discutir ante este Tribunal si el Tribunal de instancia ha aplicado correctamente la Ley. Pero siempre partiendo del relato fáctico que contiene la sentencia, sin alterar, suprimir o añadir los hechos declarados probados por el Tribunal de instancia.

Señala la sentencia 628/2017, de 21 de septiembre, que "este precepto, que autoriza la denuncia del error de derecho en la aplicación de una norma penal de carácter sustantivo, impone como presupuesto metodológico la aceptación del hecho probado, hasta el punto de que el razonamiento mediante el que se expresa el desacuerdo con la decisión del Tribunal no puede ser construido apartándose del juicio histórico. De lo contrario, se incurre en la causa de inadmisión -ahora desestimación- de los arts. 884.3 y 4 de la Ley de Enjuiciamiento Criminal".

En análogos términos se pronuncia la sentencia de esta Sala 842/2014, de 10 de diciembre, que, con referencia a otras sentencias ( SSTS 8/3/2006, 20/7/2005, 25/2/2003, 22/10/2002; ATC 8/11/2007), señala que "el motivo formulado al amparo del art. 849.1 de la Ley de Enjuiciamiento Criminal, es el camino hábil para cuestionar ante el Tribunal de casación si el Tribunal de instancia ha aplicado correctamente la Ley, es decir, si los preceptos aplicados son los procedentes o si se han dejado de aplicar otros que lo fueran igualmente, y si los aplicados han sido interpretados adecuadamente, pero siempre partiendo de los hechos que se declaran probados en la sentencia, sin añadir otros nuevos, ni prescindir de los existentes. De tal manera, que la falta de respeto a los hechos probados o la realización de alegaciones jurídicas contrarias o incongruentes con aquellos, determina la inadmisión del motivo, -y correspondientemente su desestimación-conforme lo previsto en el art. 884. 3 Ley de Enjuiciamiento Criminal".

2. Teniendo en cuenta la anterior doctrina, debemos atenernos al relato fáctico de la sentencia impugnada, en el que, a los efectos que ahora nos interesan, se declara con meridiana claridad que el recurrente "creo una BOMBA LOGICA que consistía en una aplicación o software que va incrustado en varios códigos y que su principal objetivo era realizar un ataque malicioso a la parte lógica del ordenador para borrar ficheros, alterar el sistema o incluso inhabilitar por completo el sistema operativo de un PC, bomba lógica que tenía capacidad de permanecer suspendida o inactiva hasta que se cumpliera el periodo de tiempo establecido por el acusado y una vez que se activara ejecutar la acción maliciosa que había sido creada por Sixto y que programó para que se activara el día 20 de marzo de 2017 lo que motivo que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultánea de 3168 equipos informáticos del Banco Santander en toda España provocando la falta de operatividad de los equipos afectados entre el día 21 de marzo de 2017 al 27 de marzo de 2017 provocando problemas para el desarrollo de la actividad de 839 oficinas causando unos perjuicios tasados pericialmente en la cantidad de 292.237,86 euros.

IBERMÁTICA, decidió prescindir de sus servicios en marzo de 2017, cesando, DON Sixto en la prestación de servicios a PRODUBAN y por ello, introdujo el día 2 de marzo de 2017 a las 17:27:43 horas un código malicioso de la forma anteriormente descrita en el script " RF.BOOT.VBS" , para la cual uso los credenciales del usuario NUM000( pero realmente la propagación del ataque fue planificada desde el ordenador del usuario NUM001) que era utilizado a diario por PRODUBAN para la tarea administrativa de reinicio de los puestos clientes Windows 7 de Banco Santander España programando la ejecución de dicho código a partir del 20 de marzo de 2017 y así conseguir la eliminación de la configuración de arranque del SO de las maquinas Windows 7 de las Oficinas del Banco Santander. Para ello, el querellado accedió, a través de su usuario, NUM001 a la Máquina de Salto a fin de comprobar la exitosa instalación del software malicioso. A las 18:03:23 del mismo día 3 de marzo, el querellado, al objeto de ocultar su rastro, actualizó su ordenador portátil tratando de modificar, no obstante sin éxito, su dirección IP.

A las 9:11 del 21 de marzo de 2017, los responsables de PRODUBAN tuvieron noticia de un fallo que afectó a múltiples equipos informáticos de la RED. Concretamente, quedaron inutilizados e inhabilitados de modo simultáneo TRES MIL CIENTO SESENTA Y OCHO (3.178) equipos informáticos; inutilidad operativa que se prolongó durante SEIS (6) días, desde el 21 al 27 de marzo de 2017. Durante dicho período. OCHOCIENTAS TREINTA Y NUEVE (839) oficinas de la entidad padecieron graves dificultades para el desarrollo habitual de su actividad, al no poder realizar tareas que llevasen aparejado el uso de ordenadores, quedando VEINTIÚN (21) oficinas comerciales y más de un CENTENAR de puestos de caja inoperativos.

La creación y propagación de la bomba supuso para la querellante un elevado coste material, dada la cantidad de recursos propios y de terceros que precisó tanto para la detección, contención e investigación del origen del fallo de los múltiples equipos, como para su reparación".

El Ministerio Fiscal había calificado los hechos como constitutivos de un delito de daños informáticos del art. 264 bis 1. a) y c) y 2 en relación con el art. 264.2 apartado 2° y apartado 5º en relación con el artículo 264 ter a) CP. Banco Santander, S.A. y PRODUBAN SERVICIOS INFORMÁTICOS GENERALES, S.L., consideraron que los hechos son constitutivos de un delito de daños informáticos previsto y penado en el art. 264 bis 1. a) y c) y 2, en relación con el art. 264.2 apartados 2°, 3° y 5°, en relación con el art. 264 ter a) CP.

La sentencia dictada por la Audiencia excluyó la aplicación de la agravación contenida en el art. 264.2 apartado 2º CP, pero su razonamiento se concretó a la exclusión de la agravación 2ª del citado precepto, omitiendo cualquier razonamiento sobre la exclusión de las circunstancias contempladas como 3ª y 5ª.

Por su parte, el Tribunal Superior de Justicia, al resolver el recurso de apelación formulado por el Ministerio Fiscal, considera que concurría también la agravación contenida en el art. 264.2.5ª en relación con el art. 264 ter a) CP, al haberse valido el acusado de un programa informático infectado de sustitución, como es la bomba lógica cuya creación el hecho probado atribuye al acusado.

El art. 264 ter a) CP se refiere a la utilización de un programa informático concebido o adaptado principalmente para cometer el delito.

De esta forma describe no solo la creación de un programa informático, sino también su adaptación para cometer el delito.

En nuestro caso, el hecho probado se refiere a la utilización de una bomba lógica o código malicioso que fue introducida por el acusado en el sript "RF.BOOT.VBS", que consistía en una aplicación o software que va incrustado en varios códigos y que su principal objetivo era realizar un ataque malicioso a la parle lógica del ordenador.

El acusado escribió nuevas líneas de código en el sript "RF.BOOT.VBS" (visual basic script), procediendo por ello a modificarlo, programando la ejecución de dicho código a partir del día 20 de marzo de 2017 para conseguir la modificación de la configuración de arranque del SO de las máquinas Windows 7 de las oficinas del Banco de Santander.

Para ofrecer un concepto de programa informático la Audiencia Provincial ha acudido a las definiciones que contienen los distintos Instrumentos europeos de lucha contra la cibercriminalidad (Instrumento de Ratificación del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001; Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo) así como a la Ley de Propiedad Intelectual. A ellas nos remitimos en este momento con el fin de evitar repeticiones.

Únicamente cabe ahora recordar que el considerando 16 de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo, señala que "Dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los "instrumentos" que pueden utilizarse para cometer las infracciones enumeradas en la presente Directiva. Dichos instrumentos pueden ser programas informáticos maliciosos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ciberataques".

Y en consonancia con ello, el art. 2 b) define los "datos informáticos" como "toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función".

En análogo sentido, el art. 1 del Convenio sobre la Ciberdelincuencia, hecho en Budapest el 23 de noviembre de 2001, define el "sistema informático" como "todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa. Y por "datos informáticos" entiende "cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función".

En base a ello, el programa informático se incluye dentro del concepto de dato informático, pudiendo aquel definirse como un conjunto de líneas de código, o lo que es lo mismo, un conjunto de instrucciones escritas en algún lenguaje de programación. El programa es el que le dice a una computadora qué hacer. Estas instrucciones están escritas en un lenguaje de programación (conjunto de líneas de código), pero tienen que ser compiladas o interpretadas para correr y hacer lo que se les pide.

Y esto es precisamente lo que describe el hecho probado. El acusado introdujo en el script "RF.BOOT.VBS" utilizado por el banco para el reinicio programado de los ordenadores, una bomba lógica (aplicación o software que va incrustado en varios códigos), con el fin de realizar un ataque malicioso a la parte lógica de un ordenador y provocar la inhabilitación o inutilización de equipos del Banco de Santander, como así sucedió.

El concepto de bomba lógica proviene del término en inglés LogicBomb, y no es sino un programa informático (un conjunto de líneas de código) que se instala en una computadora y permanece oculto hasta cumplirse una o más condiciones preprogramadas para entonces ejecutar una acción. Es un programa maligno que se activa al momento de realizar una acción, enviar un e-mail, ingresar a alguna aplicación, etc.

Este conjunto de líneas de código, y, por tanto, programa informático, con el fin y resultado ya descritos, se insertó en el script "REBOOT.VBS" de la máquina central del banco, que es la que gestionaba la configuración de los puestos de los usuarios, y a la que, a su vez, se accedió a través de la máquina de salto.

Finalmente, el informe emitido por Deloitte, al que el recurrente precisamente acude para fundar su pretensión, confirma la instalación del programa maligno por el recurrente. En el mismo se expresa que "Durante la investigación se ha encontrado que el incidente fue provocado por una bomba lógica que fue instalada en los equipos informáticos afectados de la forma que se describe más adelante en este mismo epígrafe.

La bomba lógica era una versión modificada del programa "Reboot.vbs" que usa el banco para el reinicio programado de los ordenadores. La versión dañina corrompía el sistema de arranque de los ordenadores, impidiendo que éstos pudieran reiniciarse correctamente, quedando inutilizados. Adicionalmente, la versión dañina se borraba a sí misma una vez que había realizado su tarea, para evitar ser detectado, sustituyéndose por una versión legítima del programa. (...)

En cuanto a la forma en que la bomba lógica fue instalada en los ordenadores, (...), los hechos identificados son los siguientes:

El usuario NUM001 planificó desde su ordenador el ataque, preparando comandos para implantar la bomba lógica en 42.977 ordenadores de la red del cliente el día 2/3/2017.

El usuario NUM000 llevó a cabo la infección de un subconjunto de los ordenadores planificados, usando para ello un ordenador denominado "máquina de salto" (identificado por el Banco con el nombre BVSNCONSP02), el día 2/3/2017.

El usuario NUM001 verificó que se habían depositado correctamente las bombas lógicas en una pequeña selección de equipos, desde la "máquina de salto", el 3/3/2017.

Desde el día 3/3/2017 hasta el día 21/3/2017 se produce un periodo de latencia en la que no hay evidencias de actividad.

El día 21/3/2017 se activa el código malicioso de la bomba lógica y produce los daños en los sistemas saboteados".

Así pues, el medio utilizado por el acusado integra sin lugar a duda la modalidad agravada contenida en el apartado a) del art. 264 ter CP.

El motivo por ello se desestima.

SEXTO.- La desestimación del recurso formulado por D. Sixto conlleva la condena en costas al recurrente, de conformidad con las previsiones del art. 901 LECrim.

Por todo lo expuesto, en nombre del Rey y por la autoridad que le confiere la Constitución, esta sala ha decidido

1) Desestimar el recurso de casación interpuesto por la representación procesal de D. Sixto contra la sentencia núm. 395/2021, de 24 de noviembre 2021, dictada por la Sala de lo Civil y Penal del Tribunal Superior de Justicia de Madrid, en el Recurso de Apelación núm. 425/2021, en la causa seguida por delito daños informáticos.

2) Imponer al recurrente el pago de las costas ocasionadas en el presente recurso.

3) Comunicar esta resolución a la mencionada Sala de lo Civil y Penal del Tribunal Superior de Justicia de Madrid, a los efectos legales, con devolución de la causa, interesando acuse de recibo.

Notifíquese esta resolución a las partes haciéndoles saber que contra la misma no cabe recurso e insértese en la colección legislativa.

Así se acuerda y firma.

Funcionalidades premium
  • Acceso al fondo completo de jurisprudencia
  • Búsqueda por voces
  • Búsqueda por legislación citada
  • Filtros avanzados
  • Alertas de búsqueda
  • Interrelación con modelos, doctrina y legislación
Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR