La iniciativa de ley 6347 de ciberseguridad, que recibió dictamen favorable este 26 de agosto por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso, propone tipificar y reforzar once delitos.

Según Ana Antillón, coordinadora de la mesa de Certeza Jurídica de Guatemala No Se Detiene, el país ha estado rezagado en materia legislativa relacionada con la transformación digital, especialmente en aspectos como la protección de datos e información.

Mario Menéndez, asesor de la comisión, explicó que todos los delitos incluidos en la propuesta son nuevos, aunque algunos se asemejan a tipos penales existentes, con la diferencia de que están vinculados al entorno digital.

Jorge Mario Villagrán, presidente de dicha comisión, informó que las penas para estos delitos oscilarán entre seis y 30 años de prisión. No obstante, Menéndez advirtió que, debido a la acumulación de delitos de esta índole, los jueces podrían imponer penas mayores.

Según el dictamen, se destaca la creación de una fiscalía especializada en Ciberdelincuencia, esta competencia será la encargada de la investigación penal, formulación de requerimientos y el litigio de los delitos contemplados en el ámbito digital. Asimismo, la red 24/7, señala José Pablo Mendoza, diputado ponente de la iniciativa, es una ventanilla específica que tendría el Ministerio Público, especializada y exclusivamente para atender a los delitos cibernéticos.

LECTURAS RELACIONADAS

Fintech en Guatemala: 5 profesiones que buscan las aplicaciones que manejan dinero

Gobierno insiste: acuerdo con EE. UU. es de seguridad, no de tercer país seguro

Delitos propuestos en la iniciativa de ley de ciberseguridad

Según el documento de la iniciativa de ley, los delitos que serían tipificados como “ciberdelitos” son los siguientes:

• Artículo 5. Acceso ilícito: Quien acceda sin autorización a todo o a una parte de un sistema informático y cuando el acceso se realice infringiendo medidas de seguridad o con la intención de robar datos informáticos.
• Artículo 6. Interceptación ilícita: Quien sin autorización intercepte datos informáticos.
• Artículo 7. Ataque a la integridad de los datos informáticos: Quien sin autorización oculte, dañe, borre, deteriore o suprima datos informáticos.
• Artículo 8. Ataque a la integridad del sistema informático: Quien ataque interrumpa u obstaculice el funcionamiento normal de un sistema informático o sistemas que utilicen la información y la comunicación.
• Artículo 9. Falsificación informática: Quien altere, borre o suprima datos o registros informáticos. Además a quien genere datos no auténticos para que sean tomados o utilizados como auténticos. Este delito puede costar hasta 30 años de cárcel si resulta en pérdidas económicas que interfieran o ataquen la integridad de los sistemas informáticos que afecten servicios esenciales, infraestructuras críticas o la seguridad nacional. 
• Artículo 10. Apropiación de identidad ajena: Quien sin autorización y sin utilizar cualquier forma, medio, técnicas de ingeniería social, usurpe, falsifique, adopte o suplante la identidad de otra persona individual o jurídica.
• Artículo 11. Fraude informático: Quien sin autorización produce daño, perjuicio o defraudación en su patrimonio mediante la introducción, alteración o supresión de datos informáticos o realice cualquier interferencia en el funcionamiento de un sistema informático. 
• Artículo 12. Abuso de dispositivos: Quien produzca, venda, obtenga para su utilización, posea, importe, difunda o ponga en disposición cualquier dispositivo, programa informático, aplicaciones o sistema informático concebidos o adaptados principalmente para la comisión de cualquiera de los delitos previstos con anterioridad o contraseñas, códigos de acceso o datos informáticos similares que permitan el acceso a parte o todo un sistema informático, cree, utilice o transfiera de un dispositivo a otro los códigos de identificación y acceso al servicio o sistema informático. 
• Artículo 13. Delitos de la propiedad intelectual, derechos de autor, propiedad industrial y delitos informáticos: A quienes cometan delitos establecidos en leyes como: Ley de propiedad Industrial, Ley de Derechos de Autor y Derechos Conexos y los contenidos en el título VI del Código Penal, a una escala comercial y por medio de un sistema informático, se les aumentará la pena en una cuarta parte. 
• Artículo 14. Pornografía infantil: Cuando se utilicen sistemas informáticos para cometer los delitos tipificados en los artículos 173 bis, 174, 188, 189, 190, 192, 195 bis, 195 ter y 196 del decreto 17-73, las penas se aumentrán en conformidad con lo establecido en el artículo 195 Quinquies del Código penal. 
• Artículo 15. Uso ilegal de bloqueadores o inhibidores de señal: Comete el delito quien opere equipos que bloqueen, cancelen o anulen las señales de telefonía celular, radiocomunicación, transmisión de datos o imágen,  con el fin de cometer acciones ilícitas. 

Los delitos cuentan con una sentencia mínima de seis años y máxima de ocho. No obstante, debido a situaciones puntuales, las penas pueden aumentar hasta 10 años, dependiendo del delito. 

Según lo establecido en el proyecto de ley, las personas individuales tendrán que enfrentar las penas establecidas en la ley. No obstante, las personas jurídicas, si fueron utilizadas para realizar un ilícito de la presente ley, se les impondrá una multa de Q100 mil hasta Q300 mil, dependiendo de la gravedad de las circunstancias.

Pilares de la iniciativa de ley de ciberseguridad

Carlos Cuéllar, miembro de Bancert (en inglés, Banking Computer Emergency Response Team, o la plataforma de ciberseguridad de la comunidad bancaria de Guatemala), indicó que anteriormente la legislación en materia de ciberseguridad era ambigua, por lo que fue necesario ajustarla y alinearla con los estándares internacionales establecidos por el Convenio de Budapest. Cuéllar añadió que el objetivo de contar con una ley marco es facilitar el apoyo internacional en caso de crisis cibernéticas.

Mendoza, explicó que esta se sustenta en tres pilares fundamentales: la tipificación de delitos con sus respectivas penas de prisión, la creación del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (C-SIRT-GT) y el establecimiento de una red 24/7.

LECTURAS RELACIONADAS

Vamos al grano | "Recibir un whatsapp con un trabajo falso ya es un ciberataque"

Guatemala bajo asedio digital: la ciberseguridad no puede esperar

Según el dictamen, el C-SIRT-GT sería la entidad responsable de la detección, análisis, gestión y respuesta ante incidentes de ciberseguridad en todo el territorio nacional. Además, tendría a su cargo el monitoreo permanente para atender incidentes cibernéticos, garantizar la continuidad operativa y el rendimiento de la red, así como brindar servicios proactivos y reactivos en materia de seguridad informática.

Antillón, indicó que esta institución deberá contar con equipos especializados en la atención de ataques cibernéticos. Agregó que cada entidad deberá tener su propio centro de respuesta a incidentes, algunos de carácter sectorial.

Próximos pasos para la aprobación de la ley

Villagrán afirmó que solicitarán a la junta directiva del Congreso que la iniciativa de ley sea conocida en el pleno el martes de la próxima semana.

Por su parte, el diputado José Pablo Mendoza indicó que el dictamen fue respaldado por tres bancadas distintas, lo que, en su opinión, facilitará los acuerdos y consensos necesarios para su aprobación.

Antillón, advirtió que, aunque se trata de una norma urgente, la ley contempla un plazo de entre 90 y 120 días tras su aprobación para establecer la institucionalidad pública y preparar a las entidades responsables para su implementación.

Del mismo modo, Cuéllar aseguró que la ley tiene carácter de urgencia nacional, ya que, además de tipificar los delitos, permitirá darles seguimiento y aplicar las sanciones correspondientes.

Nota del editor: Se actualizó la lista de delitos y sus tipificaciones con el texto final de la Iniciativa de Ley, que completa la información del dictamen.