La delincuencia, como toda industria rentable, se adapta. Y en la era digital, lo ha hecho con una rapidez que desconcierta incluso a quienes dedican su vida a combatirla. Hoy, el delito cibernético ya no requiere grandes conocimientos técnicos ni inversiones sofisticadas. Basta con tener una tarjeta de criptomonedas, acceder a un foro oculto o a un canal de Telegram, y adquirir -como quien compra un paquete ofimático- un “servicio completo” para atacar a terceros. Ese servicio tiene nombre: Malware as a Service (MaaS).
Inspirado en el modelo de negocio legal del Software as a Service (SaaS), el MaaS convierte al malware en un producto empaquetado y al ciberdelito en una economía escalable. No hace falta ser programador, ni construir un virus desde cero. Los delincuentes que venden MaaS ofrecen soluciones listas para usar: interfaces intuitivas, atención técnica, actualizaciones, manuales de uso y sistemas de afiliados. Se puede alquilar por día, por ataque, por resultados. Y como en todo buen producto digital, hay niveles: desde el plan básico hasta el premium, con funciones avanzadas de evasión de antivirus, cifrado o distribución masiva.
Este modelo ha hecho el cibercrimen accesible a todos. Donde antes operaban individuos con formación técnica o grupos estructurados, hoy proliferan “clientes” de perfil variado: desde delincuentes comunes que buscan robar credenciales bancarias hasta actores estatales que desean probar vulnerabilidades en sistemas ajenos. El mercado ofrece ransomware, keyloggers, troyanos bancarios, botnets personalizables o herramientas de acceso remoto (RATs), todo ello bajo el sello de un producto en constante evolución.
Hoy se puede disponer de plataformas de Ransomware as a Service (RaaS) que, por apenas 50 dólares mensuales, ofrecen acceso a una consola donde un usuario podía generar su propio malware, diseñar la página de rescate, controlar víctimas y recibir pagos en criptomonedas. Y con estéticas similares a las corporativas: menús desplegables, gráficos de rendimiento, soporte técnico en varios idiomas. Algunas incluso ofrecían pruebas gratuitas para usuarios nuevos. La lógica empresarial era impecable, salvo por el pequeño detalle de que todo era ilegal.
Este ecosistema está fuertemente enraizado en la economía de la dark web, aunque no se limita a ella. Cada vez más, sus estructuras aparecen también en redes cifradas como Telegram o Discord, donde los vendedores establecen contacto con potenciales compradores y operan mediante bots automatizados. Se establecen contratos, se gestionan reclamaciones, se emiten garantías: si el malware no funciona, se devuelve el dinero; si no se infecta a suficientes víctimas, se puede solicitar una revisión del código. Todo ello configura un mercado informal con estándares empresariales.
Lo que inquieta no es solo la existencia de estos servicios, sino su escalabilidad. Como en el modelo SaaS, una vez que el producto ha sido creado, los costes marginales de replicarlo tienden a cero. Un ransomware exitoso puede ser reutilizado por cientos de actores, con adaptaciones mínimas. Así, un solo desarrollo puede causar miles de infecciones, multiplicando su impacto y dificultando su trazabilidad. El delito, por tanto, deja de ser un hecho aislado y se convierte en una infraestructura de servicios.
El salto de un modelo criminal tradicional -centrado en individuos concretos y delitos localizables- a uno distribuido, automatizado y escalable, obliga al Derecho a reformularse. La pregunta ya no es solo qué se castiga, sino a quién, dónde y cómo. En el ecosistema MaaS, los roles están difusos: quien desarrolla el malware, quien lo alquila, quien lo ejecuta, quien lo distribuye y quien lo monetiza pueden ser personas distintas, en países distintos. Y el daño, sin embargo, converge en un mismo punto: el sistema atacado.
El marco legal internacional más relevante sigue siendo el Convenio de Budapest sobre Ciberdelincuencia, firmado en 2001 y vigente en más de 60 países. Este tratado establece una base jurídica común para perseguir delitos informáticos, incluyendo la producción, distribución y posesión de herramientas diseñadas para cometer ciberataques. Aunque fue concebido antes del auge del MaaS, el Convenio ya preveía la tipificación penal de la creación y facilitación de software malicioso con fines ilícitos. El problema no es la falta de norma, sino su ejecución: muchos Estados aún carecen de legislación nacional armonizada con el Convenio y la cooperación judicial internacional continúa siendo lenta y excesivamente burocrática.
En España, el Código Penal contempla en su artículo 197 ter la fabricación o facilitación de programas informáticos destinados a la comisión de delitos contra la intimidad o el patrimonio. Asimismo, los artículos 264 y 264 bis recogen los daños informáticos y el sabotaje de datos o sistemas, mientras que el 570 bis permite castigar a quienes financien o colaboren con organizaciones criminales, incluso en entornos digitales. Pero el verdadero reto no es jurídico, sino procesal: ¿cómo identificar al autor cuando opera desde un país sin tratado de extradición, empleando criptomonedas y sin dejar huellas técnicas verificables?
El carácter intangible del MaaS dificulta también su persecución desde la óptica de la responsabilidad civil o penal empresarial. A diferencia de una empresa convencional, donde puede trazarse un NIF, una sede y un equipo directivo, los operadores de plataformas MaaS ocultan su identidad tras múltiples capas de anonimato. No hay razones sociales, ni balances, ni libros contables. Y sin embargo, actúan con lógicas de empresa: servicio técnico, soporte al cliente, escalabilidad, gestión de cartera y segmentación de mercado. Esta esquizofrenia jurídica -empresa sin empresa, servicio sin prestador, producto sin marca- genera una grieta normativa.
Además, la dispersión geográfica de los implicados complica la persecución efectiva. Un desarrollador puede estar en Rusia, el usuario en Brasil, la víctima en Francia y el servidor de mando y control en Malasia. La respuesta penal, en estos casos, requiere una cooperación judicial internacional ágil y proactiva. Pero mientras el ataque se produce en minutos, la respuesta legal tarda meses. Esta asimetría temporal favorece al agresor.
La digitalización del crimen introduce también un dilema filosófico: ¿cómo legislar sobre lo intangible? ¿Cómo perseguir actos cuya ejecución no implica contacto físico, ni violencia directa, ni siquiera presencia humana constante? El delito ya no es un hecho puntual, sino una secuencia automatizada, programada con antelación y ejecutada en segundo plano. El responsable no siempre está “presente”, ni siquiera al tanto del daño en tiempo real. Este desfase entre intención, acción y consecuencia desafía la estructura tradicional del derecho penal, fundada en la autoría individual y la imputación directa.
A los dilemas jurídicos se suma una cuestión ética de fondo: ¿cómo actuar frente a un ecosistema donde la sofisticación técnica del delito supera con creces la capacidad de respuesta institucional? El modelo MaaS no solo ha consolidado la profesionalización del cibercrimen, sino que ha desdibujado las barreras entre el delincuente profesional y el usuario funcional. Cualquiera, desde su casa, puede alquilar una herramienta para dañar, espiar o extorsionar, sin tener la menor noción de código o redes. El delito, al convertirse en servicio, pierde su aura de excepcionalidad y se instala en la rutina.
En este escenario, los márgenes regulatorios parecen desplazarse hacia el diseño. Si el derecho llega tarde, quizás haya que actuar antes, en la arquitectura misma de los sistemas. Algunos expertos proponen reforzar la accountability (responsabilidad proactiva) de las plataformas de mensajería y alojamiento, obligándolas a identificar patrones de distribución de malware y actuar incluso en redes cifradas. Otras voces, más críticas, advierten del riesgo de que estas medidas comprometan el cifrado punto a punto, erosionando derechos fundamentales como la privacidad o la libertad de expresión. El equilibrio es frágil: perseguir el delito sin destruir las garantías.
El papel de las grandes empresas tecnológicas en esta batalla es ambivalente. Por un lado, desarrollan herramientas para prevenir ataques: filtros antiphishing, análisis de comportamiento, alertas automatizadas, etc. Por otro, muchas de sus infraestructuras son utilizadas por los actores maliciosos para alojar comandos o monetizar ataques. Plataformas como GitHub, Telegram o incluso Discord han sido empleadas como canales de control y distribución, aprovechando su popularidad y su arquitectura abierta. Aquí surge una tensión no resuelta entre innovación, neutralidad tecnológica y responsabilidad activa.
A largo plazo, la contención del MaaS exige tres ejes convergentes: legislación ágil, cooperación internacional real y anticipación técnica. Pero sobre todo, exige abandonar la idea de que lo digital es un terreno ajeno al derecho. El delito se ha adaptado. La ley, si quiere seguir siendo útil, tendrá que hacerlo también.
Porque el crimen como servicio no desaparecerá por sí solo. Como todo negocio rentable, mutará, se ocultará, buscará nuevas formas de comercialización. Solo si se desarticula su cadena de valor -desde la creación hasta la monetización- podrá ser contenido. Y eso exige actuar sobre su mercado, sus plataformas, su pedagogía y su imaginario. Lo intangible también se puede legislar. Solo hace falta voluntad, técnica y una noción clara de qué país digital queremos habitar.
