La iniciativa de Ley de Ciberseguridad que actualmente permanece en el Congreso pretende modernizar el marco penal frente al avance del cibercrimen, tipificando nuevos delitos como el acceso ilícito, la interceptación de comunicaciones, el fraude informático o la suplantación de identidad digital, con penas que superan las actuales contempladas dentro del Código Penal.
Sin embargo, la forma en que se han planteado estos delitos ha generado opiniones encontradas entre los expertos. Por ahora, dicha iniciativa fue devuelta a comisión para un nuevo dictamen, tras ser agendada en el Pleno para una tercera lectura.
Para el periodista e investigador Luis Assardo, el problema no radica únicamente en la actualización de los delitos, sino en la forma en que la propuesta está estructurada.
Según explicó a La Hora el investigador, la iniciativa mezcla en un mismo cuerpo legal aspectos que deberían abordarse por separado, lo que podría generar más complicaciones que soluciones.
“Quieren meter absolutamente todo, desde ciberdelitos hasta ciberdefensa y no lo separan, entonces se vuelve una situación complicada”, advirtió.
PREVENCIÓN, RESPUESTA Y DELITO: TODO DENTRO DE LA MISMA LEY
El proyecto no solo tipifica delitos informáticos con penas más severas, como el acceso ilícito con 4 a 6 años de prisión, o el fraude informático con hasta 8 años, sino que también introduce elementos de ciberseguridad vinculados a la protección de sistemas, infraestructura crítica y respuesta a incidentes.
Para Assardo, este enfoque es problemático porque combina tres dimensiones distintas, la prevención, respuesta y sanción penal.
“Las leyes de ciberseguridad tienen una parte preventiva, luego una parte de respuesta a incidentes, y después el análisis. Pero los ciberdelitos deberían tratarse aparte”, explicó.
En ese sentido, el experto sugiere que la legislación debería comenzar con medidas preventivas, luego establecer mecanismos de respuesta, tales como el papel del CSIRT-GT, y en un proceso separado definir los delitos y sus sanciones.
DELITOS NUEVOS Y DELITOS ANTIGUOS
Uno de los puntos clave de Assardo es la diferenciación entre dos tipos de conductas que, según él, la iniciativa agrupa sin distinción.
Por un lado, están los delitos que nacen con la tecnología, como el acceso ilícito a sistemas o la interceptación de datos. Por otro lado, aquellos delitos tradicionales como el fraude o el robo, que ahora se cometen mediante herramientas digitales.
Gremial de Seguridad Privada demanda transparencia y protocolos de ciberseguridad al Digecam
“Hay delitos que son creados propiamente porque la tecnología los permite desarrollar, y hay otros que ya existen, como estafar o robar dinero, pero que son potenciados por la tecnología”, indicó.
La iniciativa, sin embargo, los incluye dentro de un mismo catálogo, sin establecer claramente estas diferencias conceptuales, dijo.
LOS RIESGOS DE UNA «MEZCLA»
El proyecto también incorpora delitos como el abuso de dispositivos, relacionado con la creación o distribución de herramientas para cometer ataques, y agravantes cuando se afecta infraestructura crítica o participan funcionarios públicos.
Aunque esto funcionaría para la persecución penal, Assardo advirtió que la falta de categorización puede generar ambigüedades en la aplicación de la ley.
Además, resaltó que la normativa no distingue adecuadamente entre responsabilidades de usuarios y de empresas o entidades que gestionan datos.
“Estamos hablando de usuarios que abusan del sistema, pero por el otro lado hay temas de privacidad e integridad de bases de datos que no tienen nada que ver con el usuario común, sino con empresas de tecnología”, señaló.
En este contexto, Assardo planteó que Guatemala podría tomar como base estándares internacionales como el Convenio de Budapest, que establece una clasificación más clara de los delitos informáticos.
“Eso (aprobar la ley) en Guatemala sería, desde mi punto de vista, algo erróneo porque va a provocar un montón de problemas más que el beneficio que podría traer”, mencionó.
El Código Penal vigente contempla figuras limitadas como la destrucción de registros informáticos o la reproducción ilegal de software.
