March 21, 2025

Daños informáticos: ¿Qué dice la ley sobre los ataques que afectan a empresas?

Cada vez más empresas, tanto grandes como pequeñas sufren ciberataques en España que producen daños informáticos, paralizan sus sistemas, roban datos o dañan la información que tienen en sus bases de datos.

Y la gran pregunta es: ¿qué dice la ley sobre estos delitos? ¿Se castigan? ¿Quién responde?

En este artículo te explicamos, cómo el Código Penal y la Directiva NIS-2 regulan estos daños informáticos producidos por ciberataques, cómo afectan a las empresas y qué consecuencias pueden tener.

¿Qué es un daño informático y cuándo se considera delito?

Un daño informático se produce cuando un hacker o una persona cualquiera, sin permiso, altera, borra o bloquea sistemas, programas o datos de una empresa, causando daños a dicha empresa.

En lenguaje sencillo: si un hacker entra y borra los archivos de una empresa o lanza un ransomware que deja todo inaccesible, estamos ante un más que posible acto delictivo.

Código Penal: qué artículos regulan el delito de daños informáticos

El Artículo 264 del Código Penal castiga con penas de prisión de 6 meses a 3 años a quien cause daños graves en sistemas informáticos. Pero si el ataque:

se hace desde una organización criminal,
causa perjuicios muy graves,
o afecta a servicios esenciales (hospitales, agua, electricidad),

Entonces la pena se aumenta de 2 a 5 años de prisión y multa.

Por otro lado, el Artículo 264 bis se centra en la interrupción de los servicios de la empresa o entidad pública. Dicho de otro modo, si el ciberataque impide que una empresa funcione, también se considera delito.

Pero ojo, las empresas también pueden ser responsables penalmente de estos actos, con multas si no han tomado las medidas de seguridad adecuadas.

Directiva NIS-2: más control para las grandes empresas

Desde octubre de 2024, está en vigor en España la Directiva NIS-2 de la Unión Europea.

Esta norma es de obligado cumplimiento para empresas medianas y grandes (más de 250 empleados o más de 50 millones de facturación), especialmente si operan en sectores críticos como salud, energía, transporte o servicios digitales.

¿Qué obliga a hacer la Directiva NIS-2?

Tener medidas de seguridad actualizadas: como planes de contingencia, copias de seguridad o cifrado de datos.
Notificar incidentes graves: si sufres un ataque, debes avisar en menos de 24 horas.
Supervisar la cadena de suministro: si trabajas con terceros, debes asegurarte de que también cumplen.
Formar a tus empleados: un clic en un correo de phishing puede costarte caro.

Además, los directivos pueden ser responsables personalmente si no se toman medidas. No basta con tener antivirus; hay que demostrar que se gestiona el riesgo de forma activa.

Ejemplos reales para entenderlo mejor

Imagina que una empresa de transporte sufre un ataque ransomware que paraliza sus rutas durante 48 horas.

No solo pierde dinero, sino que también se ve obligada a notificar el incidente.

Si no tenía protocolos de respuesta ni sistemas actualizados, puede recibir una multa del 2% de su facturación anual, además de dañar su reputación.

Esa misma empresa de servicios digitales con más de 300 empleados no informa de que en el mismo ataque expuso datos de miles de usuarios.

Las autoridades acaban sancionándola también con una multa de 5 millones de euros, según la Directiva NIS-2.

¿Y las pequeñas empresas?

En principio, la NIS-2 no se aplica a microempresas o pequeñas empresas (menos de 50 empleados), salvo que:

Operen en sectores críticos.
Sean proveedoras clave de otras empresas reguladas.
Ofrezcan servicios digitales relevantes (como alojamiento web o plataformas de pago).

Aun así, la recomendación es que implementen buenas prácticas en ciberseguridad, dado que también pueden ser víctimas o canal de entrada para atacar a otras empresas.

Como siempre, la prevención sale más barata

La normativa española protege a las empresas frente a delitos informáticos, pero también les exige una responsabilidad de las empresas.

El Código Penal castiga los ataques, y la Directiva NIS-2 obliga a prevenirlos.

Si tienes una empresa, lo mejor que puedes hacer es invertir en seguridad, formar a tu equipo y prepararte para lo peor.

¿Te gustaría saber qué medidas de seguridad son obligatorias para tu empresa según la ley?

Más vale prevenir que lamentarse después.

Sunkel&Paz: Despacho de abogados penalistas especializados en empresas.

Pídenos cita ahora.

Queremos ayudarte.

‍

VOLVER AL BLOG

POST RELACCIONADOS

March 27, 2025

Fraude contra la Seguridad Social y la AEAT: ¿Qué implica para las empresas?

Suponemos que habrás oído hablar del fraude a la Seguridad Social o a la Agencia Tributaria (AEAT), pero igual no tienes claro qué podría implicar si te acusaran de este delito. Consecuencias económicas y penales para ti y para tu negocio, para ambos, porque puede suceder. Si tienes una empresa, este artículo te interesa, y mucho, porque además de multas podrías acabar en prisión.

March 15, 2025

¿Tu empresa ha sido acusada de un delito contra la propiedad industrial?: Significado y consecuencias

Si tu empresa ha sido acusada de un delito contra la propiedad industrial, estás ante un problema muy serio que puede podría traerte elevadas sanciones económicas, consecuencias penales graves y daños reputacionales de difícil reparación. Este tipo delictivo implica que se están violando derechos exclusivos sobre patentes, marcas registradas, diseños industriales u otros elementos protegidos por la ley.

March 6, 2025

Contratación ilegal: las consecuencias de incumplir la normativa laboral

La contratación ilegal de trabajadores es una práctica que puede acarrear serias consecuencias legales para las empresas en España. Este tipo de acciones no solo vulneran los derechos de los trabajadores, sino que también pueden derivar en sanciones administrativas y condenas penales muy graves (entre 6 meses y 6 años de prisión).