Blog Jurídico - TECH
Menú
Artículos
18 de junio de 2026

Ciberseguridad en la Región Andina: Un análisis comparado entre Colombia y Perú

La entrada analiza los marcos jurídicos de ciberseguridad en Colombia y Perú, tomando como eje la relación entre el Derecho y las TIC. A través de un estudio comparado de la normativa penal, el régimen de protección de datos personales, sustentado en la Ley 1581 de Colombia y la Ley 29733 de Perú, y la gestión jurídica de la respuesta ante incidentes críticos, se examina cómo ambos Estados han adaptado sus sistemas legales al Convenio de Budapest para enfrentar las amenazas transfronterizas en el ciberespacio.

Adria Cristina Sotelo Farias1

1.Introducción: La Ciberseguridad como Imperativo Regional

En el contexto de la cuarta revolución industrial, la seguridad digital es una parte del Estado de Derecho. En la región andina, Colombia y Perú han liderado esfuerzos significativos para armonizar sus legislaciones con estándares internacionales, entendiendo que el ciberespacio no conoce fronteras geográficas.

Para una institución como la Universidad Externado de Colombia, pionera en el estudio del Derecho de las Telecomunicaciones, resulta fundamental analizar cómo estos dos países, hermanos en tradición jurídica y socios en la Comunidad Andina (CAN), enfrentan desafíos similares: la protección de infraestructuras críticas, la salvaguarda de la privacidad y la persecución de delitos informáticos cada vez más sofisticados.

2. El Marco Internacional: El Convenio de Budapest como Denominador Común

      Tanto Colombia como Perú han adoptado el Convenio sobre la  como referencia para la regulación de los delitos informáticos (Consejo de Europa, 2001). Colombia fue uno de los primeros países de la región en adherirse (ratificado mediante la Ley 1921 de 2018), mientras que el Perú formalizó su adhesión en 2019.

      Este tratado ha permitido que ambos países tipifiquen conductas como el acceso ilícito, la interceptación de datos y el sabotaje informático bajo parámetros similares (Consejo de Europa, 2001, arts. 2-5). Esta armonización facilita la cooperación judicial internacional, permitiendo que la evidencia digital recolectada en una jurisdicción sea válida y procesable en otra, reduciendo así los espacios de impunidad en el ciberespacio. Sin embargo, la aplicación práctica de estas normas revela matices interesantes en cada jurisdicción.

      3. Derecho Penal Informático: Ley 1273 (Colombia) vs. Ley 30096 (Perú)

      Es en el área donde más se evidencia la convergencia, lo cual se detallará a continuación.

      El Modelo Colombiano

      Colombia fue pionera en la región con la Ley 1273 de 2009 (Congreso de la República de Colombia, 2009), la cual modificó el Código Penal para crear el bien jurídico protegido de la ‘protección de la información y de los datos’. Esta normativa introdujo tipos penales modernos, tales como el daño informático y el uso de software malicioso (Ley 1273, 2009), estableciendo un precedente en la persecución de conductas que atentan contra los sistemas informáticos. La jurisprudencia colombiana ha sido rica en interpretar estos tipos, especialmente en casos de estafa a través de transferencias electrónicas no autorizadas.

      El Modelo Peruano

      Por su parte, el Perú promulgó la Ley N° 30096 (Congreso de la República, 2013), modificada por la Ley N° 30171 (2014). Al igual que su par colombiana, sanciona el fraude informático y la suplantación de identidad. Un aspecto distintivo de la norma peruana es la inclusión explícita de agravantes cuando se afecta el patrimonio del Estado o programas sociales, reflejando una preocupación por la protección del gasto público en entornos digitales.

      4. Protección de Datos Personales

      El núcleo de la ciberseguridad desde la perspectiva del Derecho Civil y Constitucional es la protección de datos.

      En Colombia: La Ley 1581 de 2012 desarrolla el derecho constitucional al Habeas Data, el cual está establecido en el art. 15 de la Constitución Política. La autoridad encargada de la protección de datos es la Superintendencia de Industria y Comercio (SIC) conforme al art. 19 de la ley 1581, la cual ha destacado a nivel regional por su agresividad en la imposición de multas y la emisión de guías sobre «Privacidad desde el Diseño».

      En Perú: La Ley N° 29733 (Congreso de la República, 2011) y su Reglamento (D.S. 003-2013-JUS) establecen un régimen similar de protección. La autoridad competente es la Autoridad Nacional de Protección de Datos Personales (ANPDP), adscrita al Ministerio de Justicia.

      Ambos países exigen la implementación de medidas técnicas de seguridad (cifrado, control de acceso, auditorías) como una obligación legal. Para el Derecho de las TIC, esto significa que una brecha de seguridad no es solo un fallo técnico, sino un incumplimiento contractual y administrativo que genera responsabilidad civil objetiva en muchos casos.

      5. Gobernanza Digital y Gestión de Crisis

      La institucionalidad de la ciberseguridad también presenta paralelos notables que vale la pena destacar en un foro académico:

      • Colombia: Ha avanzado mediante documentos de política pública como el CONPES 3995 (Ciberseguridad y Ciberdefensa) y la creación del CSIRT Gobierno y el Col-CERT.
      • Perú: Ha consolidado su modelo a través del Decreto de Urgencia N° 007-2020 (PCM, 2020), que crea el Marco de Confianza Digital, y el Centro Nacional de Seguridad Digital (Pe-CERT).

      Ambas naciones buscan la «resiliencia digital», un concepto que el Derecho ha comenzado a adoptar para evaluar si una entidad fue «diligente» o «negligente» ante un ataque.

      6. Casuística Comparada: El Espejo de las Vulnerabilidades

      En este apartado se busca evidenciar el análisis de casos reales para hacer posible observar la efectividad de los marcos jurídicos de ambos países.

      6.1. El Caso IFX Networks en Colombia (2023)

      El masivo ataque de ransomware a IFX Networks afectó a más de 50 entidades del Estado colombiano, incluyendo la Rama Judicial. Este evento planteó una pregunta jurídica fundamental en el Externado: ¿Cuál es la responsabilidad del proveedor de servicios tecnológicos frente al Estado y los ciudadanos? El debate se centró en los niveles de servicio (SLA) y la responsabilidad por daños colaterales ante la suspensión de términos judiciales.

      6.2. El Caso del Poder Judicial en Perú (2022)

      Casi un año antes, el Poder Judicial del Perú sufrió un ataque similar (Ransomware Conti). La respuesta legal se centró en la Ley de Delitos Informáticos y en la auditoría de la ANPDP sobre el deber de custodia. Al comparar ambos casos, se observa que la región sufre de una «vulnerabilidad sistémica» que requiere no solo mejores leyes, sino una cooperación técnica andina más estrecha.

      7. La Prueba Digital: Un Reto Procesal Compartido

      Para el litigante en el Externado o en Lima, la validez de la prueba digital es crítica. Colombia, a través de la Ley 527 de 1999 (Congreso de la República de Colombia, 1999), y el Perú, mediante la Ley N° 27269 (Congreso de la República del Perú, 2000), reconocen la equivalencia funcional del mensaje de datos y la firma digital. Este principio, inspirado en la Ley Modelo de la CNUDMI sobre Comercio Electrónico (Naciones Unidas, 1996), permite que la información en formato digital tenga la misma validez y efectos jurídicos que un documento físico firmado de forma manuscrita. Sin embargo, la cadena de custodia sigue siendo el «talón de Aquiles» en los procesos judiciales. Sin una correcta preservación de los logs y metadatos, la mejor ley de delitos informáticos resulta inoperante.

      8. Conclusiones y Propuestas

      La ciberseguridad en Colombia y Perú ha evolucionado de ser un área de nicho a una disciplina transversal del Derecho. Las conclusiones de este análisis sugieren:

      • Armonización Regional: Es necesario que la Comunidad Andina emita una Decisión que estandarice los niveles de protección de datos para facilitar el flujo transfronterizo seguro.
      • Responsabilidad Civil Proactiva: Las empresas no deben ser sancionadas solo por el ataque, sino por la falta de medidas preventivas razonables (estándar de debida diligencia).
      • Especialización Judicial: La complejidad de las TIC exige jueces y fiscales que comprendan no solo la norma, sino el funcionamiento del blockchain, la IA y el cifrado.

      En conclusión, mientras Colombia destaca por su madurez institucional y su robusta jurisprudencia en la SIC, el Perú ofrece un marco legal sólido y una reciente política de confianza digital muy ambiciosa. Para la Universidad Externado de Colombia, este análisis comparado reafirma que el futuro del Derecho está intrínsecamente ligado a la capacidad de nuestras leyes para proteger la vida digital de los ciudadanos.

      Bibliografía actualizada:

      Autoridad Nacional de Protección de Datos Personales. (2023). Guía sobre medidas de seguridad para el tratamiento de datos personales. Ministerio de Justicia y Derechos Humanos del Perú.

      Congreso de la República de Colombia. (1999, 18 de agosto). Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales. Diario Oficial No. 43.673.

      Congreso de la República de Colombia. (2009, 5 de enero). Ley 1273 de 2009: Por medio de la cual se modifica el Código Penal y se crea un nuevo bien jurídico denominado «de la protección de la información y de los datos». Diario Oficial No. 47.223.

      Congreso de la República de Colombia. (2012, 17 de octubre). Ley 1581 de 2012: Por la cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial No. 48.587.

      Congreso de la República del Perú. (2000, 28 de mayo). Ley N° 27269: Ley de Firmas y Certificados Digitales. Diario Oficial El Peruano.

      Congreso de la República del Perú. (2011, 3 de julio). Ley N° 29733: Ley de Protección de Datos Personales. Diario Oficial El Peruano.

      Congreso de la República del Perú. (2013, 22 de octubre). Ley N° 30096: Ley de Delitos Informáticos. Diario Oficial El Peruano.

      Congreso de la República del Perú. (2014, 10 de marzo). Ley N° 30171: Ley que modifica la Ley 30096, Ley de Delitos Informáticos. Diario Oficial El Peruano.

      Consejo de Europa. (2001, 23 de noviembre). Convenio sobre la Ciberdelincuencia (Convenio de Budapest). Serie de Tratados Europeos – n.º 185.

      Consejo Nacional de Política Económica y Social (CONPES). (2020). Documento 3995: Política Nacional de Confianza y Seguridad Digital. Departamento Nacional de Planeación de Colombia.

      Defensoría del Pueblo del Perú. (2022). Oficio N° 0245-2022-DP: Pronunciamiento sobre la filtración de datos personales en entidades del Estado.

      Naciones Unidas. (1996). Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su incorporación al derecho interno. Comisión de las Naciones Unidas para el Derecho Mercantil Internacional.

      Poder Judicial del Perú. (2022). Comunicado oficial sobre la activación de protocolos de seguridad ante ataque de ransomware.

      Presidencia del Consejo de Ministros del Perú. (2020, 9 de enero). Decreto de Urgencia N° 007-2020: Decreto de Urgencia que establece el Marco de Confianza Digital. Diario Oficial El Peruano.

      Presidencia del Consejo de Ministros del Perú. (2023). Decreto Supremo N° 085-2023-PCM: Política Nacional de Transformación Digital al 2030. Diario Oficial El Peruano.Rincón Cárdenas, E. (2020). Derecho del comercio electrónico y de la contratación digital. Universidad Externado de Colombia.

      Superintendencia de Industria y Comercio (SIC). (2023). Informe sobre el impacto del incidente de ciberseguridad en proveedores de servicios críticos. Bogotá, Colombia.

      Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea.

      1. Estudiante de último año de Derecho, interesada en el Derecho Digital, la regulación de la inteligencia artificial y el Derecho Tributario. Desarrolla actividades de investigación y análisis jurídico sobre los desafíos regulatorios derivados de la innovación tecnológica. ↩︎

      *La entrada publicada en el Blog no refleja la opinión del Departamento de Derecho, Comunicaciones y Tecnologías de la Información. El autor es el único responsable del contenido y las opiniones expresadas en la misma*.

      *Foto de Markus Spiske en Unsplash