Por: Eduardo Alejos Toribio
1. Anotación previa
Toda transformación tecnológica modifica silenciosamente las estructuras de poder y redefine las zonas de vulnerabilidad. En el siglo XXI, la empresa ha dejado de ser un espacio físico limitado a oficinas y archivos: hoy su valor reside en los datos, en la trazabilidad de sus operaciones y en la confianza digital que inspira[1].
Sin embargo, esa misma virtualización que prometía eficiencia y modernidad ha abierto grietas profundas en la seguridad jurídica y económica. En octubre de 2024, el ataque sufrido por Interbank, por ejemplo, con la filtración de datos personales de tres millones de clientes no fue solo un episodio aislado, sino una advertencia colectiva: el ciberespacio se ha convertido en un nuevo territorio delictivo donde las fronteras nacionales se difuminan y la responsabilidad empresarial se vuelve difusa[2].
En este contexto, la cibercriminalidad no debe entenderse únicamente como una amenaza tecnológica, sino como un fenómeno jurídico y social que exige una respuesta estructural[3]. La ley penal, por sí sola, resulta insuficiente cuando el delito se materializa a la velocidad de un clic. La verdadera cuestión no es solamente quién comete el delito, sino cómo el Estado y las empresas responden a la nueva forma del riesgo digital[4].
2. La apariencia del control
El avance de la tecnología ha sido acompañado por una tentación recurrente de los Estados: endurecer las sanciones como gesto de autoridad frente al miedo digital. Perú no ha sido ajeno a esta tendencia. La promulgación de la Ley N.º 30096 – Ley de Delitos Informáticos representó un esfuerzo normativo importante, inspirado en el Convenio de Budapest, primer tratado internacional sobre ciberdelincuencia[5].
Esta norma tipifica conductas como el acceso ilícito (art. 2), la interceptación de datos, la suplantación de identidad (art. 9) o la fraude informático[6]. No obstante, su aplicación ha demostrado que la respuesta penal llega siempre tarde: solo actúa cuando el daño ya se ha consumado y la información ya ha sido expuesta[7].
El Estado, en su lógica reactiva, suele confundir control con prevención, y termina construyendo una ilusión de seguridad jurídica que se desvanece ante cada nuevo ciberataque[8]. Se legisla, pero no se implementa política pública digital integral. Se amenaza con castigar, pero no se enseña a proteger[9].
Esta situación reproduce una suerte de populismo digital punitivo: una forma moderna de populismo penal donde la severidad de la pena sustituye a la eficacia técnica[10]. Como en el “populismo punitivo”, también aquí el legislador responde más a la demanda emocional de la sociedad que a la lógica racional de la política criminal. Se promete seguridad a cambio de control, sin advertir que el miedo digital también puede convertirse en una forma de manipulación social[11].
3. La erosión de la confianza
En materia empresarial, el daño que provocan los delitos informáticos va más allá de la pérdida de información o de capital. Lo que realmente se destruye es la confianza, ese bien intangible que sustenta toda relación económica[12]. Una filtración o hackeo genera efectos encadenados: Consecuencias económicas: las pérdidas pueden ser millonarias.
Las empresas afectadas deben invertir en restaurar sistemas, indemnizar a clientes y afrontar paralizaciones operativas. Los costos del cibercrimen global superan los 10 billones de dólares anuales[13], según estimaciones internacionales.
- Consecuencias reputacionales: el prestigio corporativo, forjado en años, puede perderse en horas. La exposición mediática de un fallo de seguridad afecta la percepción de confiabilidad, especialmente en el sector financiero y tecnológico.
- Consecuencias legales: la Autoridad Nacional de Protección de Datos Personales (ANPD) puede imponer severas sanciones por incumplir las normas de resguardo de información[14]. Además, los clientes perjudicados pueden iniciar acciones civiles por daños y perjuicios.
En síntesis, un delito informático convierte un incidente digital en una crisis institucional[15]. La empresa no solo enfrenta a los hackers, sino a la opinión pública, a sus clientes y al propio Estado.
4. El Derecho penal digital y el riesgo de la despersonalización
Existe un riesgo conceptual latente en el tratamiento de la ciberdelincuencia: el de construir una nueva categoría de enemigo, el “enemigo digital”[16]. En la narrativa pública, el hacker, el programador o incluso el trabajador interno sospechoso se presentan como figuras casi demonizadas. Se olvida que el derecho penal no puede perder de vista la humanidad del sujeto, aun en entornos tecnológicos.
Convertir al infractor digital en un enemigo absoluto erosiona el principio de proporcionalidad y debilita el sentido mismo del castigo. La represión penal sin prevención termina naturalizando la vigilancia total, legitimando políticas que sacrifican privacidad y libertad a cambio de una supuesta seguridad informática.
En este sentido, la respuesta jurídica debe cuidarse de no replicar el modelo del Derecho penal del enemigo en versión digital. El ciberespacio no puede convertirse en un pretexto para suspender garantías o consolidar un Estado tecnocrático donde los algoritmos sustituyan al debido proceso.
5. Compliance digital
El eje del nuevo paradigma no es el castigo, sino la prevención corporativa. En el ámbito de la gestión empresarial moderna, la cultura de compliance digital representa el tránsito de una organización reactiva que actúa solo después del daño hacia una empresa anticipatoria, capaz de integrar en su estructura la ética, la seguridad y la responsabilidad jurídica como dimensiones esenciales de su identidad institucional.
El compliance digital no debe entenderse como un conjunto aislado de protocolos técnicos, sino como una política integral de gobernanza, donde la prevención de riesgos informáticos se convierte en un componente estratégico del modelo empresarial. Implica la creación de sistemas que garanticen la detección temprana de vulnerabilidades, la verificación constante de accesos, la transparencia en el manejo de la información y la trazabilidad de todas las operaciones digitales que involucren datos sensibles[17].
En este contexto, la capacitación del personal adquiere un valor fundamental. La mayor parte de los incidentes informáticos no provienen de sofisticados ataques externos, sino de errores humanos, descuidos o desconocimiento de los protocolos de seguridad. De ahí que la formación continua sea la herramienta más eficaz para construir una verdadera conciencia digital dentro de la organización.
Asimismo, la adopción de protocolos internos de respuesta ante incidentes permite actuar con celeridad frente a intrusiones o filtraciones, minimizando el impacto jurídico y económico. No se trata solo de reaccionar ante el ataque, sino de saber comunicarlo, documentarlo y reportarlo conforme a las normas de protección de datos personales.
El monitoreo constante de la identidad digital corporativa también es crucial: verificar la autenticidad de los perfiles institucionales, los dominios y las comunicaciones oficiales evita casos de suplantación que pueden dañar gravemente la reputación de una empresa[18].
El uso de tecnología segura y actualizada desde sistemas de cifrado, firewalls, detección de intrusos y software legítimo constituye el soporte técnico de todo este entramado preventivo. Sin embargo, ningún sistema, por sofisticado que sea, puede sustituir la dimensión ética de la conducta humana dentro de la organización.
6. Conclusiones
- Más allá de la creación de nuevas normas o del endurecimiento de las penas, lo que el país necesita con urgencia es la construcción de un verdadero modelo de gobernanza digital, un esquema articulado en el que el Estado, el sector privado y la ciudadanía compartan la responsabilidad de proteger el entorno tecnológico como un bien común.
- Garantizar la seguridad digital de un país implica políticas sostenidas de inversión, fortalecimiento de capacidades técnicas, formación especializada en delitos informáticos, y la creación de espacios de cooperación internacional que permitan enfrentar la naturaleza transfronteriza de las amenazas cibernéticas.
- El delito informático no reconoce fronteras, y por tanto su combate exige un marco de colaboración global, transparente y basado en la confianza.
- En este sentido, si bien el Perú ha avanzado en la tipificación penal de las conductas delictivas en el entorno informático, continúa mostrando rezagos estructurales profundos.
- La falta de infraestructura institucional adecuada, la carencia de protocolos unificados de respuesta ante incidentes digitales, la insuficiencia de personal técnico especializado en las fiscalías y el exiguo presupuesto destinado a la investigación cibernética revelan un sistema que todavía reacciona, pero no previene.
- El resultado es un Estado que sanciona el delito consumado, pero que carece de capacidad operativa para anticiparse a él.
[1] Castells, M. (2009). La era de la información: Economía, sociedad y cultura. Siglo XXI.
[2] Diario El Comercio. (2024, 20 de octubre). Interbank confirma filtración de datos de clientes tras ataque informático
[3] López Barja de Quiroga, J. (2018). Delitos informáticos y protección de datos personales. Dykinson.
[4] Zúñiga Rodríguez, L. (2020). “Ciberseguridad y responsabilidad penal corporativa”. Revista Derecho & Sociedad, (54), 23–41.
[5] Council of Europe. (2001). Convenio sobre la Ciberdelincuencia (Budapest).
[6] Ver: LP. Pasión por el Derecho. (2024, 8 de agosto). Ley de Delitos Informáticos (Ley 30096) [actualizada].
[7] UNIR Perú. (2023). Tipos de delitos informáticos en la legislación peruana.
[8] Peña Cabrera, R. (2017). Derecho penal informático. Grijley.
[9] Calderón Sumarriva, M. (2019). “La política criminal frente a la ciberdelincuencia en el Perú”. Gaceta Penal & Procesal Penal, (104), 45–58.
[10] Jakobs, G., & Cancio Meliá, M. (2003). Derecho penal del enemigo. Civitas.
[11] Zaffaroni, E. R. (2015). La palabra de los muertos: conferencias de criminología crítica. Ediar.
[12] López Barja de Quiroga, J. (2018). Delitos informáticos y protección de datos personales. Dykinson.
[13] Cybersecurity Ventures. (2023). 2023 Official Cybercrime Report.
[14] Gobierno del Perú. (2011, 3 de julio). Ley N.º 29733 – Ley de Protección de Datos Personales.
[15] Código Civil Peruano, arts. 1969 y 1981.
[16] Jakobs, G., & Cancio Meliá, M. (2003). Derecho penal del enemigo. Civitas.
[17] Forbes Tech Council. (2022). Human error: The biggest cybersecurity risk in business.
[18] Soto Coaguila, J. (2022). Compliance y derecho penal económico. Palestra.
