Entradilla
La Sentencia número 699/2025 de 19-II-2025 del Tribunal Supremo (STS) abre un hito en la responsabilidad civil al considerar los sistemas informáticos de una empresa como “establecimientos” a efectos del artículo 120.3 del Código Penal. Este giro jurisprudencial obliga a toda organización que utilice plataformas digitales a reforzar sus protocolos de ciberseguridad, pues un fallo puede derivar en indemnizaciones civiles. A su vez, la proliferación de malware (troyanos, ransomware), phishing y ataques DDoS exige recomendaciones prácticas de protección. En este artículo analizamos el antecedente y presentamos claves para integrar la seguridad informática en la gestión de riesgos empresariales.
Sumarios destacados
Este artículo nace a raíz de la invitación recibida para asistir al evento Business+ Foro Empresa Madrid 2025, donde se debatieron los retos legales emergentes ante el uso de inteligencia artificial en el ámbito profesional. A partir de ese contexto, se analizan casos recientes en EE. UU., Reino Unido y España que ilustran los riesgos éticos y jurídicos del uso irreflexivo de estas tecnologías por parte de los abogados, y que he tomado como referentes:
• El Tribunal Supremo (de aquí en adelante TS) califica el sistema informático habitual como parte del “establecimiento”, ampliando la responsabilidad civil.
• La STS 699/2025 refuerza la conexión entre delitos informáticos y daños civiles.
• Toda organización digital debe adoptar estándares de ciberseguridad, auditorías y pólizas de ciberseguros.
• Troyanos, ransomware, phishing y ataques DDoS son las principales amenazas que pueden activar la responsabilidad.
• Copias de seguridad, contraseñas robustas y formación continua resultan esenciales para reducir el riesgo.
1. El caso STS 699/2025 y su alcance
En el procedimiento 6434/2022 (“Gamboa Automoción S.A.U.”), un ciberataque permitió la suplantación de la cuenta de correo de un empleado y el desvío de 32.594,75 € a favor de terceros. La Audiencia de Oviedo eximió inicialmente de responsabilidad a la empresa, pero la apelación la condenó como responsable civil subsidiaria por “delito cometido en su establecimiento”. El Tribunal Supremo confirmó dicha condena al entender que:
1. Sistema informático es considerado como si fuera un establecimiento, así la definición amplía el concepto tradicional de local físico a la infraestructura digital.
2. Responsabilidad subsidiaria. El art. 120.3 Código Penal y el art. 1902 Código Civil se aplican al entorno informático de la empresa.
3. Deber de cuidado tecnológico. La empresa falló en proteger sus sistemas, vulnerando un estándar objetivo de diligencia.
Este pronunciamiento eleva la infraestructura digital al mismo nivel de responsabilidad que el espacio físico tradicional, configurando así un nuevo estándar legal adaptado al contexto tecnológico actual.
La STS 699/2025 no solo redefine el concepto de “establecimiento” en clave digital, sino que impone a las empresas un deber reforzado de protección tecnológica. El fallo del Tribunal Supremo sienta un precedente de gran relevancia: cualquier negligencia en la gestión de sistemas informáticos puede derivar en responsabilidad civil, especialmente si esos sistemas son empleados de forma habitual en la actividad empresarial. Esta doctrina alinea el Derecho español con la necesidad de adaptación a un entorno cada vez más ciberdependiente y regulado.
2. Cuadro de legislación aplicable
La reciente jurisprudencia del Tribunal Supremo no se interpreta en el vacío. Existen múltiples normas —desde el Código Penal hasta reglamentos europeos y principios deontológicos— que inciden directamente en la responsabilidad derivada del uso de sistemas informáticos. A continuación, se resumen las disposiciones clave que deben tenerse en cuenta al analizar la STS 699/2025 y establecer protocolos de prevención frente a ciberataques:
Norma / Disposición | Ámbito | Requisito clave |
Código Penal, art. 120.3 | Responsabilidad civil subsidiaria | Delitos cometidos en “establecimientos” |
Código Civil, art. 1902 | Responsabilidad civil general | Deber de reparar daños causados |
Ley Orgánica 3/2018 y RGPD, art. 32 | Protección de datos personales | Implementación de medidas técnicas de seguridad |
Propuesta Reglamento Europeo de IA (COM(2021) 206 final) | Sistemas de IA de alto riesgo | Evaluación de riesgos, transparencia y explicabilidad |
Código Deontológico ICAM, arts. 2 y 8 | Ética profesional | Deber de comprobación y secreto profesional |
Principios UNESPA de ética en IA | Sector asegurador y tecnologías IA | Supervisión humana y auditorías algorítmicas |
3. Principales ciberamenazas
Los delitos cibernéticos han experimentado un crecimiento exponencial en los últimos años, tanto en volumen como en sofisticación, lo que ha incrementado notablemente su impacto económico y operativo. Según diversos informes internacionales, los ciberataques ya afectan a la mayoría de las organizaciones —grandes y pequeñas—, provocando pérdidas millonarias, interrupciones en los sistemas y vulneraciones masivas de datos sensibles.
Este fenómeno no solo se traduce en un aumento cuantitativo, sino también cualitativo: las amenazas son cada vez más complejas, se ejecutan de forma automatizada mediante inteligencia artificial (IA) y ocurren con una frecuencia que supera la capacidad de reacción de muchas empresas. La combinación de velocidad, anonimato y perfeccionamiento técnico ha convertido el cibercrimen en una de las principales fuentes de riesgo empresarial.
En este escenario, identificar y comprender los principales vectores de ataque resulta imprescindible para anticiparse al daño, reforzar las defensas y establecer protocolos de respuesta eficaces. A continuación, se describen las ciberamenazas más relevantes tanto en el entorno corporativo como en el personal:
– Troyanos: Software camuflado como legítimo que, tras su ejecución, permite al atacante acceder al sistema, robar datos o introducir más malware.
– Ransomware: Malware que cifra los archivos del sistema y exige pago (normalmente en criptomonedas) para restaurar el acceso, paralizando la operativa.
– Phishing: Técnica de suplantación de identidad mediante correos, SMS o mensajes que inducen al usuario a revelar credenciales o descargar malware.
– Denegación de servicio (DDoS): Ataque coordinado que envía tráfico masivo a un servidor o red, saturando sus recursos y dejando servicios inoperativos.
Estos ataques no solo ponen en riesgo la operativa y la información confidencial de las organizaciones, sino que, como muestra la jurisprudencia reciente, pueden activar responsabilidades legales si se demuestra falta de previsión o protección adecuada. De ahí que la prevención no sea ya una opción, sino una exigencia jurídica y estratégica. A continuación, se presentan algunas medidas esenciales que toda empresa debería implementar para reducir su exposición al ciber riesgo.
4. Recomendaciones prácticas para reducir el riesgo
Frente a la creciente sofisticación de las amenazas cibernéticas, no basta con conocer los riesgos: es imprescindible actuar. Afortunadamente, muchas medidas básicas de protección pueden implementarse sin necesidad de grandes inversiones, como son:
– Realizar copias de seguridad periódicas y almacenarlas offline o en la nube cifrada.
– Usar contraseñas únicas y robustas, gestionadas con un gestor de contraseñas.
– Mantener software y sistemas actualizados con los últimos parches de seguridad.
– No abrir enlaces o adjuntos de remitentes desconocidos; verificar siempre antes de hacer clic.
– Evitar redes Wi-Fi públicas y códigos QR no verificados; priorizar VPNs y conexiones seguras.
– Desconfiar de solicitudes urgentes en correos, SMS o llamadas; confirmar por canales alternativos.
– Implementar autenticación multifactor (MFA) en accesos críticos.
Estas buenas prácticas, al alcance de cualquier organización, constituyen la primera línea de defensa frente a incidentes que pueden derivar en responsabilidad legal y perjuicios económicos graves.
5. Conclusiones
La STS 699/2025 marca una nueva frontera en la responsabilidad civil: al incluir los sistemas informáticos dentro de la noción de “establecimiento”, amplía el deber de diligencia y cuidado de las organizaciones. Ante troyanos, ransomware, phishing y DDoS, es crucial adoptar un enfoque integral de ciberseguridad: auditorías, ciberseguros y formación continua. Solo así, combinando innovación tecnológica con rigurosos protocolos de protección, se garantizará la resiliencia digital y el cumplimiento normativo en la era del ciber-riesgo.
El reciente ciberataque a Telefónica, que ha comprometido hasta 22 millones de registros de clientes de Movistar, incluyendo datos personales sensibles, destaca la necesidad urgente de que las empresas refuercen sus medidas de seguridad. Este incidente demuestra que ninguna organización está exenta de riesgos y que la falta de medidas adecuadas puede tener consecuencias legales y reputacionales significativas.
Por tanto, la ciberseguridad debe ser una prioridad estratégica para todas las empresas, independientemente de su tamaño o sector, para proteger tanto su información como la confianza de sus clientes.
Nota al final
Este artículo ha sido elaborado con base en la STS 699/2025 (SJP, Oviedo, núm. 1, 04-10-2021 (proc. 155/2020), SAP O 2882/2022), el Código Penal, el Código Civil, el RGPD y la Propuesta de Reglamento Europeo de IA, así como en el Código Deontológico del ICAM y los Principios de Ética en IA de UNESPA. Para un análisis completo, se recomienda consultar los textos oficiales de cada norma y la propia sentencia.