La iniciativa de Ley de Ciberseguridad permanece estancada en el Congreso de la República, tras su última discusión en el Pleno el pasado 23 de septiembre de 2025, cuando fue aprobada en segunda lectura. Posterior a esto, no volvió a ser agendada para tercera lectura y aprobación de redacción final, hasta este 13 de abril.
Durante la sesión de jefes de bloque, el jefe de la bancada Azul, Jorge Mario Villagrán, pidió que se agendara la iniciativa para su tercer debate, lo cual fue aprobado, más de seis meses después.
Recientemente, se produjo un ataque informático a la Dirección General de Control de Armas y Municiones (Digecam) que volvió a colocar el tema de la ley en el centro del debate público, dejando en evidencia los vacíos normativos que, según expertos consultados por La Hora, limitan la respuesta del Estado ante incidentes de ciberseguridad.
El analista en seguridad, Mario Mérida, señaló que el ataque se produce en un contexto donde la normativa específica para enfrentar ciberdelitos sigue pendiente.
“La ausencia de un marco legal especializado deja al país expuesto y reduce la capacidad de prevención, persecución y sanción de estos delitos”, remarcó.
LO QUE REGULA ACTUALMENTE EL CÓDIGO PENAL
El Código Penal en la actualidad contempla algunas figuras penales relacionadas con delitos informáticos, pero estas se crearon en un contexto previo a la expansión del cibercrimen moderno.
Entre los delitos contemplados en el capítulo VII, artículo 274, actualmente figuran:
- Destrucción de registros informáticos: sancionado con prisión de seis meses a cuatro años y multas de Q200 a Q2 mil.
- Alteración de programas: sanciones equivalentes al delito anterior.
- Reproducción ilegal de software: prisión de seis meses a cuatro años y multas de Q500 a Q2 mil 500.
- Creación de registros prohibidos: sanción de seis meses a cuatro años y multas de Q200 a Q1 mil.
- Manipulación de información: prisión de uno a cinco años y multas de Q500 a Q3 mil.
- Uso indebido de información y programas destructivos: con penas de hasta cuatro años.
Una fuente con conocimiento en el tema, consultada por La Hora, indicó que, si bien estos tipos penales existen, “son insuficientes ante la evolución del cibercrimen y no contemplan fenómenos actuales como ataques coordinados a infraestructura crítica, suplantación de identidad digital o uso de ingeniería social”.
LO QUE PROPONE LA LEY DE CIBERSEGURIDAD
La iniciativa busca actualizar el marco penal, además, clasifica los delitos informáticos y establece penas más severas, con agravantes en casos que afecten infraestructura crítica o cuando intervengan funcionarios públicos.
Entre los delitos que regula el proyecto destacan:
Acceso ilícito: Quien acceda de forma deliberada e ilegítima a un sistema informático enfrentaría de 4 a 6 años de prisión y multas de 20 a 200 salarios mínimos.
Interceptación ilícita: Interceptar comunicaciones electrónicas sin autorización conllevaría de 6 a 10 años de prisión y multas de 100 a 200 salarios mínimos, con aumento de un tercio si se usan sistemas conectados o si participa un funcionario público.
Ataque a la integridad de datos: La destrucción, alteración o supresión de datos sin autorización sería sancionada con 5 a 7 años de prisión y multas de 100 a 250 salarios mínimos.
Cuando se afecten datos financieros, bancarios o comerciales, la pena subiría de 6 a 8 años y multas de 200 a 500 salarios mínimos.
Ataque a sistemas informáticos: Quienes afecten sistemas informáticos enfrentarían de 6 a 9 años de prisión y multas de 100 a 300 salarios mínimos. Si el ataque impacta infraestructura crítica o servicios públicos, la pena se eleva a 7 a 10 años y multas de 100 a 500 salarios mínimos.
Falsificación informática: Modificar o introducir datos para que produzcan efectos legales falsos implicaría de 2 a 6 años de prisión y multas de 20 a 200 salarios mínimos.
Apropiación de identidad ajena: La suplantación digital conllevaría de 3 a 6 años de prisión y multas de 40 a 100 salarios mínimos, aumentando hasta 7 años si se vulneran medidas de seguridad.
Abuso de dispositivos: La creación, venta o distribución de herramientas diseñadas para cometer delitos informáticos se sancionaría con 3 a 6 años de prisión y multas de 20 a 200 salarios mínimos.
Fraude informático: El uso de ingeniería social o manipulación de sistemas para obtener beneficios económicos ilícitos implicaría de 4 a 8 años de prisión y multas de 100 a 300 salarios mínimos.
CREA UN CENTRO DE RESPUESTA A INCIDENTES
Uno de los puntos más relevantes de la iniciativa de ley es la creación del Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-GT).
Este sería el órgano técnico responsable de coordinar la respuesta nacional ante incidentes informáticos, tales como el recientemente ocurrido en la Digecam.
El centro tendría la responsabilidad de:
- Coordinar la respuesta ante incidentes cibernéticos en el país.
- Recibir, analizar y gestionar reportes de incidentes.
- Apoyar técnicamente a entidades públicas y privadas en la mitigación de ataques.
- Articular acciones entre instituciones del Estado y operadores de infraestructura crítica.
- Promover estándares de protección y prevención en sistemas informáticos.
La ley también dice que las entidades públicas y privadas que manejan infraestructura crítica deben tener equipos de respuesta y trabajar con el CSIRT-GT. Esto sería un cambio importante en cómo se manejan los riesgos cibernéticos en el país.
DATOS SOBRE DENUNCIAS DE DELITOS CIBERNÉTICOS
La Hora consultó al Ministerio Público (MP) sobre la cantidad de denuncias relacionadas con delitos informáticos.
De acuerdo con los datos que compartió el Departamento de Información y Prensa, en 2026 se han registrado 929 denuncias por estafas digitales.
El detalle da cuenta de que existe un alza en la denuncia de estos delitos, puesto que en enero hubo 301 denuncias, en febrero 303 y en marzo ascendió a 325.
