Claves legales del ciberterrorismo en el sistema penal español

El ciberterrorismo engloba tanto el uso de Internet para actividades terroristas (propaganda, captación o financiación) como los ciberataques con fines políticos que buscan intimidar a la población o dañar infraestructuras críticas. España ha reforzado su respuesta penal alineándose con la normativa europea y tipificando conductas específicas que protegen la seguridad nacional frente a esta amenaza.

Concepto y tipología

La concepción amplia abarca “terrorismo a través de Internet”, es decir, cualquier actividad terrorista organizada en línea. La concepción estricta, o “ciberterrorismo puro”, exige dos elementos: un ciberdelito y la finalidad de intimidar, coaccionar o desestabilizar un Estado u organización internacional.

Ciberterrorismo en sentido estricto

En esta categoría se incluyen ataques contra sistemas informáticos que sustentan infraestructuras críticas —aeropuertos, hospitales o centrales nucleares— cuando procuran causar pánico o graves daños económicos. Pregunta frecuente: ¿es lo mismo ciberdelito y ciberterrorismo? No; solo se considera ciberterrorismo cuando el ataque persigue fines terroristas definidos en la Directiva 2017/541.

Ciberterrorismo y derecho de la Unión Europea

La Directiva 2013/40/UE armoniza los delitos contra los sistemas de información y obliga a penalizar el acceso ilícito, la interferencia en datos y el abuso de dispositivos. La Directiva 2017/541/UE exige castigar como terrorismo la destrucción masiva de infraestructuras o sistemas informáticos cuando se ponga en peligro la vida humana o la economía.

Ciberterrorismo y Código Penal español

El artículo 573.2 del Código Penal declara terroristas los delitos informáticos de los artículos 197 bis, 197 ter y 264 a 264 quater cuando persiguen fines terroristas. Además, impone la pena superior en grado al tipo básico.

Tipos penales

• Acceso e interceptación ilegal (197 bis): vulnerar sistemas o captar transmisiones sin autorización.
• Abuso de dispositivos (197 ter): programar o facilitar herramientas para atacar sistemas.
• Daños informáticos y denegación de servicio (264 y 264 bis): borrar o bloquear datos, especialmente si afectan a infraestructuras críticas.
• Facilitación de herramientas (264 ter) y responsabilidad de personas jurídicas (580 bis) completan el esquema sancionador.

Preguntas frecuentes:

• ¿Puede responder una empresa por ciberterrorismo? Sí; el 580 bis prevé multas y otras sanciones para personas jurídicas.
• ¿Existen agravantes? Daños a infraestructuras críticas o riesgo grave para el Estado elevan la pena a tipos agravados.

Futuros desafíos

La evolución de la inteligencia artificial y el modelo “crimen como servicio” facilita ataques más rápidos y complejos, obligando a la abogacía a dominar normativa europea, penal y de ciberseguridad. La cooperación internacional y la actualización constante de protocolos internos resultan esenciales para proteger datos y servicios críticos sin sacrificar derechos fundamentales. El ciberterrorismo seguirá exigiendo una respuesta jurídica coordinada y especializada.

• Aceptación de cookies, cookie wall y pago como alternativa: qué permite la AEPD
• ¿Cómo sé que mi empresa es un sujeto obligado de la Ley 10/2010?
• Protección de los menores en Internet: claves para garantizar sus derechos
• Contratos de outsourcing tecnológico: puntos críticos legales en España
• Transferencias internacionales de datos personales: retos y aspectos clave
• Fuerza mayor en contratos SaaS: cómo proteger tu empresa ante caídas y ciberataques