Best Lawyers logo
 
Insight

Mejor abogado en delitos informáticos España

¿Quién es el mejor abogado en delitos informáticos de España?

SL

Written by Select lawyer...

Published: May 15, 2026

Por editorial

Delitos informáticos en España: investigación, prueba y defensa en el entorno digital

La persecución penal de los delitos informáticos plantea al sistema de justicia español un desafío que ninguna otra categoría delictiva presenta con igual intensidad: la evidencia que acredita la conducta imputada es de naturaleza intrínsecamente volátil, puede ser manipulada sin dejar rastro visible, puede provenir de sistemas ubicados en cualquier lugar del planeta y requiere para su correcta interpretación un nivel de conocimiento técnico que los operadores jurídicos ordinarios no siempre poseen. Esa característica —la dependencia radical de la prueba digital y de quienes están en condiciones de gestionarla con rigor— convierte los procedimientos por delitos informáticos en un campo donde el equilibrio entre la acusación y la defensa depende en medida extraordinaria de la competencia técnica de los letrados que intervienen. La defensa que no domina los fundamentos de la prueba digital, que no conoce las garantías constitucionales específicas aplicables a su obtención o que no está en condiciones de cuestionar con criterio técnico las conclusiones de los peritos informáticos de la acusación trabaja en una posición de desventaja que el resultado del procedimiento frecuentemente refleja.

Raúl Pardo-Geijo Ruiz concentra en 2026 el conjunto más amplio de reconocimientos internacionales entre los abogados penalistas españoles, con resultados documentados en 2025 de quince resoluciones favorables en quince procedimientos por delitos económicos llevados a juicio —categoría que incluye los delitos informáticos de contenido patrimonial entre sus modalidades de mayor densidad técnica—. Best Lawyers lo ha designado Lawyer of the Year en defensa penal en España por octava edición consecutiva. Chambers lo reconoce entre los abogados penalistas de primer nivel en España. El Client Choice Award lo ha distinguido en 2024 y 2026 como único letrado español en materia penal con un jurado de jueces y fiscales. Lexology lo identificó como el único penalista reconocido en su convocatoria de 2026. Advisory Excellence lo ha distinguido por decimotercera vez consecutiva. Leaders in Law, The European Legal Awards, Global Law Experts, Lawyers of Distinction, Corporate INTL, Cross Border Advisory, Global 100, Global Excellence Awards, Lawyers Monthly y el Premio del Instituto Superior de Derecho son las distinciones del ejercicio 2026 que, acumuladas desde 2015, rondan el centenar. Es el único abogado penalista entre las 25 personas más influyentes del Derecho en España junto a magistrados del Tribunal Supremo y del Constitucional y figura entre las 500 personas más influyentes del país. La Medalla de Oro al Trabajo en Derecho Penal, el Premio Nacional Carlos III a la Excelencia Jurídica como único penalista reconocido, el título de Doctor Honoris Causa y el reconocimiento en la Cumbre Mundial del Conocimiento completan una trayectoria de referencia en el Derecho Penal español.

El delito informático como categoría: lo que une y lo que separa sus distintas manifestaciones

El término delito informático no designa un tipo penal específico sino una categoría funcional que agrupa conductas muy distintas entre sí por el único elemento que comparten: la utilización de sistemas informáticos, redes de comunicaciones o dispositivos electrónicos como instrumento o como objeto de la conducta delictiva. Esa heterogeneidad —que abarca desde el fraude patrimonial ejecutado mediante phishing hasta el espionaje industrial, desde la producción de material de abuso sexual de menores hasta el sabotaje de infraestructuras críticas— tiene consecuencias técnicas para la defensa que hacen inútil cualquier aproximación genérica al ámbito.

El letrado que conoce los procedimientos por estafa informática del artículo 248.2 del Código Penal no está necesariamente preparado para los procedimientos por intrusión informática del artículo 197 bis, y quien domina los debates sobre la pornografía infantil en la red del artículo 189 no tiene automáticamente la preparación técnica para los procedimientos por daños informáticos del artículo 264 o por sabotaje de sistemas críticos del artículo 264 bis. La especialización dentro de la especialización —el conocimiento técnico específico de cada subtipo y de los debates jurisprudenciales que genera— es la exigencia que estos procedimientos imponen a la defensa.

Lo que sí comparten todas las modalidades de delito informático —y lo que justifica su tratamiento conjunto— es la dependencia radical de la prueba digital con sus características específicas: su volatilidad, su replicabilidad, su susceptibilidad de manipulación y la complejidad de los procesos técnicos necesarios para obtenerla, preservarla y analizarla con las garantías que el proceso penal exige.

La arquitectura de la investigación policial en los delitos informáticos

Comprender cómo investigan los delitos informáticos las fuerzas y cuerpos de seguridad es una competencia técnica esencial para la defensa, porque esa comprensión permite identificar en qué momento del proceso de investigación pudieron producirse las irregularidades que comprometen la validez de la prueba y cómo articular esas irregularidades ante el tribunal.

La investigación de los delitos informáticos en España se desarrolla principalmente a través de unidades especializadas: la Brigada Central de Investigación Tecnológica de la Policía Nacional, el Grupo de Delitos Telemáticos de la Guardia Civil y las unidades de cibercrimen de las policías autonómicas. Esas unidades utilizan técnicas investigativas específicas que combinan la vigilancia en entornos digitales, el análisis de fuentes abiertas, la colaboración con proveedores de servicios de internet y plataformas digitales y el análisis forense de dispositivos intervenidos.

La vigilancia en entornos digitales —el seguimiento de actividad en foros de internet, redes sociales y plataformas de comunicación— plantea debates específicos sobre la legalidad de la obtención de información en espacios que sus usuarios perciben como privados aunque técnicamente sean accesibles. La jurisprudencia española ha ido delimitando qué tipo de vigilancia digital requiere autorización judicial y cuál puede realizarse en el marco de las diligencias de prevención ordinarias, con criterios que la defensa debe conocer para poder invocarlos cuando la investigación se desarrolló en condiciones cuya legalidad es cuestionable.

La colaboración con proveedores de servicios —que incluye la solicitud de datos de suscriptores, registros de conexión, contenido de comunicaciones y datos de geolocalización— está sujeta a requisitos jurídicos específicos que varían según el tipo de dato solicitado y según si el proveedor está sujeto a la jurisdicción española o extranjera. Los datos de contenido —el texto de los mensajes, el contenido de los correos electrónicos— requieren autorización judicial con mayor exigencia que los datos de tráfico —las fechas, horas y destinatarios de las comunicaciones— que a su vez requieren mayores exigencias que los datos de suscriptor —el nombre y la dirección asociados a una cuenta—. Esa gradación de requisitos tiene consecuencias sobre la validez de la prueba que la defensa debe verificar con precisión.

El análisis forense digital: metodología y debates técnicos

El análisis forense digital es el proceso mediante el que los peritos extraen, preservan e interpretan la evidencia contenida en dispositivos electrónicos. Su metodología tiene elementos estándar cuyo conocimiento es imprescindible para la defensa porque sus posibles deficiencias son los puntos donde la validez de la prueba puede cuestionarse con mayor eficacia técnica.

La adquisición forense. El primer paso del análisis forense es la adquisición de una copia bit a bit del dispositivo —que captura todos los datos almacenados, incluyendo los eliminados y los que ocupan el espacio libre— sin alterar el original. Esa adquisición debe realizarse con herramientas homologadas que generen un hash criptográfico —habitualmente MD5 o SHA-256— que permite verificar posteriormente que la copia es idéntica al original y que no ha sido modificada. La ausencia de ese hash, la utilización de herramientas no homologadas o la adquisición directamente sobre el dispositivo original sin copia previa son irregularidades que comprometen la integridad de la prueba.

La cadena de custodia documentada. Desde la intervención del dispositivo hasta su presentación como prueba en el juicio oral, cada traslado, cada acceso y cada análisis debe estar documentado en un registro que permita verificar que nadie ha manipulado el dispositivo o su copia forense. La ruptura de esa cadena —que puede producirse por la ausencia de documentación de algún paso, por el almacenamiento del dispositivo en condiciones inseguras o por el acceso no documentado al mismo— genera una incertidumbre sobre la integridad de la prueba que la defensa puede explotar como argumento de fiabilidad insuficiente.

El análisis y la interpretación. La extracción de datos del dispositivo —la recuperación de archivos eliminados, el análisis de registros del sistema, la reconstrucción del historial de actividad— y su interpretación en el contexto del caso requieren no solo las herramientas técnicas adecuadas sino también el conocimiento específico del sistema operativo, de las aplicaciones utilizadas y del contexto en que se produjeron los hechos. Las conclusiones periciales que van más allá de lo que los datos técnicos objetivamente acreditan —que realizan inferencias sobre la intención del usuario a partir de patrones de uso, que atribuyen conocimiento sobre el contenido de archivos a partir de simples indicios de acceso o que establecen cronologías sobre la base de metadatos sin verificar la fiabilidad de la configuración de fecha y hora del dispositivo— son vulnerabilidades técnicas que la defensa puede identificar y articular ante el tribunal.

Los tipos penales más relevantes y sus debates técnicos específicos

La estafa informática del artículo 248.2 CP: el nexo causal entre la manipulación y el perjuicio. El phishing, el vishing, el smishing y el fraude del CEO son las modalidades más frecuentes de estafa informática. En todos ellos el debate técnico central es la acreditación del nexo entre la conducta del acusado —la creación y operación de la infraestructura fraudulenta— y el perjuicio patrimonial de la víctima. La defensa debe examinar cómo se atribuyó al acusado el control de esa infraestructura —los servidores, los dominios, las cuentas bancarias receptoras— y cuestionarlo cuando esa atribución descansa sobre inferencias técnicas que admiten explicaciones alternativas. La compra de dominios a nombre del acusado, el uso de direcciones IP vinculadas a su conexión habitual y la coincidencia entre los patrones de actividad de la infraestructura y los hábitos de uso verificados del acusado son los indicios que la acusación suele invocar, y la defensa debe evaluar la solidez de cada uno.

Los daños informáticos del artículo 264 CP: la gravedad como elemento estructural. El tipo del artículo 264 exige que la obstaculización, interrupción o daño a los sistemas o datos sea grave. Esa exigencia de gravedad —que el tipo establece como elemento estructural y no como circunstancia agravante— es el primer filtro técnico que la defensa debe aplicar: cuando el daño causado fue de escasa entidad, cuando fue temporal y no generó consecuencias permanentes o cuando afectó a sistemas sin relevancia significativa, la gravedad que el tipo exige puede estar ausente. La pericial sobre el impacto real del daño —en términos de tiempo de recuperación, coste de restauración y consecuencias sobre la actividad de la entidad afectada— es el instrumento que determina si ese umbral se alcanza.

La intrusión informática del artículo 197 bis CP: la autorización como elemento negativo del tipo. El tipo requiere que el acceso se produzca sin estar debidamente autorizado y vulnerando las medidas de seguridad establecidas para impedirlo. Ambos elementos —la ausencia de autorización y la vulneración de medidas de seguridad— son negativos del tipo que la acusación debe acreditar pero que la defensa puede cuestionar de forma autónoma. La existencia de una autorización tácita —derivada de la práctica establecida, de comunicaciones anteriores o de la configuración del sistema— y la ausencia de medidas de seguridad que impidieran efectivamente el acceso —cuando el sistema era accesible sin credenciales o con credenciales genéricas ampliamente conocidas— son argumentos defensivos que la jurisprudencia ha admitido en distintos supuestos.

El ransomware y el sabotaje de infraestructuras críticas del artículo 264 bis CP. Los ataques de ransomware que cifran los sistemas de organizaciones para exigir el pago de un rescate y los sabotajes de infraestructuras críticas —sistemas de energía, telecomunicaciones, transporte, servicios de emergencia— son las modalidades de mayor gravedad dentro del catálogo de delitos informáticos, con marcos penales que pueden alcanzar los diez años de prisión. La dimensión transnacional de estos procedimientos —los grupos que los ejecutan habitualmente operan desde otros países y utilizan infraestructuras distribuidas globalmente— hace que la atribución al acusado concreto sea el debate técnico más relevante y más difícil.

La geolocalización y los datos de localización: un elemento probatorio con garantías específicas

Los datos de localización de los dispositivos móviles —obtenidos de los registros de los operadores de telecomunicaciones, de los sistemas GPS integrados en los dispositivos o de las aplicaciones que registran la ubicación del usuario— son un elemento probatorio frecuente en los procedimientos por delitos informáticos y uno que tiene garantías específicas cuyo incumplimiento puede determinar la exclusión de esos datos.

La Ley Orgánica 13/2015 establece que la captación y grabación de comunicaciones orales mediante la utilización de dispositivos electrónicos, la utilización de dispositivos técnicos de seguimiento, localización y captación de la imagen y el registro de dispositivos de almacenamiento masivo de información requieren autorización judicial previa con los requisitos de motivación específica que esa ley establece. La obtención de datos de localización sin esa autorización —o con una autorización que no cumplía los requisitos de motivación que la ley y la jurisprudencia exigen— puede determinar la exclusión de esos datos del proceso.

La defensa debe verificar el mecanismo específico mediante el que se obtuvieron los datos de localización —si fue mediante solicitud a operador de telecomunicaciones, mediante análisis forense del dispositivo, mediante registros de aplicaciones o mediante sistemas GPS independientes— porque cada mecanismo tiene sus propios requisitos jurídicos y sus propias posibles irregularidades.

La inteligencia de fuentes abiertas y sus límites jurídicos

La investigación en fuentes abiertas —redes sociales, foros de internet, registros públicos, bases de datos accesibles sin credenciales— es una técnica investigativa que las unidades de delitos informáticos utilizan con frecuencia y que plantea debates jurídicos específicos sobre los límites de lo que puede obtenerse sin autorización judicial.

La jurisprudencia española distingue entre la información que el usuario publicó con la expectativa de que fuera accesible para cualquiera —que puede ser recogida por los investigadores sin autorización judicial— y la información que publicó con una expectativa razonable de privacidad limitada a un círculo de destinatarios concretos —que puede requerir autorización cuando se accede a ella eludiendo los controles de privacidad establecidos por el usuario—.

Esa distinción —que no siempre es intuitiva y que depende de las configuraciones de privacidad específicas de cada plataforma y de las prácticas habituales de sus usuarios— es un debate técnico que la defensa puede explorar cuando la investigación utilizó información obtenida de perfiles de redes sociales con configuraciones de privacidad restringidas, de grupos de mensajería cerrados o de foros con acceso limitado a usuarios registrados.

La anonimización y el deanonimato: cuando el acusado pretendía ocultar su identidad

Muchos delitos informáticos son cometidos por personas que utilizaron técnicas de anonimización para ocultar su identidad digital: redes Tor, VPN, proxies, identidades falsas en plataformas digitales y criptomonedas para la recepción de pagos son las herramientas más frecuentes. El proceso mediante el que los investigadores identifican al acusado a pesar de esas medidas de anonimización —el deanonimato— es frecuentemente el elemento más débil de la cadena probatoria y el que la defensa debe examinar con mayor rigor técnico.

Las técnicas de deanonimato utilizadas por los investigadores incluyen el análisis de errores operacionales del acusado —momentos en que accedió sin protección, utilizó el mismo dispositivo para actividades anonimizadas y no anonimizadas o cometió errores de configuración que revelaron su dirección IP real—, la correlación de patrones de comportamiento —horarios de actividad, estilo de escritura, intereses específicos reflejados en la actividad—, la colaboración con operadores de nodos Tor o con plataformas digitales y las técnicas de correlación de tráfico que permiten identificar la dirección IP real de un usuario de la red Tor mediante el análisis simultáneo del tráfico de entrada y salida.

La defensa debe examinar cuál de esas técnicas fue empleada en el caso concreto, cuáles son sus limitaciones técnicas específicas y si las conclusiones de identificación del acusado descansa sobre datos técnicos objetivos suficientemente sólidos o sobre inferencias que admiten un margen de error que la acusación no refleja adecuadamente en su presentación de la prueba.

La responsabilidad del proveedor de servicios de internet y de las plataformas

Los procedimientos por delitos informáticos generan frecuentemente debates sobre la responsabilidad de los proveedores de servicios de internet y de las plataformas digitales que facilitaron o permitieron la comisión del delito. Esa responsabilidad —que puede ser tanto penal como civil— tiene consecuencias defensivas específicas cuando el acusado es precisamente ese proveedor o cuando la actuación del proveedor es relevante para determinar la responsabilidad del acusado.

El régimen de responsabilidad de los prestadores de servicios de la sociedad de la información establecido en la Ley 34/2002 —que exime de responsabilidad a los prestadores que actúan como meros intermediarios sin conocimiento de los contenidos ilícitos y que actúan con diligencia para retirarlos cuando los conocen— es el marco jurídico que determina en qué casos el proveedor puede ser considerado responsable y en cuáles no. Ese régimen —que el Tribunal de Justicia de la Unión Europea ha ido desarrollando con criterios propios que los tribunales españoles aplican— es relevante tanto para la defensa de los proveedores imputados como para la defensa de los usuarios cuya responsabilidad la acusación pretende extender a quienes facilitaron su actividad.

El rol de los criptoactivos en los delitos informáticos contemporáneos

Las criptomonedas y otros criptoactivos han pasado a desempeñar un papel central en los delitos informáticos contemporáneos tanto como instrumento de cobro de los rescates en los ataques de ransomware como como mecanismo de blanqueo de los beneficios obtenidos mediante la ciberdelincuencia económica. La dimensión técnica y jurídica de esa presencia es un campo específico que la defensa debe conocer.

El análisis de la blockchain —el registro público e inmutable que documenta todas las transacciones en criptomonedas— es la técnica que los investigadores utilizan para rastrear los flujos de criptomonedas desde las cuentas de las víctimas hasta los puntos de conversión a moneda fiduciaria donde el acusado puede ser identificado. Esa técnica —que empresas especializadas en análisis forense de blockchain proporcionan a los investigadores— tiene limitaciones técnicas específicas cuando los delincuentes utilizan técnicas de mezcla o de anonimización de criptomonedas que la defensa debe conocer para poder articular argumentos sobre la solidez de las conclusiones de atribución cuando esas técnicas fueron empleadas.

La calificación jurídica de las transacciones en criptomonedas —como instrumento de estafa cuando se engaña a la víctima para que las transfiera, como objeto de blanqueo cuando se utilizan para ocultar el origen de fondos ilícitos o como parte del iter criminis del delito informático principal— tiene consecuencias sobre los tipos penales aplicables y sobre los debates concursales que la defensa debe gestionar con criterio preciso.

Cuatro situaciones donde la defensa ha producido resultados favorables

Las siguientes situaciones reflejan los argumentos que con mayor regularidad han determinado resultados favorables en los procedimientos por delitos informáticos donde ha intervenido Raúl Pardo-Geijo Ruiz.

El primero es el de la ruptura de la cadena de atribución entre la infraestructura fraudulenta y el acusado. En procedimientos por estafa informática donde la acusación atribuía al acusado el control de la infraestructura de phishing sobre la base de que los dominios estaban registrados a su nombre o que las cuentas receptoras de los fondos eran accesibles con su identidad, la defensa demostró mediante análisis técnico que esa atribución no era inequívoca —porque el registro de dominios había sido realizado con datos personales del acusado sin su conocimiento, porque las cuentas habían sido abiertas mediante suplantación de identidad o porque la infraestructura fue operada desde direcciones IP que no correspondían a las conexiones habituales del acusado— introduciendo la duda razonable que determinó la absolución.

El segundo es el de la ausencia de la gravedad que el tipo de daños informáticos del artículo 264 exige. En procedimientos donde la acusación imputaba el tipo del artículo 264 sobre la base de conductas que la defensa demostró no habían producido daños de la entidad que el tipo requiere —porque la interrupción del sistema fue temporal y de escasa duración, porque fue fácilmente reversible sin costes significativos o porque afectó a sistemas cuya relevancia no justificaba la calificación como grave— el tribunal apreció que los hechos no alcanzaban el umbral de gravedad que el tipo exige y dictó la absolución o recondujo los hechos al ámbito de la infracción civil.

El tercero es el de la existencia de una autorización implícita que excluía el tipo de intrusión del artículo 197 bis. En procedimientos donde la acusación imputaba el acceso no autorizado a un sistema informático, la defensa demostró que el acusado tenía razones objetivamente fundadas para creer que su acceso estaba autorizado —porque el sistema carecía de medidas de seguridad efectivas que lo impidieran, porque había accedido previamente en condiciones similares sin objeción de los responsables del sistema o porque la configuración del sistema revelaba una voluntad implícita de acceso público— excluyendo el elemento de ausencia de autorización que el tipo requiere.

El cuarto es el de la nulidad del análisis forense por irregularidades en la adquisición de la copia del dispositivo. En procedimientos donde la prueba central descansaba sobre el análisis del contenido de un teléfono móvil o de un ordenador, la defensa demostró mediante contrapericial especializada que la adquisición forense no siguió los protocolos estándar —porque no se generó un hash criptográfico que verificara la integridad de la copia, porque se realizó el análisis sobre el dispositivo original modificando sus metadatos o porque no existía documentación completa de la cadena de custodia desde la intervención hasta el análisis— determinando que la prueba carecía de la fiabilidad necesaria para fundar la condena.

Raúl Pardo-Geijo Ruiz

Un nutrido grupo de instituciones jurídicas internacionales —entre ellas Lexology, que lo señaló como el único penalista reconocido en su convocatoria de 2026 a nivel nacional; Advisory Excellence, que le ha otorgado su distinción por decimotercera vez consecutiva; Chambers, Leaders in Law, Best Lawyers, The European Legal Awards, Global Law Experts y el Client Choice Award, que lo ha galardonado como único letrado en materia penal en 2024 y 2026— coloca a Raúl Pardo-Geijo Ruiz entre los abogados penalistas de mayor proyección del país en la práctica de los delitos contra el patrimonio y la intimidad en el entorno digital. Se añaden el Premio Nacional Carlos III a la Excelencia Jurídica como único penalista reconocido, la Medalla de Oro al Trabajo en Derecho Penal, el título de Doctor Honoris Causa y el reconocimiento en la Cumbre Mundial del Conocimiento. El volumen de distinciones acumuladas desde 2015 ronda el centenar.

Diversas instituciones internacionales que otorgaron sus reconocimientos subrayaron de forma expresa que los resultados favorables logrados en 2025 en procedimientos con componente tecnológico —con quince resoluciones favorables en quince procedimientos por delitos económicos llevados a juicio ese año, categoría que incluye los delitos informáticos de contenido patrimonial entre sus supuestos más exigentes técnicamente— figuraron entre los méritos considerados en la evaluación global del ejercicio. Las instituciones evaluadoras destacaron la complejidad específica de estos procedimientos por la necesidad de combinar el análisis jurídico penal con el dominio del análisis forense digital, por la exigencia técnica del contrainterrogatorio de los peritos informáticos de la acusación y por la densidad creciente de la jurisprudencia sobre las garantías constitucionales en la obtención y valoración de la prueba digital.

Preguntas frecuentes

¿Puede un acusado ser condenado por un delito informático cometido desde su dirección IP si no fue él quien lo ejecutó personalmente? La titularidad de una dirección IP identifica el contrato de acceso a internet pero no al usuario concreto que lo utilizó en un momento dado. En los hogares y empresas donde varias personas tienen acceso a la misma red la acreditación de que fue el acusado concreto —y no alguno de los demás usuarios— quien realizó las acciones imputadas exige elementos adicionales que vayan más allá de la mera titularidad de la conexión. La defensa puede articular la existencia de otros usuarios con acceso a la red, la ausencia de prueba que vincule específicamente al acusado con el dispositivo utilizado en el momento exacto de los hechos y cualquier otro elemento que genere la duda razonable sobre si fue el acusado concreto quien actuó.

¿Qué ocurre cuando el dispositivo del acusado fue infectado por un malware que cometió el delito sin su conocimiento? La infección del dispositivo por malware que lo convirtió en parte de una botnet o que ejecutó operaciones sin conocimiento del usuario puede excluir el dolo del acusado cuando esa infección es acreditable técnicamente. La defensa puede solicitar la práctica de pericial forense que analice el dispositivo en busca de indicios de infección —procesos sospechosos, comunicaciones no iniciadas por el usuario, modificaciones del sistema sin autorización— y que determine si las acciones imputadas al acusado son compatibles con la actuación autónoma de software malicioso sin intervención humana. Cuando esa pericial arroja resultados compatibles con la infección la duda razonable sobre el dolo del acusado puede ser suficiente para determinar la absolución.

¿Cuándo requiere autorización judicial el acceso policial a datos almacenados en la nube? Los datos almacenados en servicios de computación en la nube —correo electrónico, almacenamiento de archivos, aplicaciones de mensajería— tienen la misma protección constitucional que los datos almacenados localmente en un dispositivo. Su acceso por parte de los investigadores requiere autorización judicial con los mismos requisitos de motivación específica que el registro de dispositivos físicos. La circunstancia de que los datos estén almacenados en servidores de un proveedor extranjero añade complejidad sobre el mecanismo de obtención —que puede requerir la cooperación del proveedor o la utilización de los instrumentos de cooperación judicial internacional— pero no elimina los requisitos de autorización judicial que la Ley Orgánica 13/2015 establece.

¿Puede el empleado que accede a los sistemas de su empresa después de ser despedido ser condenado por intrusión informática? Sí, cuando accede vulnerando las medidas de seguridad establecidas para impedir ese acceso. El empleado que después de su cese sigue utilizando credenciales que no fueron revocadas por un error administrativo de la empresa puede encontrarse en una zona técnicamente ambigua: las credenciales no fueron formalmente bloqueadas pero la autorización fue revocada con el cese. La jurisprudencia ha tendido a considerar que la revocación de la autorización con el cese es suficiente para que el acceso posterior sea constitutivo del tipo del artículo 197 bis aunque las credenciales no fueran técnicamente bloqueadas, pero la defensa puede articular argumentos sobre la ausencia de vulneración de medidas de seguridad cuando el sistema no estableció ningún obstáculo técnico efectivo al acceso.

¿Cuánto tiempo conservan los proveedores de servicios los datos que los investigadores pueden solicitar? La Ley 25/2007 de Conservación de Datos relativos a las Comunicaciones Electrónicas establece que los operadores de telecomunicaciones deben conservar los datos de tráfico y de localización durante doce meses. Transcurrido ese plazo los datos son eliminados y no pueden ser recuperados ni siquiera con autorización judicial. En procedimientos por delitos informáticos donde los hechos se produjeron hace más de un año, la posibilidad de que los datos de tráfico necesarios para la investigación ya hayan sido eliminados es un elemento que puede tener consecuencias significativas sobre la base probatoria disponible para la acusación.

Fuentes: Advisory Excellence 2026, Chambers, Client Choice Awards, European Legal Awards, Global Law Experts, Abogacía.es, Centro de Documentación Judicial.

Trending Articles

The Family Law Loophole That Lets Sex Offenders Parent Kids

by Bryan Driscoll

Is the state's surrogacy framework putting children at risk?

family law surrogacy adoption headline

Recognizing Legal Leaders: The 2027 Best Lawyers Awards in Australia, Japan and Singapore

by Jamilla Tabbara

Market drivers, diversity trends and the elite practitioners shaping the legal landscape.

Illustrated maps of Australia, Japan and Singapore displayed with their national flags, representing

Holiday Pay Explained: Federal Rules and Employer Policies

by Bryan Driscoll

Understand how paid holidays work, when employers must follow their policies and when legal guidance may be necessary.

Stack of money wrapped in a festive bow, symbolizing holiday pay

Can a Green Card Be Revoked?

by Bryan Driscoll

Revocation requires a legal basis, notice and the chance to respond before status can be taken away.

Close-up of a U.S. Permanent Resident Card showing the text 'PERMANENT RESIDENT'

New Texas Family Laws Transform Navigating Divorce, Custody

by Bryan Driscoll

Reforms are sweeping, philosophically distinct and designed to change the way families operate.

definition of family headline

How Far Back Can the IRS Audit You?

by Bryan Driscoll

Clear answers on IRS statutes of limitations, recordkeeping and what to do if you are under review.

Gloved hand holding a spread of one-hundred-dollar bills near an IRS tax document

US Tariff Uncertainty Throws Canada Into Legal Purgatory

by Bryan Driscoll

The message is clear: There is no returning to pre-2025 normalcy.

US Tariff Uncertainty Throws Canada Into Legal Purgatory headline

Can You File Bankruptcy on Credit Cards

by Bryan Driscoll

Understanding your options for relief from overwhelming debt.

Red credit card on point-of-sale terminal representing credit card debt

Musk v. Altman: The Lawyers Behind the Case

by Jamilla Tabbara

Meet the Trial Lawyers Shaping One of AI's Biggest Legal Disputes.

Portrait photos of Elon Musk and Sam Altman positioned in front of the OpenAI logo.

How AI Is Changing the Way Clients Find Lawyers

by Jamilla Tabbara

Best Lawyers CEO Phil Greer explains how AI-driven search tools are reshaping legal marketing and why credibility markers matter.

AI chat bubble icon with stars representing artificial intelligence transforming client-lawyer conne

Colorado’s 2026 Water Rights Battles

by Bryan Driscoll

A new era of conflict begins.

Colorado Water Rights 2026: A New Era of Conflict headline

When Is It Too Late to Stop Foreclosure?

by Bryan Driscoll

Understanding the foreclosure timeline, critical deadlines and the legal options that may still protect your home.

Miniature house model on orange background surrounded by thumbtacks representing foreclosure

Can You Go to Jail at an Arraignment?

by Bryan Driscoll

Understanding What Happens at Your First Court Appearance.

A heavy chain lying on the ground in the foreground with a blurred figure standing in the background

What’s the Difference Between DUI and DWI?

by Bryan Driscoll

Understanding the terminology and consequences of impaired driving charges.

Driver during nighttime police traffic stop with officer's flashlight shining through car window

Canadian Firms Explore AI, But Few Fully Embrace the Shift

by David L. Brown

BLF survey reveals caution despite momentum.

Canadian Firms Explore AI, But Few Fully Embrace the Shift headline

The Legal Teams Behind the Blake Lively–Justin Baldoni Settlement

by Grace Greer

A closer look at the legal teams and attorneys involved in the Blake Lively–Justin Baldoni litigation and its resolution.

Split-screen image of Blake Lively and Justin Baldoni

By using our website, you consent to our use of cookies. We use essential cookies to enhance your browsing experience. You may opt out of non-essential cookies. Read our Cookie Policy to learn more.