Acerca de operadores lógicos
Última revisión
02/12/2021
Sentencia Penal Nº 221/2021, Audiencia Provincial de Madrid, Sección 29, Rec 1125/2020 de 22 de Abril de 2021
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 55 min
Orden: Penal
Fecha: 22 de Abril de 2021
Tribunal: AP - Madrid
Ponente: ALCALDE ALCALDE, NURIA
Nº de sentencia: 221/2021
Núm. Cendoj: 28079370292021100310
Núm. Ecli: ES:APM:2021:9154
Núm. Roj: SAP M 9154:2021
Encabezamiento
C/ de Santiago de Compostela, 96 , Planta 12 - 28035
Teléfono: 914934418,914933800
Fax: 914934420
audienciaprovincial_sec29@madrid.org
P
37051530
ILMAS. MAGISTRADAS:
Dª PILAR RASILLO LÓPEZ
Dª. MARÍA LUZ GARCÍA MONTEYS
Dª. NURIA ALCALDE ALCALDE (Ponente)
==========================================================
En MADRID, a veintidós de abril de dos mil veintiuno.
Antecedentes
Por parte de Banco Santander, S.A. y PRODUBAN SERVICIOS INFORMÁTICOS GENERALES, S.L., considero que los hechos son constitutivos de un delito de DAÑOS INFORMÁTICOS previsto y penado en el artículo 264 bis 1.a) y c) y 2, en relación con el artículo 264.2 apartados 2º, 3° y 5°, en relación con el artículo 264 ter a), del Código Penal.
Sin la concurrencia de circunstancias modificativas de la responsabilidad criminal.
Solicitando el Ministerio Fiscal se impusiera al acusado, con carácter principal, la pena de la pena de prisión de 5 años e inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y multa de 876,713.58 euros con responsabilidad personal subsidiaria de 30 días de privación libertad en caso de impago del artículo 53 del Código Penal y costas conforme a lo dispuesto en el artículo 123 del Código Penal. RESPONSABILIDAD CIVIL: El acusado deberá ser condenado a indemnizar en la cantidad de 292,237,86 euros a PRODUBAN por los perjuicios ocasionados y a el Banco Santander en la cantidad que se determine en la cantidad que se determine en fase de ejecución de sentencia con responsabilidad personal subsidiaria de la empresa NORMA 4 SERVICIOS INFORMATICOS S.A ( Art. 120.4 del Código penal)
Por la Banco Santander, S.A. y PRODUBAN SERVICIOS INFORMÁTICOS GENERALES, S.L. se interesó la pena de SIETE (7) AÑOS Y SEIS (6) MESES DE PRISIÓN, con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena, y multa de OCHOCIENTOS SETENTA Y SEIS MIL SETECIENTOS TRECE EUROS CON CINCUENTA Y OCHO CÉNTIMOS DE EURO (876.713,58€), ante cuyo impago quedará sujeto a responsabilidad personal subsidiaria de treinta (30) días de privación de libertad, conforme a lo dispuesto en el artículo 53 CP, con imposición de las COSTAS PROCESALES causadas, incluidas las de esta Acusación Particular. Al amparo de los artículos 109 y siguientes del Código Penal, el acusado, en tanto responsable civil directo, habrá de indemnizar a PRODUBAN SERVICIOS en la suma de DOSCIENTOS NOVENTA Y DOS MIL DOSCIENTOS TREINTA Y SIETE EUROS CON OCHENTA Y SEIS EUROS (292.237,86C).
Hechos
Del conjunto de prueba practicada a lo largo de las presentes actuaciones, ha resultado acreditado
El querellado, don Carlos Antonio era trabajador de la mercantil NORMA 4 SERVICIOS INFORMATICOS S.A a través de la cual prestó sus servicios a PRODUBAN hasta el 3 de marzo de 2017 desempeñando funciones de administrador de red prestando sus servicios en la Ciudad Financiara del Banco Santander sita en Boadilla del Monte y con ánimo de menoscabar el patrimonio ajeno creo una BOMBA LOGICA que consistía en una aplicación o software que va incrustado en varios códigos y que su principal objetivo era realizar un ataque malicioso a la parle lógica del ordenador para borrar ficheros , alterar el sistema o incluso inhabilitar por completo el sistema operativo de un PC, bomba lógica que tenía capacidad de permanecer suspendida o inactiva hasta que se cumpliera el periodo de tiempo establecido por el acusado y una vez que se activara ejecutar la acción maliciosa que había sido creada por Carlos Antonio y que programo para que se activara el día 20 de marzo de 2017 lo que motivo que el día 21 de marzo de 2017 se produjera la inhabilitación e inutilización de forma simultanea de 3168 equipos informáticos del Banco Santander en toda España provocando la falta de operatividad de los equipos afectados entre el dia 21 de marzo de 2017 al 27 de marzo de 2017 provocando problemas para el desarrollo de la actividad de 839 oficinas causando unos perjuicios tasados pericialmente en la cantidad de 292.237,86 euros
IBERMÁTICA, decidió prescindir de sus servicios en marzo de 2017, cesando, DON Carlos Antonio en la prestación de servicios a PRODUBAN y por ello, introdujo el día 2 de marzo de 2017 a las 17:27:43 horas un código malicioso de la forma anteriormente descrita en el script ' RF.BOOT.VTS' , para la cual uso los credenciales del usuario DIRECCION001( pero realmente la propagación del ataque fue planificada desde el ordenador del usuario DIRECCION000) que era utilizado a diario por PRODUBAN para la tarea administrativa de reinicio de los puestos clientes Windows 7 de Banco Santander España programando la ejecución de dicho código a partir del 20 de marzo de 2017 y asi conseguir la eliminación de la configuración de arranque del SO de las maquinas Windows 7 de las Oficinas del Banco Santander. Para ello, el querellado accedió, a través de su usuario , DIRECCION000 a la Máquina de Salto a fin de comprobar la exitosa instalación del software malicioso. A las 18:03:23 del mismo día 3 de marzo, el querellado, al objeto de ocultar su rastro, actualizó su ordenador portátil tratando de modificar, no obstante sin éxito, su dirección IP.
A las 9:11 del 21 de marzo de 2017, los responsables de PRODUBAN tuvieron noticia de un fallo que afectó a múltiples equipos informáticos de la RED. Concretamente, quedaron inutilizados e inhabilitados de modo simultáneo TRES MIL CIENTO SESENTA Y OCHO (3.178) equipos informáticos; inutilidad operativa que se prolongó durante SEIS (6) días, desde el 21 al 27 de marzo de 2017. Durante dicho período. OCHOCIENTAS TREINTA Y NUEVE (839) oficinas de la entidad padecieron graves dificultades para el desarrollo habitual de su actividad, al no poder realizar tareas que llevasen aparejado el uso de ordenadores, quedando VEINTIÚN (21) oficinas comerciales y más de un CENTENAR de puestos de caja inoperativos.
La creación y propagación de la bomba supuso para la querellante un elevado coste material, dada la cantidad de recursos propios y de terceros que precisó tanto para la detección, contención e investigación del origen del fallo de los múltiples equipos, como para su reparación.
Ezequias, representante Legal de PRODUBAN reclama por los perjuicios sufridos
Fundamentos
1. Realizando alguna de las conductas a que se refiere el artículo anterior.
2. Introduciendo o transmitiendo datos.
3. Destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.
Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
También se impondrá una pena de prisión de tres a ocho años y multa del triplo al décuplo del perjuicio ocasionado, cuando en los hechos a que se refiere el apartado anterior hubiera concurrido alguna de las circunstancias del apartado 2 del artículo anterior.
Además, como sucede en el apartado tercero del artículo 264, las penas previstas en los apartados anteriores se impondrán, en sus respectivos casos, en su mitad superior, cuando los hechos se hubieran cometido mediante la utilización ilícita de datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.
El lenguaje informático ofrece muchas versiones, pero cuando se habla de sistemas informáticos, se trata de sistemas que permiten almacenar y procesar información, hardware (computadoras, impresoras, escáneres, memorias, lectores de código de barras, estructura de una red de computadoras, etc) y software (manuales de uso, sistema operativo, archivos, documentos, aplicaciones, bases de datos, etc).
La Jurisprudencia se ha pronunciado en algunas ocasiones, así la SAP de Palencia Nº 42/2016, de 14 de junio, dice que en el que el precepto penal por el que los acusados son condenados castiga al que, por cualquier medio, obstaculizare o interrumpiere el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos (art 264.bis). La sentencia recoge que los acusados sustituyeron del sistema informático varias tarjetas de memoria con contenían archivos de audio e imagen que eran necesarios para las proyecciones de la exposición y sustituirlas por otras tarjetas que no eran las adecuadas para realizar correctamente las proyecciones, entra de lleno en el contenido del referido precepto penal. Recoge la sentencia que: 'Ambos acusados realizaron los hechos a sabiendas y con pleno conocimiento de que, con el cambio de las tarjetas originales de memoria por otras que no proyectaban correctamente, las proyecciones de la Exposición se tendrían que interrumpir como, en realidad, así ocurrió por cuanto al no entregar después los acusados las tarjetas necesarias, la Fundación referida tuvo que interrumpir la Exposición hasta maro de 2011'.
No se debe olvidar, como se expone en la resolución que el convenio sobre cibercriminalidad de Budapest 2001, citado por la parte recurrente en su escrito de apelación, cohonestado con la Directiva del Consejo de Europa de 2005, describe en su artículo 1.b como datos informáticos, toda representación de hechos de informaciones o de conceptos bajo una forma que se preste a tratamiento informático, incluidos los dirigidos a permitir que un sistema informático ejecute una función y la Decisión Marco, también en su artículo 1.b, define estos datos como cualquier representación de hechos, informaciones o conceptos creada o dispuesta de tal forma que permita su tratamiento por un sistema de información, incluido un programa gracias al cual se permite a dicho sistema realizar una función ( sentencia de la Audiencia Provincial de Madrid de 23 de octubre de 2015 ). En este sentido, se puede citar también el contenido del art. 5 de esa misma Convención Europea. En este caso, no estamos pues hablando, como parecen sostener los apelantes, de una simple película donde se veían y oían motivos relativos al Camino de Santiago, si no que la información estaba en formato informático. Es decir, que el material de video y audio instalado estaba en formato digital y para poder procesar esta información era necesario la intervención de un sistema informático, o sea la intervención de las tarjetas que contenían los archivos (hardware) y de aplicaciones específicas para poder procesarlos (software), circunstancias que definen un sistema informático.
Por ' datos informáticos' puede entenderse, a partir del tenor literal del art. 2º b) de la aludida y transpuesta Directiva 2013/40/UE Legislación citada que se aplica Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo., '...toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas informáticos...', que sirven para hacer que dicho sistema de información realice una función.
El concepto de ' programa informático' se recoge no sólo en aludida Directiva 2013/40/UE, '... como un conjunto de instrucciones que, una vez ejecutadas, realizan una o varias tareas en un ordenador o sistema, sirviendo para que el sistema de información realice su función...'. También en los arts. 95 y ss del Texto Refundido de la Ley de Propiedad Intelectual Legislación citada que se aplica Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes sobre la materia art. 95 (RD 1/ 1.996, de 12-4), el cual regula el derecho de autor sobre referidos programas, como una obra de creación intelectual, entendiéndose así y también literalmente, '...toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático, para realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su forma de expresión y fijación...'.
Para su punición se precisa que el programa informático sea 'malicioso', en el sentido que esté diseñado para infiltrarse, obtener información y/o dañar un dispositivo o sistema de información, sin el consentimiento de su propietario. La Circular de la FGE 3/17, respecto (entre otros) a los delitos de daños informáticos, se remite al Instituto Nacional de Ciberseguridad, considerando este literalmente '... que el software malicioso (malware) es una amenaza que utiliza múltiples técnicas y vías de entrada, como páginas web, correo electrónico, mensajería instantánea, dispositivos de almacenamiento externos como memorias USB, discos duros externos, Cds, Dvds, redes P2P, etc....'.
Se cuestiona en el presente juicio la creación de una bomba lógica por parte del querellado a fin de realizar un ataque malicioso a la parte lógica de un ordenador y provocar la inhabilitación o inutilización de equipos del Banco Santander.
Previamente a entrar en el análisis de las conductas efectuadas por el querellado entre el 19 y 30-10- 2.017, como también su acomodo a los diferentes delitos respecto a los que se ha formulado acusación, por razones de método debemos empezar explicando cómo funciona una 'bomba lógica'.
Una bomba lógica es un malware que se activa por una respuesta a un evento, como el lanzamiento de una aplicación o cuando se alcanza una fecha/hora específica. Los atacantes pueden usar bombas lógicas de varias maneras. Pueden incrustar código arbitrario dentro de una aplicación falsa, o caballo de Troya, y se ejecutarán cada vez que inicie el software fraudulento, y está diseñada para esperar hasta que visite un sitio web que requiera que inicie sesión con sus credenciales, como un sitio bancario o una red social. En consecuencia, esto activará la bomba lógica para ejecutar el keylogger y capturar sus credenciales y enviarlas a un atacante remoto.
Cuando una bomba lógica está programada para ejecutarse cuando se alcanza una fecha específica, se la denomina bomba de tiempo. Las bombas de tiempo se programan normalmente para que se activen cuando se alcanzan fechas importantes, como la Navidad o el Día de San Valentín. Los empleados descontentos han creado bombas de tiempo para ejecutar dentro de las redes de sus organizaciones y destruir la mayor cantidad de datos posible en caso de que sean despedidos. El código malicioso permanecerá inactivo mientras el programador esté en el sistema de nómina de la organización. Sin embargo, una vez eliminado, el malware se ejecuta.
En el delito analizado el ataque se realiza a la parte lógica del ordenador.
En base a ello, se acusa a don Carlos Antonio se haber creado una bomba lógica (en inglés denominado time bombs), introduciendo software, rutinas o modificaciones en los programas que dieron lugar a alteraciones del sistema en un momento posterior a aquél en el que se introdujeron por aquel. Dado que los disparadores de la bomba lógica pueden ser varios, desde las fechas del sistema, realizar una determinada operación o que se introduzca un determinado código que será el que determine su activación.
A efectos de claridad expositiva, resulta adecuado recoger la prueba practicada en el plenario.
En primer término, depone el querellado don Carlos Antonio, quien niega los hechos, declarando que hasta el 3 de marzo de 2017 trabajaba para Norma 4 que a su vez, tenía como cliente a Ibermática, que tenía contratado el servicio con Produban, que desempeñaba sus funciones en la ciudad financiera de Banco Santander, Leoncio, de Produban era su director, eran 4 subcontratados, y él dependía de Norma 4. En el Grupo Santander, dentro de ellos estuvo como en 6 empresas y Santander externaliza los servicios y el trabajador, si estaban contentos con él, iba pasando de una empresa a otra. Su el cargo era en el departamento de homologación y homologaba dispositivos financieros de banco, dispensadores, software... rechazaban u homologaban programas o sistemas informáticos, para eso tenía permisos en el interior de la nave, para esos ordenadores, desde su domicilio no podía acceder, solo desde dentro de la nave. Su relación laboral cesa el día 3 de marzo a las 6 de la tarde, le llamóo el comercial de Norma 4 y le comunicaron que cesaba sus servicios con Produban. Estuvo hasta las 7 de la tarde, le quitaron sus accesos DIRECCION000 era su usuario. El día 2 de marzo de 2017 probablemente estuvo en la nave, en esa nave había un compañero nuevo, Florian al que formó el declarante, el día 3 de marzo llegó sobre las 10 menos 10 y salió sobre las 7. A la máquina de salto se accede todos los días porque manda paquetes de distribución, cuando se afirma de contrario que solo accedieron 3 personas el dato es erróneo, el 2 de marzo de 2017, si accedió porque lo hacía todos los días desde su equipo, que era portátil, el usuario de Genaro DIRECCION001, accedió a la máquina de salto sin estar él pero el declarante no encuentra justificación. El día 3 de marzo accedió tres veces el último día y cada vez que recibe un paquete para homologar accede a la máquina para entregarlo, sabe que en su ordenador había muchos usuarios, hay 33.000 entradas para crear el archivo malicioso, no encuentra explicación de como en su equipo aparezca el fichero, en marzo de 2017 vivía en Ciempozuelos y era cliente de Banco Santander, no introdujo el sofware maliciosos ni borró los ficheros, no deshabilitó los mismos ni inhabilitó la sucursales ni infectó los equipos, un scrip sabe que es un archivo de comandos, no sabe introducir un archivo en un scrip, no puede introducir un código en un scrip. El despido fue por problemas en turnos y guardias, nunca se produjo ningún altercado con el e incluso estaba negociando las vacaciones una hora antes. El 2 y el 3 por la tarde estaban Florian y el declarante. En remoto se puede acceder a su equipo, pero en la nave solo puede acceder al equipo el declarante, cualquier administrador del sistema puede acceder a cualquier equipo. El día que le despidieron sintió decepción porque llevaba 17 años trabajando.
Al letrado de la Acusacion Particular dice que antes de las tareas de aquella fecha realizaba creación de MSI, antes creaba paquetes MSI y certificados, no le notificaron el despido días antes, Isidro era compañero y amigo, el día que le notificaron el correo fue cuando invitó a sus compañeros y de hecho tuvo que hacerlo desde su email. No tuvo que homologar ningún fichero reboot, el día 3 solo se conectó a la máquina de salto. no sabe porque había 40000 entradas en su ordenador.
Al letrado de representante Ibermática dice que le consta que era el responsable del servicio, había dos personas de Norma 4, el control, supervisión y dirección era de ibermática, primero negociaba vacaciones con Ibermática y luego lo comunicaba a Produban, sus vacaciones, horarios los negociaba con Ibermática y los salarios con Norma 4.
Finalmente a su letrada le dice que no fue despedido de Norma 4, solo fue despedido de Produban y luego empezó a prestar servicios en BBVA, no era administrador de red y gestiona los permisos de los usuarios en que grupo les meten, la labor de administrador era el área de sistemas, entre compañeros no conocían el número de usuarios, por control remoto cualquier administrador podía acceder al ordenador del banco y cambiar la clave del usuario, no ha obtenido ningún beneficio. No recuerda si ese día pudo ausentarse en algún momento de su puesto.
Ha depuesto como testigo en primer término, doña María Inmaculada, en quien no concurre duda alguna acerca de su imparcialidad, dado que no conoce al acusado, como jefa de seguridad de Produban explica que el día 21 de marzo de 2017 era la responsable de riesgo de Produban, se detectó que tres mil y pico ordenadores de más de 800 oficinas no arrancaban, se convoca el comité de crisis y se piensa que es un incidente operativo que ha producido el fallo informático, el equipo de microinformática se fueron desplazando a las oficinas y se apoyaron en el equipo de Microsoft y fueron arreglando ordenadores, el miércoles seguían arreglando ordenadores, y cuentan con un ciberseguro, que era Deloitte y Macafee, y se descartó que fuera un problema del antivirus, decidieron recuperar algún ordenador de los que no arrancaban para hacer análisis forenses. Recogieron tres ordenadores y en esos análisis, se listan ficheros y directorios luego la línea temporal y el 2 de marzo de ve que ha habido un cambio en el fichero de arranque, se detectó en los tres ordenadores, en los dos de Deloitte y en el de Microsoft, en el de Microsoft había puntos de restauración y se lo dieron a Deloitte y se sacaron fotos de los cambios de los sistemas, empezaron a pensar que había habido un sabotaje informático por el cambio en los sistemas de arranque, había un fichero rebut modificado, llamada bomba lógica, es un programa con una ejecución condicional, 'si pasa a haces b', 'si es mayor que el 20 de marzo, borras el fichero de arranque y luego te sobreescribes para que parezca que no ha pasado nada'. A las máquinas se llega o a través de una máquina de salto que es como un portal de entrada y ya puedes acceder a las máquinas de las oficinas o a través de una máquina de IBM, en la máquina de salto se observó conexiones del usuario a las oficinas y a las máquinas afectadas el día 3, se había conectado para comprobar que el fichero rebut estaba y cogieron el ordenador del usuario b, el ordenador estaba sin apagar, comprobaron que nadie lo había tocado desde el día 3 de marzo, el problema era el fichero rebut y se encontró un fichero Excel con más de 40000 líneas y era de todas las máquinas de las oficinas de Banco Santander. Había más usuarios accediendo a la máquina de salto y a las oficinas, se analizó ese ordenador del otro usuario y no se encontró nada, además ese ususario no estaba en la oficina el día 2. El trabajo de ambos usuarios era la homologación de software y allí hay maquetas donde pueden hacer maquetas sin acceder a las oficinas, de hecho, desde agosto de 2016 no se había conectado, todos los administradores podían acceder a la máquina de salto, desde fuera de las instalaciones no se puede acceder a la máquina de salto, no estaban dados de alto en la VPN, el equipo del acusado es el b, el código se distribuyó el día 2 y los logs de la máquina de salto son del usuario a que no estaba en las oficinas y en su equipo no se encontró nada. El que estaba el día 2 era el acusado, en su ordenador había una Excel de 40000 líneas, que se correspondía con los ordenadores, se había hecho un borrado masivo de datos el día 1 y el día 3 se había conectado al fichero rebud para ver si se había instalado correctamente. Fueron afectadas todas sucursales empezadas por 0 y por uno excepto la de 4, el acusado era administrador de red y tenía permiso de administrador, manejan informática a alto nivel, llegaron a la conclusión de que el día 2 solo estaba él en las instalaciones. Al folio 199, encontraron que el fichero había sido mandado a las 5 de la tarde y modificado en el mismo ordenador un poco más tarde.
La conexión con las claves del acusado se hace en bloque, se conecta a las máquinas de salto y luego se intenta cambiar el login y con eso se cambia el usuario, intentó borrar probablemente la dirección IP, intentaba borrar la traza de lo que había pasado, la modificación del rebud no es de gran complejidad, era claramente un sabotaje interno, porque tenían que conocer el trabajo en grupo Santander y el sistema.
El ordenador del acusado el día 21 estaba activo, el ordenador estaba ibernado, la suplantación de identidad es posible pero solo estaba él ese día a esa hora, no se ha encontrado evidencias de la suplantación, solo llegaron a esa conclusión porque era el único que se encontraba porque eran compañeros y podía conocer su usuario y su contraseña.
Doña Bárbara, responsable de Produban, declara que conoce al acusado. En marzo de 2017 era responsable de una empresa del grupo Santander y era responsable de los puestos de trabajo, llevaba el soporte de los ordenadores, programas, móviles, comunicaciones de oficinas, etc. El 20 de marzo empezaron a trabajar y entraban incidencias de puestos que no arrancaban y había puestos que no funcionaban, en torno a 3186 puestos afectaba a unas 800 oficinas, tardaron 7 días en restablecer el servicio total, tuvieron que ir a cada oficina arrancando con el pen drive y sustituyendo el fichero, sin servicio completo estuvieron 50 oficinas y sin servicio de caja ciento y algo, no cerraron al público pero algunas oficinas no podían atender, poco a poco iban arreglando, el acusado hacía un servicio que les daba el servicio dos empresas, una de ellas era Ibermática y el acusado dependía de esa empresa, pidieron al departamento de seguridad que comprobara si estaba el día dos en la empresa, y así fue, y descartaron la presencia de otra persona. No conoce a Florian, Carlos Antonio había estado primero en la parte de soporte y después en homologación, sabía como estaba montado, para acceder a las oficinas era acceder a la máquina de salto y los de homologación podían acceder y solo podían hacerlo desde dentro de la red del banco.
Don Isidro, técnico de Produban, dice que conoce al acusado y también a Banco Santander y a Produban, sabe que el acusado tuvo un problema por horarios y turnos pero no sabe cuándo, no sabe si fueron anteriores o no al despido, trabajaba en la finca y el acusado en la nave, le llamó Bárbara y le dijo que había oficinas que no habían podido arrancar y fueron a la oficina de correos, empezaban todas por 0 y por 1 menos 1 que empezaba por 4 y pertenecía a Ciempozuelos, supuso ir a cada oficina a solucionar el problema, alguna oficina estuvo hasta una semana, sabe que era costoso pero no sabe el coste, a Carlos Antonio le conoce desde hace más de 15 años, les invitó a tomar algo pero no sabe cuándo, cree que fue antes pero no lo sabe, casi siempre los técnicos conocen las contraseñas de sus compañeros, nunca le dijo que tuviera problemas con Santander.
Don Ezequias, afirma que no conoce al acusado, a Banco Santander y a Produban si porque era representante de Produban y director financiero. En el certificado de daños de mayo de 2018 contienen dos facturas de proveedores externos, afectó a una serie de máquinas que no se podían utilizar, la factura de deloitte se debe al importe total de los esfuerzos, no sabe si esa factura corresponde a la detección de problemas o a la reparación, se utilizó una tarifa de coste más margen, no se incluye el lucro cesante, son solo los costes a proveedores externos más esfuerzos de trabajadores para mitigar los problemas, no sabe si ese esfuerzo se pagó.
El Representante legal de Banco Santander, don Severino, como perjudicado no reclama, solo realiza reserva acciones civiles. Sabe que existe un contrato de servicios entre Banco Santander y Produban.
Para concluir don Teodulfo, autor del informe de Mcaffe, depone que no conoce al acusado. Intervino en el incidente, eran equipos que no arrancaban y en relación al incidente solicitaron muestras y archivos, hicieron un chequeo o no encontraron nada, siguieron investigando y en los archivos analizados encontraron archivos maliciosos. Analizaron archivos pero no tenían malware, no sabe si la operación podía hacerse por control remoto, no sabe si cualquier usuario podía hacerlo con los datos.
Don Victorino, aclara que lo que realiza no es un peritaje, sino un informe de una caída de un sistema (folios 309 y 310) y (183 -195), es empleado de la empresa Microsoft, se le llamó el segundo día para averiguar la causa y estuvo una semana investigando descartando un fallo del sistema y parecía una acción manual, no se pudo determinar la IPE del puesto cliente pero si del servidor, se había modificado un fichero y si la fecha era más del 20 de marzo, las máquinas no arrancarían, la modificación fue manual, todas las máquinas empezaban por 0 o por 1 excepto una que empezaba por 4, en cuanto al reinicio de la máquina se había hecho desde un servidor intermedio y el fichero se había mirado desde un usuario y de ahí estaba un fichero de Excel con todos los comandos, el que lanzó el ataque era un usuario y en el pc de otro usuario era donde estaba el fichero. Con posterioridad al cabio del usuario 1, el usuario 2 miró si el fichero había sido cambiado, lo cual les llevó a mirar al usuario 2 y era donde aparecían las 40.000 líneas. En cuanto a los folios 183 a 195, es la investigación que se hizo, lo ratifica. Se había intentado alterar la fecha de modificación y se había utilizado un fichero que lanzaba el fichero, cree que el segundo lo vio en el servidor intermedio. El usuario DIRECCION000 accede tres veces en 3 minutos el día 3 y son las oficinas que empiezan por 0. Cabe la posibilidad de que la acción se haga por control remoto, en realidad no conoce la operativa de Banco Santander, no se pudo determinar que la IPE desde la que se instaló la bomba lógica estuviera vinculada con Santander, no se pudo determinar que el PC se hubiera utilizado, no se sabe desde cual ni cuando se ha hecho, no se hizo en el momento, se sabe que el usuario fue a mirar, no la IPE
Para concluir los peritos de Deloitte, don Roman y don Luis Enrique ratifican el informe de 31 de julio de 2017. El día 21 de marzo de 2017 se declaró un incidente por una serie de ordenadores que no podían arrancar y en función de las investigaciones pensaron que eran un problema de producción y no de seguridad, más adelante encontraron un indicio de una bomba lógica y Microsoft lo relata y era un incidente de ciberseguridad, se recogió una muestra de ordenadores afectados y luego se encontró que el ataque venía por una máquina de salto desde la que se hacen operaciones de mantenimiento, identificándose a dos usuarios que habían tenido actividad con esos ficheros DIRECCION000 y DIRECCION001, desde el primero aparecía preparación de la actividad que luego fue realizada por el segundo, la infección se produjo desde la máquina de salto a través del usuario acabado en DIRECCION001 y la verificación desde el usuario DIRECCION000, en cuyo equipo apareció un fichero Excel, el DIRECCION000 preparó la máquina de asalto. La sesión con el usuario el DIRECCION001 no estaba registrada en el dispositivo de red pero si en la máquina de salto, luego esa persona ya estaba en la máquina de salto, es decir, se conecta ya dentro con otro usuario, por eso no se conecta desde su ordenador. A la defensa contesta que el banco dijo que el usuario no podía acceder remotamente, si no te han provisto del software, credenciales y permisos pueda hacerlo remotamente, esta acción se hizo desde el DIRECCION001, pero el acusado fue el DIRECCION000, se hizo desde la máquina de salto, no desde el ordenador del DIRECCION001, no ha habido ninguna evidencia de otra persona.
Su objeto material es un ' sistema informático', el cual puede ser definido con la indicada y transpuesta Directiva 2013/40/UE, que sigue el criterio de la precedente Decisión Marco, como '...todo aparato o grupos de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento...'.
Desde una perspectiva básica y ausente una definición en el DRAE, también se puede considerar al sistema informático como el conjunto de elementos que hacen posible el tratamiento automático de la información, estando compuesto por:
A).- Los elementos físicos de cualquier ordenador, que componen el hardware, constituido este por todos los aparatos electrónicos y mecánicos que realizan los cálculos o el manejo de la información, estando constituido (entre otros) por el microprocesador, que está alojado en la placa base, la memoria, el almacenamiento externo, pendrive, etc.
B).- Los elementos lógicos, que componen el software, constituido este por las aplicaciones y datos con los que trabajan los elementos físicos del sistema, siendo definido el software por el DRAE como '...el conjunto de programas, instrucciones y reglas informáticas, para ejecutar ciertas tareas en una computadora...'. Por tanto y dentro del software cabe incluir, ejemplificativamente, el sistema operativo, el firmware (o programa informático que controla los circuitos internos), las aplicaciones, bases de datos o el driver (programa informático que permite al sistema operativo interactuar con sus periféricos), siendo este una pieza esencial del software y particularmente de su sistema operativo, para que funcionen adecuadamente (entre otros) la impresora, escáner, tarjetas gráficas, de sonido o red, la placa base, etc.
Cabiendo, incluso, la posibilidad de incluir en ese concepto el elemento 'humano', constituido no sólo por el usuario del sistema informático, también por las personas técnicas que, entre otros cometidos, elaboran las aplicaciones o subsanan sus deficiencias.
A partir del art. 264 bis 1 a), se sancionan todas las acciones descritas en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. art. 264 bis (01/07/2015) art. 264, 1 CP, como borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos, programas informáticos o documentos electrónicos ajenos, conceptos estos ya definidos en el precedente Fundamento de Derecho, en el sentido que el efecto pretendido a través de esas acciones, que en definitiva se produce, afecte no sólo a los elementos aislados que integran el sistema, sino que también incida en la operatividad funcional del propio sistema de información.
A través del art. 264 bis 1 c) CP, también se sanciona el destruir, 'dañar' o ' inutilizar' un sistema informático y se incluye y se agrava la responsabilidad, si los hechos hubieran perjudicado de forma ' relevante la actividad normal de una Administración pública', circunstancia esta que, como así resulta en el ámbito Penal, deberá acreditarse en cada supuesto por a quien corresponde, la acusación, pues la mayor o menor relevancia del perjuicio dependerá del tipo de actividad que la misma desarrolle, como de la entidad del organismo de que se trate.
Consecuentemente como afirma CFGE, '...el legislador ha considerado notablemente más graves y peligrosas, porque así lo son efectivamente, las acciones dirigidas contra el sistema informático en su conjunto, que provocan su interrupción u obstaculización de forma grave su normal funcionamiento, respecto de aquellas otras que afectan exclusivamente a los datos, programas o documentos electrónicos, aún cuando tengan incidencia, al menos indirecta, en el sistema en que se integran, siempre que no impliquen una pérdida significativa en la funcionalidad del mismo...'.
Por 'indicio' debe entenderse, con el FD 2 B) de la STS de 17-4- 2.015, '... todo rastro, vestigio, huella, circunstancia y, en general, todo hecho... debidamente comprobado, susceptible de llevarnos por vía de inferencia al conocimiento de otro hecho desconocido. Precisamente por ello, se ha dicho que más que una prueba estaríamos en presencia de un sistema o mecanismo intelectual para la fijación de los hechos.... En cualquier caso...la prueba indiciaria supone un proceso intelectual complejo, que reconstruye un hecho concreto a partir de una recolección de indicios. Se trata...de partir de la constatación de unos hechos mediatos para concluir otros inmediatos. Y como quiera que cuando se pone en marcha la cadena lógica nos adentramos en el terreno de las incertidumbres, la necesidad de un plus argumentativo se justifica por sí sola. El juicio histórico y la fundamentación jurídica han de expresar, con reforzada técnica narrativa, la hilazón lógica de los indicios sobre los que se construye la condena. El proceso deductivo ha de quedar plasmado en toda su extensión, permitiendo así un control de la racionalidad del hilo discursivo mediante el que el órgano jurisdiccional afirma la condena...Como precisa la STC de 22-11-2 .008, la jurisprudencia constitucional, desde la STC de 17-12- 1 .986, insiste en que a falta de prueba directa de cargo también la prueba indiciaria puede sustentar un pronunciamiento condenatorio, sin menoscabo del derecho a la presunción de inocencia... '.
En igual sentido, por citar entre las STS de 4-11-2.019 y 23-2- 2.017 o las STC 22-9 y 22-7- 2.014.
Llegándose incluso a afirmar, en el FD Segundo de la STS de 26-10- 2.016, que '... la prueba indiciaria es a veces fuente de certezas muy superiores, a las que brindaría una pluralidad de pruebas directas, unidireccionales y concordantes... '.
Pero la prueba indiciaria, para fundamentar una sentencia condenatoria, precisa de la concurrencia de una serie de requisitos, unos de naturaleza 'material', como que los indicios sean plurales, aunque también resulta factible excepcionalmente que concurra uno sólo, pero dotado este de un singular valor acreditativo. Estén plenamente acreditados. Sean concomitantes al hecho que se trate de probar. Como que estén interrelacionados, de modo que se refuercen entre sí.
También de unas exigencias 'formales', como que la sentencia que utilice este medio probatorio exprese cuáles son los indicios que considera acreditados, que sirvan de base a la consecuente deducción o inferencia. Igualmente, que la sentencia explique entre sus razonamientos, partiendo de dichos indicios, cómo se ha llegado a la convicción sobre el concreto acto punible y a la participación del acusado, explicación que precisa por tanto ser 'razonada'.
Trasladando lo anteriormente referido al caso presente, nos encontramos con que del conjunto de prueba practicada, podemos afirmar, con la necesaria certeza ( art. 741LECr) para emitir sentencia condenatoria, que fue precisamente el acusado quien introdujo el día 2 de marzo de 2017 a las 17:27:43 horas un código malicioso de la forma anteriormente descrita en el script ' RF.BOOT.VTS' , para la cual uso los credenciales del usuario DIRECCION001 ( pero realmente la propagación del ataque fue planificada desde el ordenador del usuario DIRECCION000) programando la ejecución de dicho código a partir del 20 de marzo de 2017 y asi conseguir la eliminación de la configuración de arranque del SO de las maquinas Windows 7 de las Oficinas del Banco Santander, accediendo a la máquina de salto a través del usuario DIRECCION000, y así:
1º.- A las 9:11 del 21 de marzo de 2017, los responsables de PRODUBAN tuvieron noticia de un fallo que afectó a múltiples equipos informáticos de la RED, comenzando una investigación por la que resultan inutilizados e inhabilitados de modo simultáneo TRES MIL CIENTO SESENTA Y OCHO (3.178) equipos informáticos; inutilidad operativa que se prolongó durante SEIS (6) días, desde el 21 al 27 de marzo de 2017. Durante dicho período, OCHOCIENTAS TREINTA Y NUEVE (839) oficinas de la entidad padecieron graves dificultades para el desarrollo habitual de su actividad, al no poder realizar tareas que llevasen aparejado el uso de ordenadores, quedando VEINTIÚN (21) oficinas comerciales y más de un CENTENAR de puestos de caja inoperativos. (Folios 20 a 135 informe pericial de DELOITE y MICROSOFT)
2º D. Carlos Antonio (usuario ' DIRECCION000'), suplantando la identidad del usuario ' DIRECCION001' (correspondiente a su compañero de mesa), introdujo, a las 17:27:43 del 2 de marzo de 2017 (es decir, en su penúltimo día PRODUBAN), la citada bomba lógica mediante la modificación del programa 'Reboot.vbs', que es el que ejecuta la tarea de arranque diario de los equipos de la RED de BANCO SANTANDER. Así doña María Inmaculada, explica el que estaba el día 2 era el acusado, en su ordenador había una Excel de 40000 líneas, que se correspondía con los ordenadores, se había hecho un borrado masivo de datos el día 1 y el día 3 se había conectado al fichero reboot para ver si se había instalado correctamente. La suplantación de identidad es posible pero solo estaba él ese día a esa hora se conecta a las máquinas de salto y luego se intenta cambiar el login y con eso se cambia el usuario.
3º. Conforme acreditan las periciales aportadas junto al escrito de querella, un día después de la implantación de la bomba (concretamente, a las 15:21:59 del día 3 de marzo de 2017), el querellado accedió, a través de su usuario , DIRECCION000, a la Máquina de Salto a fin de comprobar la exitosa instalación del software malicioso. A las 18:03:23 del mismo día 3 de marzo, el querellado, al objeto de ocultar su rastro, actualizó su ordenador portátil tratando de modificar, no obstante sin éxito, su dirección IP. (Folios 20 a 135 informe pericial de DELOITE y MICROSOFT) Doña María Inmaculada explica pormenorizadamente cómo una máquina de salto que es como un portal de entrada y ya puedes acceder a las máquinas de las oficinas o a través de una máquina de IBM, en la máquina de salto se observó conexiones del usuario a las oficinas y a las máquinas afectadas, el día 3, se había conectado para comprobar que el fichero reboot estaba y cogieron el ordenador del usuario b, el ordenador estaba sin apagar y el ordenador del usuario DIRECCION000 no se había tocado desde el día 3. Don Victorino autor del informe a los folios 309 y 310 y 183 a 195, confirma lo declarado por la testigo perito doña María Inmaculada que indica que el que lanzó el ataque era un usuario y en el pc de otro usuario era donde estaba el fichero. Don Roman y don Luis Enrique indican que en el análisis se identifica a dos usuarios que habían tenido actividad, la infección se produjo desde la máquina de salto a través del usuario acabado en DIRECCION001 y la verificación desde el usuario DIRECCION000.
3º Si bien dicho software malicioso fue introducido, como se ha dicho, en fecha 3 de marzo de 2017, fue programado para activarse días después, en fecha 21 de marzo, evitando de este modo el querellado ser vinculado con dicho ataque. Doña María Inmaculada indica que el ordenador del acusado el día 21 estaba activo, pero hibernado, el ordenador estaba sin apagar, comprobaron que nadie lo había tocado desde el día 3 de marzo.
4º La única persona que estaba en la instalación el día de los hechos era el acusado usuario DIRECCION000, constando las fechas y horas de entrada y salida de la empresa Doña Bárbara depone que pidieron al departamento de seguridad que comprobara si estaba el día dos en la empresa, y así fue, y descartaron la presencia de otra persona.
5º Según los informes periciales analizados y las explicaciones ofrecidas en el acto del juicio, el día 3 el querellado entra hasta en 3 ocasiones para comprobar el archivo.
6º En su ordenador se encuentra un archivo Excel con más de 40000 líneas y era de todas las máquinas de las oficinas de Banco Santander.
7º Había sido despedido días antes, y tenía relación de amistad con el usuario DIRECCION001. Don Isidro, quien declara que sabe que el acusado tuvo un problema por horarios y turnos, a Carlos Antonio le conoce desde hace más de 15 años, les invitó a tomar algo pero no sabe cuándo, cree que fue antes pero no lo sabe, casi siempre los técnicos conocen las contraseñas de sus compañeros.
8º. No se podía realizar el ataque en remoto, era preciso conocer la estructura del banco Santander y según sus labores realizadas, debía conocerlo. El trabajo de ambos usuarios era la homologación de software, desde fuera de las instalaciones no se puede acceder a la máquina de salto, no estaban dados de alto en la VPN.
Ya que, conforme así pusimos de manifiesto a lo largo del precedente Fundamento de esta resolución, la conducta desplegada por el acusado, efectivamente cabe conceptuarlas como de ' daños informáticos' en cuanto a las acciones efectuadas, con un resultado también 'grave'. Tales como los ' datos informáticos' de los diferentes ordenadores, conforme al concepto de ese objeto material contenido en el art. 2º b) de la Directiva 2013/40/ UE Legislación citada que se aplica Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo.
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. art. 264 bis (01/07/2015), '...el legislador ha considerado notablemente más graves y peligrosas, porque así lo son efectivamente, las acciones dirigidas contra el sistema informático en su conjunto, que provocan su interrupción u obstaculización de forma grave su normal funcionamiento, respecto de aquellas otras que afectan exclusivamente a los datos, programas o documentos electrónicos, aún cuando tengan incidencia, al menos indirecta, en el sistema en que se integran, siempre que no impliquen una pérdida significativa en la funcionalidad del mismo...'
Consecuentemente y a partir de la prueba practicada, existen indicios suficientes de la participación de Carlos Antonio en los hechos por los que también viene acusado: Un delito del art. 264 bis, 1,a) CP, en relación al art. 264 ter CP.
Por su parte, el también acusado art. 264 bis, 1, c) párrafo segundo agrava la pena a su mitad superior, pudiendo llegar a la pena superior en grado en el caso que '...los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o Administración pública...'. 'Relevancia' que consta se ha producido en el caso y ello por cuanto que se produjo solo una ralentización de su actividad ordinaria, sino que llegaron a interrumpirse 125 operaciones y afectar de una u otra manera, por un lapso de tiempo, a más de 3.000 oficinas.
Respecto a la posibilidad de aplicar en el caso lo dispuesto en el art. 264, 2, 2CP , al que se remite el art. 264, bis, 2 CP, consideramos que ninguna de estas circunstancias concurre de la prueba obrante, y así:
En lo concerniente al art. 264, 2, 2ª CP, en el sentido que derivado de las diferentes conductas del acusado se '...hayan ocasionado daños de especial gravedad o afectado a un número elevado de sistemas informáticos...'. Pues para la apreciación de esta agravante específica bastaría con que hubiera concurrido cualquiera de esas dos circunstancias, establecidas con carácter disyuntivo. O bien la '...especial gravedad...', para cuya concreción resulta factible poner en relación ese concepto con lo establecido en los arts. 235,3 Legislación citada que se aplica Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. art. 235 ; 250,4 y 5 CP, referidos a otros delitos patrimoniales como el hurto o la estafa, los cuales señalan el tope mínimo de 50.000€ para que a partir de ellos se deba aplicar esta circunstancia, que no constituye el caso, atendiendo no sólo a los 24.684 € y ello por cuanto ese es el coste externo de Produban, por conceptos tales como daños materiales en los sistemas informáticos afectados, así como los costes derivados de los equipos de mocroinformática de detección por importe de 8.500 euros y ello por cuanto, como veremos al analizar la responsabilidad civil, no puede atenderse a los costes relativos a contención/investigación ni los de recuperación de Informática El Corte Inglés, por lo que no han de incluirse en el perjuicio patrimonial para calificar el delito.
Incluso, aplicando el concepto más amplio como criterio de valoración, tampoco concurriría esta posibilidad de la prueba obrante, pues, con la SAP 23ª de Madrid (FD Primero) fechada el 10- 1- 2.017, para su concurrencia debe atenderse a parámetros tales como '...la posibilidad o no de recuperar los datos informáticos, la pérdida definitiva de los mismos o la posibilidad de su recuperación y, en este último caso, el coste económico de la reparación del daño causado, la complejidad técnica de los trabajos de recuperación, el valor del perjuicio causado al titular de los datos, bien como lucro cesante o daño emergente...'. Ya que, a partir de las órdenes de trabajo efectuadas por Microinformática no supusieron pérdida o daños de equipos, solo un coste de recuperación de los sistemas.
O bien se precisa que haya '... afectado a un número elevado de sistemas informáticos...', debiendo acudirse para una mayor concreción de este concepto a la mencionada Directiva 2013/40/UE y particularmente a su considerando 13, el cual manifiesta, literalmente, que '... es conveniente establecer sanciones más severas cuando el ciberataque se realiza a gran escala y afecta a un número importante de sistemas de información, en particular cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada...'.
Considerando literalmente mencionada CFGE 3/17, que la razón de ser de esta agravación se encuentra en '...el especial riesgo que generan aquellos ataques en los que se ven afectados un número considerable de ordenadores que a su vez, y tras ser infectados, pueden servir para poder llevar a efecto un ataque masivo y coordinado...por ello, y con independencia de que la cantidad de sistemas afectados pueda ser un factor a tener en cuenta...la circunstancia recogida en el segundo inciso habría de aplicarse más específicamente en los supuestos en los que se vieran afectados un número tal de sistemas, que pudieran generar el riesgo de un ataque masivo de dichas características...', que no constituyó el caso, de la prueba practicada.
Consecuentemente y por todo lo expuesto, concurren en la conducta del acusado, los presupuestos contenidos en el art. 264 bis, 1,a) y c) CP en relación con el art. 264 ter CP.
Pero teniendo además en cuenta el contenido del art. 66,6 CP, que hace referencia a la individualización de la pena, comprendiéndose en ella los principios de culpabilidad y proporcionalidad, en atención a las circunstancias personales del acusado y que se trata de unc conducta aislada (entre otras, STS de 18- 2-2.010 ó 21-9- 2.005), la pena en definitiva a imponer es la de UN AÑO, NUEVE MESES Y UN DÍA DE PRISION, y ello por cuanto no se aprecian circunstancias que aconsejen la imposición de una pena mayor, con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena.
Teniendo en cuenta que los perjuicios ocasionados a PRODUBAN, los cifra en a un total de 292.237,86 €, consecuencia de las intervenciones y recuperaciones en los diferentes ordenadores sobre los que actuó.
No cabe duda que ha incluirse la cantidad que Produban abonó a Deloitte por cuanto que se trataba de un proveedor externo al que hubo de contratar para la contención de la primera respuesta del incidente y que ascendió a la cantidad de 24.684 € (debidamente ratificado el informe pericial en el acto del juicio). También ha de incluirse, por cuanto que se trata de gastos necesarios que tuvo que afrontar la empresa y que supuso destinar a sus trabajadores a la realización de trabajos de detección, en lugar de realizar otras funciones, los 8.500 euros, que la parte ha calculado estimando una dedicación horaria del 25% , que parece razonable en atención a las dimensiones del incidente, con un precio medio/hora de 60 euros, cuestión con la que ninguna parte ha mostrado oposición o discrepancia.
En cuanto a los costes de contención/investigación de personal interno, tal y como se explica en el concepto por el que se solicita la indemnización, se trata de personal empleado interno de análisis forense e investigación, más lo cierto es que, por un lado, ese concepto ya aparece recogido en el coste de detección, y por otro, la empresas que contrató PRODUBAN para realizar esas labores de contención fueron Deloitte y Microsoft, luego no se entiende que hayan de ser doblemente indemnizados, máxime si tenemos en cuenta que, detectado el ataque, nada impedía acudir a las autoridades a fin de que se procediera a realizar una investigación o análisis forense por cauces policiales y/o judiciales.
No resulta posible atender a la factura relativa al coste de recuperación de Micorinformática El Corte Inglés, por importe de 205.053,86 €, por cuanto que, lo cierto es que, de la prueba obrante no puede afirmarse con certeza, que el mismo se haya producido. La responsabilidad civil derivada de la penal supone la restauración del orden jurídico- económico alterado por la segunda, restauración que debe operar siempre sobre realidades y no respecto a hipotéticos perjuicios que, englobados en el amplio concepto de indemnización y como perjuicio propiamente dicho y ganancia dejada de obtener, no son susceptibles de presunción legal y consecuentemente deben ser probados de manera cierta por quien pretende percibirlos, por lo que debe ser rechazado en el plano estrictamente jurídico aquello que implique consecuencias dudosas, supuestos posibles pero inseguros, meros cálculos, hipótesis o suposiciones, conforme así manifiestan (entre otras) las STS 1ª de 5 y 16-5- 1.998.
Por tanto, tratándose de una responsabilidad civil ( art. 1.092 y concordantes del CC ) derivada de la penal, la acción civil mantiene su naturaleza, con lo cual debe ser reconducida esta a los principios que rigen en ese orden civil, como son los de aportación de parte, dispositivo, carga de la prueba ( art. 217LEC ), rogación y congruencia, entre otros, estos dos últimos vinculados al principio acusatorio penal. En ese caso, nada se preguntó en el acto de la vista relativa a los trabajadores de El Corte Inglés, en ningún momento se mencionó esta intervención, ni se trajo a ningún responsable para explicar los trabajos realizados, luego dado que la prueba corresponde a la parte, no puede recogerse este concepto.
Consecuentemente, la suma de los conceptos sí reconocidos asciende a 33.184 € (8.500,00 + 24.684), a los que debe sumarse los intereses contenidos en el art. 576LEC .
La STS 330/2019 (pese a no tratar sobre responsabilidad penal de persona jurídica como tal) arroja cierta luz al respecto. En el caso concreto, el condenado como autor de delito de apropiación indebida es un empleado de la entidad, siendo esta responsable civil subsidiaria. Al hilo de los recursos interpuestos por ambas partes, se plantea la posibilidad de que la existencia de un Sistema de Compliance pueda ser también vía para la extinción de la responsabilidad civil de la persona jurídica por el delito cometido por el trabajador. En esto, el Tribunal responde de forma clara exponiendo que 'A partir de la introducción de un sistema de responsabilidad penal de personas jurídicas, esos Corporate Compliance, en la terminología anglosajona, pueden operar como causas exoneradoras de la responsabilidad penal de la persona jurídica; pero no pueden afectar en principio ni a las responsabilidades civiles; ni menos aún a la responsabilidad penal de las personas físicas responsables de delitos dolosos cometidos en el seno de una empresa.'
La responsabilidad civil subsidiaria de la entidad Norma 4 deriva, sin duda, de la aplicación del artículo 120 del Código Penal, que en su apartado 4 reza que serán civilmente responsables 'las personas naturales o jurídicas dedicadas a cualquier género de industria o comercio, por los delitos que hayan cometido sus empleados o dependientes, representantes o gestores en el desempeño de sus obligaciones o servicios'. En palabras del TS, 'la responsabilidad civil subsidiaria se fundamenta no sólo en la culpa in eligendo [...] sino también en la culpa in vigilando'; añadiéndose igualmente que 'el responsable civil subsidiario responde de lo mismo que el responsable penal, aunque solo en defecto de éste [...] y no se exige constatar en concreto la presencia de culpa de ese tercero civil responsable'.
La responsabilidad de Produban en este caso es clara, pues es la que tenía directamente contratado a don Carlos Antonio, y es la que pagaba sus nóminas, como ha reconocido el propio acusado, independiente de que luego prestara sus servicios en otras empresas o entidades, y así lo ha declarado la STS 76/2017, de 9 de febrero, S 31/2017, de 26 de enero y como de hecho ha ocurrido en este caso, en base al artículo 120.4 CP, por los delitos que hayan cometido 'sus empleados o dependientes, representantes o gestores en el desempeño de sus obligaciones o servicios'. Explica el TS que: '...para delimitar los supuestos en que el empleado o subordinado vincula la responsabilidad civil subsidiaria de su principal puede atenderse a la doctrina de la apariencia. Así la STS. 348/2014 de 1.4, precisa que 'el principal ha de responder si el conjunto de funciones encomendadas al autor del delito le confieren una apariencia externa de legitimidad en su relación con los terceros, en el sentido de permitirles confiar en que el autor del delito está actuando en su condición de empleado o dependiente del principal, aunque en relación a la actividad concreta delictiva el beneficio patrimonial buscado redundase exclusivamente en el responsable penal y no en el principal
Teniendo en cuenta que Don Carlos Antonio será absuelto del delito de daños informáticos del art. 264.2 apartado 2º y 5º CP, por el que venía a la presente causa por la acusación particular y por el Fiscal, deben declararse de oficio el 50 % de las costas procesales causadas.
Pero habida cuenta que esa persona será condenada como autora responsable de un delito de daños en sistemas informáticos del art. 264 bis, 1, a y c) CP en relación con el del art. 264 ter CP, deben imponérsele el pago del 50 % de costas procesales restantes e incluidas las de las Acusaciones Particulares, al resultar homogéneas las calificaciones de estas partes, en relación con las del Fiscal y ello por cuanto que sus actuaciones han sido relevantes, material y procesalmente, siendo fundamentales las periciales aportadas.
Fallo
Que debemos ABSOLVER y ABSOLVEMOS a D. Carlos Antonio, del delito de daños informáticos del art. 264.2 apartado 2º y 5º CP por el que venía acusado, declarándose de oficio el 50 % de las costas procesales causadas.
Que debemos CONDENAR y CONDENAMOS a D. Carlos Antonio, como autor criminalmente responsable de un delito de daños en sistemas informáticos, del art. 264 bis, 1, a y c) CP en relación con el del art. 264 ter CP, ya definidos y sin la concurrencia de circunstancias modificativas de la responsabilidad criminal, a la pena de SIETE MESES DE PRISION, con la accesoria de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de condena. Como al abono del 50 % de las costas procesales, incluidas las de las Acusaciones Particulares.
En concepto de responsabilidad civil, D. Carlos Antonio indemnizará al PRODUBAN en la suma de 33.184 € €, con responsabilidad personal subsidiaria de NORMA 4 SERVICIOS INMOBILIARIOS S.A. (Hoy ALUBAY SPAIN S.A.) con más los intereses correspondientes.
Notifíquese la presente Sentencia, de la que se unirá certificación al correspondiente rollo de Sala, a las partes y a los ofendidos y perjudicados, aunque no se hayan mostrado parte en el procedimiento, instruyéndoles que contra la misma cabe RECURSO DE APELACION ante esta Audiencia para ante la Sala de lo Civil y Penal del Tribunal Superior de Justicia dentro de los DIEZ DIAS siguientes al de la última notificación de la sentencia que se tramitará conforme a lo establecido en los arts.790 LECRIM , 791 y 792 de la LECR .
Así, por esta nuestra Sentencia, que se anotará en los Registros correspondientes lo pronunciamos, mandamos y firmamos.