En el complejo campo del derecho penal informático, las fronteras entre acto preparatorio, tentativa fallida y una conducta atípica resultan particularmente difusas. La reciente Sentencia del Tribunal Supremo n.º 662/2025 arroja una luz crucial en esta materia, consolidando la doctrina sobre la punibilidad de la tentativa inidónea y fijando un criterio más definido para evaluar los intentos de acceso ilícito a sistemas de información.
Tabla de Contenidos
Antecedentes del caso
El recurso resuelto por el Alto Tribunal tiene su origen en la actuación del exresponsable informático de dos sociedades mercantiles querellantes y de su pareja, quien también trabajaba en una de ellas.
Ambos investigados intentaron en múltiples ocasiones acceder a la plataforma de almacenamiento remoto de las compañías con la finalidad de apoderarse de información sensible, como listados de clientes y documentación empresarial relevante. Tales hechos podrían subsumirse en el delito de descubrimiento de secretos de empresa previsto en el artículo 278 del Código Penal.
Para llevar a cabo dicha actuación, los acusados utilizaron credenciales que, en principio, eran plenamente válidas. Sin embargo, sus intentos fracasaron porque las empresas habían implementado un sistema de doble autenticación y habían modificado las contraseñas de acceso. Esta circunstancia resultaba totalmente desconocida para ellos y ajena a su voluntad.
La Audiencia Provincial de Barcelona, al entender que las contraseñas eran ya ineficaces, consideró que los medios empleados eran absolutamente inidóneos. En consecuencia, acordó el sobreseimiento libre, al no existir un peligro real para el bien jurídico protegido.
El núcleo de la cuestión jurídica: la perspectiva “ex ante” en la tentativa
El Tribunal Supremo centra su análisis en la correcta interpretación del artículo 16 CP, el cual se encarga de definir la tentativa. La clave del razonamiento radica en diferenciar entre dos modalidades de tentativa inidónea:
Tentativa absolutamente inidónea (o irreal): aquella en la que los medios empleados son, desde cualquier perspectiva objetiva, incapaces de producir el resultado (ej.: intentar envenenar con azúcar). Esta tentativa no es punible a efectos penales.
Tentativa relativamente inidónea: se produce cuando los medios son, en abstracto, aptos y racionales para causar el resultado, pero fallan por una circunstancia particular o accidental del caso concreto (ej.: disparar un arma que, sin saberlo el autor, está descargada). Esta tentativa sí que es punible a efectos penales.
Para realizar esta distinción, el Tribunal Supremo reitera su doctrina pacífica: la valoración de la idoneidad de la acción debe realizarse desde una perspectiva objetiva y ex ante. Esto significa que el análisis debe situarse en el momento en que el autor inicia la ejecución, evaluando si, para un observador objetivo con el conocimiento del plan del autor, la acción representaba un peligro real para el bien jurídico.
Como señala la sentencia, «cualquier persona en su lugar, con el conocimiento de las circunstancias que éste tenía, habría concluido que a priori el plan trazado se revelaba como posible y probable». La valoración ex post (una vez que se sabe que las contraseñas habían cambiado) llevaría a la despenalización de casi cualquier tentativa, pues por definición, toda tentativa fracasa por algún motivo.
El fallo del Tribunal Supremo: un peligro abstracto suficiente
Aplicando estos criterios, el Tribunal Supremo concluye que el plan diseñado por los investigados no era en absoluto irreal o descabellado. Al contrario, era un plan racional con altas probabilidades de éxito.
Analizando los elementos del tipo, se observa:
Idoneidad relativa: el medio utilizado, -las credenciales de exempleados con altos conocimientos técnicos-, era en abstracto perfectamente idóneo. El fracaso se debió a una circunstancia sobrevenida y desconocida por ellos (el cambio de contraseñas) que encaja perfectamente en la definición de tentativa relativamente inidónea.
Puesta en peligro del bien jurídico: la acción de los investigados generó un peligro, al menos abstracto, para los secretos empresariales. El Derecho Penal protege no solo de la lesión efectiva de los bienes jurídicos, sino también de su exposición a riesgos graves derivados de una conducta hostil.
Desvalor de la acción: el Tribunal Supremo pone el acento en el “desvalor de la acción”, es decir, la peligrosidad de la conducta, más que en el “desvalor del resultado”, el daño finalmente no producido. Los investigados dieron principio a la ejecución del delito con actos exteriores que objetivamente deberían haber producido el resultado.
Por todo ello, el Tribunal deja sin efecto el sobreseimiento libre y ordena la continuación del procedimiento, al considerar que los hechos son, indiciariamente constitutivos de un delito de descubrimiento de secretos de empresa en grado de tentativa.
Implicaciones y consecuencias prácticas
Esta sentencia proyecta relevantes implicaciones tanto a nivel jurídico como para las políticas de ciberseguridad empresarial.
Para los profesionales del derecho, el mensaje es claro, la defensa basada en la “imposibilidad fáctica” del resultado tiene un recorrido muy limitado. La línea divisoria entre la tentativa impune y la tentativa punible dependerá siempre de si el plan resulta
Para las empresas, se subraya la importancia crítica de implementar medidas de seguridad robustas y actualizadas, como la revocación inmediata de credenciales tras un despido y el uso de autenticación multifactorial. Aunque la tentativa sea punible, estas medidas son las que evitarán la consumación del delito y el daño real.
En definitiva, el Tribunal envía un mensaje claro: el ordenamiento jurídico no solo sanciona las lesiones efectivas de los bienes jurídicos, sino también los ataques que, aun frustrados por circunstancias ajenas al autor, evidencian una voluntad criminal inequívoca. Intentar acceder con credenciales aparentemente válidas constituye, y seguirá constituyendo, una conducta penalmente relevante.
Para más información o asesoramiento pueden ponerse en contacto con info@gimenezsalinas.es.
Los pactos de socios y la tendencia de los… Sumario: Los pactos parasociales y el eterno problema de su eficacia El principio de inoponibilidad del pacto frente a la sociedad y la tendencia a…
Sobre la convocatoria de junta y el abuso de… Versión en PDF I. Introducción: En el presente artículo analizaremos la Sentencia del Tribunal Supremo nº 282/2025 de 20 de febrero de 2025 (VLEX -1072475514),…
Mail de confirmación enviado a tu correo. Gracias!
Contáctanos sin compromiso
Nuestro équipo cuenta con amplia experiencia para la defensa de los intereses de nuestros clientes en todo tipo de conflictos mercantiles y empresariales. Contamos con la mejor estrategia interdisciplinar para afrontar tu caso.
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Siempre activo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
