Cargando
Carolina Lia Navarro Llallico
La creciente digitalización de la administración pública, del sector empresarial y en la vida cotidiana ha convertido al ciberespacio en un eje fundamental para el desarrollo del Perú. No obstante, esta dependencia tecnológica ha expuesto al país a una escalada de amenazas, evidenciada por la alta vulnerabilidad de la región y el alarmante número de ciberataques que sufre anualmente.
Ante este panorama, el Estado peruano ha desarrollado un marco normativo tripartito cuyo objetivo es gestionar los riesgos digitales desde distintos frentes: la sanción penal de los ciberdelitos, la ciberdefensa de la seguridad nacional y la gobernanza para fomentar la confianza en el entorno digital.
El presente trabajo analiza la forma en que la Ley N° 30096, Ley de Delitos Informáticos, la Ley N° 30999, Ley de Ciberdefensa, y el Decreto de Urgencia N° 007-2020, establecen las bases legales, las responsabilidades institucionales y los mecanismos de respuesta obligatorios para proteger los intereses y la infraestructura esencial del país.
Convenio sobre la Ciberdelincuencia, 23 de noviembre de 2001.
Ley 30096 (2013). Ley de Delitos Informáticos. Congreso de la República del Perú.
Ley 30999 (2019). Ley de Ciberdefensa. Congreso de la República del Perú.
Decreto de Urgencia N° 007-2020 (2020). Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento. Presidencia de la República.
De acuerdo con Zevallos, el Perú sufre un millón de ciberataques al año (Zevallos, 2025).
Según el informe IBM X-Force Threat Intelligence Index del 2025 (como se cita en Zevallos, 2025), Latinoamérica es la quinta región más vulnerable a ataques cibernéticos en el mundo y Perú está entre los tres países que más sufren de estos ataques en la región.
Zevallos indica que actualmente, los delincuentes informáticos suelen infiltrarse de forma silenciosa. De hecho, el 30% de los ciberataques se lleva a cabo al utilizar credenciales que ya poseen y que les otorgan un acceso que el sistema reconoce como legítimo (Zevallos, 2025).
Las fallas en la seguridad informática no solo generan un gasto económico para las empresas, sino que también pueden afectar seriamente su imagen o reputación, y su funcionamiento diario operativo. En promedio, el costo de manejar la contención y la recuperación de una filtración de datos ilícita asciende a unos $ 2.51 millones de dólares.2
Para fines de comprender el desarrollo normativo de los delitos relacionados con sistemas y datos informáticos, se debe mencionar al Convenio sobre la Ciberdelincuencia, que es el primer tratado internacional que regula dichos delitos.
El Convenio sobre la Ciberdelincuencia se adoptó el 23 de noviembre de 2001, en la ciudad de Budapest, Hungría, debido a que se reconoció la necesidad de cooperación entre los Estados y el sector privado en la lucha contra la ciberdelincuencia, así como la importancia de salvaguardar los intereses legítimos relacionados con el uso y el avance de las tecnologías de la información.
El referido convenio es un tratado internacional que permite a jueces y fiscales el solicitar cooperación internacional para investigar y sancionar delitos cometidos a través de medios informáticos, tales como: acceso ilícito, atentado contra la integridad de datos y sistemas informáticos, tráfico ilegal e interceptación de datos informáticos, fraude, suplantación de identidad, y abusos de mecanismos y dispositivos informáticos, los cuales están tipificados en la Ley N° 30096, Ley de Delitos Informáticos.3
En el Perú se aprobó el presente tratado mediante Resolución Legislativa N° 30913, del 12 de febrero de 2019, y entró en vigor el 1 de diciembre de 2019. Al firmar el Convenio sobre la Ciberdelincuencia, el Perú se comprometió a llevar a cabo una lucha directa y eficaz contra la ciberdelincuencia y garantizar una cooperación internacional rápida y eficiente en asuntos de índole penal (Ministerio Público Fiscalía de la Nación, 2020).
En el ámbito normativo peruano, se emitió la Ley N° 30096, Ley de Delitos Informáticos, publicada el 22 de octubre de 2013, la cual es el marco legal principal que regula las sanciones penales contra la ciberdelincuencia.
El artículo 1 de la ley establece que esta norma tiene por objeto combatir eficazmente la ciberdelincuencia al establecer mecanismos de prevención y sanción para todas aquellas acciones ilegales que emplean tecnologías de la información o comunicación con el fin de dañar sistemas informáticos, datos o cualquier otro bien jurídicamente protegido.
Por su parte, el artículo 2 de la ley señala que el acceso ilícito, que se lleva a cabo cuando una persona, de forma intencional y sin tener derecho a ello, ingresa a un sistema informático (ya sea en su totalidad o en alguna de sus partes), o bien, supera los límites de acceso que le fueron otorgados, será sancionada con una pena de prisión de uno a cuatro años.
Si la persona comete el mismo acto, pero para lograrlo supera las medidas de seguridad que el sistema tenía implementadas para evitar el ingreso no autorizado, la sanción será significativamente mayor. En este caso, la pena de prisión es de tres a seis años.
El artículo 3 de la ley indica que se sancionará con tres a seis años de prisión, a quien de manera intencional e ilegal, afecte datos informáticos. Las acciones penalizadas son: dañar, borrar, modificar, introducir, o hacer inaccesibles esos datos dentro de un sistema.
El artículo 4 de la ley determina que la persona que, con la intención y sin tener autorización legal, cause un daño funcional a un sistema informático, al inutilizar, impedir o bloquear el acceso de usuarios legítimos, o entorpecer o imposibilitar su funcionamiento o la prestación de sus servicios, será sancionada con una pena de prisión que va de tres a seis años.
El artículo 7 de la ley señala que quien intencionalmente y sin autorización interfiere cualquier transmisión de datos informáticos no públicos, incluidas las emisiones electromagnéticas, será sancionado con una pena de prisión de tres a seis años. La pena aumenta, de cinco a ocho años, si los datos interceptados son secretos, reservados o confidenciales (conforme a la Ley N° 27806, Ley de Transparencia).
En adición, la pena es máxima, de ocho a diez años, si el delito compromete la defensa, seguridad o soberanía nacionales. Asimismo, si el delincuente es parte de una organización criminal, la pena máxima de cualquiera de los supuestos anteriores se incrementa en un tercio.
Por otra parte, el artículo 8 indica que se castigará a quien intencionalmente y de forma ilegal obtenga un beneficio económico indebido para sí mismo o para otra persona, causando un perjuicio a un tercero, a través de cualquiera de las siguientes acciones en un sistema informático: a) diseñar, introducir, alterar, borrar, eliminar o clonar datos, b) suplantar interfaces o páginas web, y c) cualquier otra interferencia o manipulación en el funcionamiento del sistema. La sanción para este delito es una pena de cárcel de entre cuatro y ocho años.
La pena de cárcel se incrementa a un rango de cinco a diez años, en dos casos específicos: cuando el delito afecte los bienes del Estado que están destinados a ayuda social o programas de asistencia (por ejemplo, fondos para programas sociales o asistenciales) y cuando una persona colabora intencionalmente en la comisión del delito, facilitando la transferencia de los activos o dinero obtenidos ilegalmente.
El artículo 8-A expresa que la persona que utiliza plataformas digitales, internet o medios similares para engañar, amenazar, forzar o intimidar a alguien para que acepte dinero o bienes, simulando un préstamo o cualquier otro tipo de contrato con el fin de conseguir un beneficio indebido, será sancionada con una pena de cárcel no menor de diez años ni mayor de 15 años.
Asimismo, el artículo 9 determina que la persona que utiliza tecnologías digitales (como internet, redes sociales, correo electrónico, etc.) para hacerse pasar por otra persona (ya sea una persona individual o una empresa) y como resultado de esa suplantación, se cause un perjuicio o daño a la víctima, ya sea material, moral o de cualquier otra índole, será sancionada con una pena de cárcel no menor de tres años ni mayor de cinco años.
La pena se incrementa considerablemente a un rango no menor de seis años ni mayor de nueve años, cuando la víctima de la suplantación de identidad es una persona menor de 18 años de edad, y se cause el perjuicio (material, moral o de otra índole) mencionado anteriormente.
Por su parte, el artículo 9-A establece que la persona que, utilizando sistemas informáticos u otro mecanismo, realice una de las siguientes acciones: a) active una tarjeta SIM o una línea de servicio móvil en la base de datos de una compañía telefónica sin tener la autorización del titular legítimo de esa línea, b) active una tarjeta SIM o una línea móvil cuando la información del titular registrada sea falsa o incorrecta, será sancionada con una pena de cárcel no menor de cuatro años ni mayor de ocho años, e inhabilitación, según lo establece el numeral 4 del artículo 36 del Código Penal.
Por otro lado, de acuerdo con el artículo 10 de la presente ley, será castigada con una pena de prisión de uno a cuatro años cualquier persona que, de forma intencional e ilegal, cree, fabrique, venda, distribuya o adquiera cualquier tipo de herramienta informática (como programas, dispositivos, contraseñas, códigos o datos) cuyo único propósito sea facilitar la comisión de los delitos establecidos en la citada norma. La misma sanción aplica a quien ofrezca servicios que contribuyan al mismo fin delictivo.
Finalmente, el artículo 11 de la presente ley expresa que el juez tiene la obligación de incrementar la pena de prisión hasta en un tercio adicional por encima del máximo establecido para el delito informático cometido, cuando el responsable incurra en cualquiera de las siguientes circunstancias:
Por otra parte, en el Perú se publicó la Ley N° 30999, Ley de Ciberdefensa, el 27 de agosto de 2019, y tiene por objeto establecer el marco normativo en materia de ciberdefensa del Estado peruano, regulando las operaciones militares en y mediante el ciberespacio a cargo del Ministerio de Defensa dentro de su ámbito de competencia.
En ese sentido, la ley tiene como finalidad el resguardar la soberanía y los intereses nacionales, asegurando la protección de los activos y recursos críticos del país frente a incidentes o ataques cibernéticos que tengan un impacto directo en la seguridad nacional.
La referida ley señala que se entiende por ciberdefensa a la capacidad militar que permite actuar frente a amenazas o ataques realizados en y mediante el ciberespacio cuando estos afecten la seguridad nacional.
Los órganos ejecutores de esta ley son las Fuerzas Armadas, constituidas por el Ejército, la Marina de Guerra y la Fuerza Aérea, y el Comando Conjunto de las Fuerzas Armadas.
La planificación y ejecución de las operaciones de ciberdefensa a cargo del Comando Conjunto de las Fuerzas Armadas responde a su obligación de emplear las capacidades de ciberdefensa contra las amenazas o los ataques en y mediante el ciberespacio, cuando estos afecten la seguridad nacional.
La Presidencia del Consejo de Ministros, actuando como miembro del Consejo de Seguridad y Defensa Nacional, define los procedimientos operativos necesarios para la gestión, colaboración, intercambio de información y puesta en marcha de las medidas establecidas en la presente ley (artículo 13).
Por último, la presente ley reconoce a las entidades que gestionan recursos críticos de internet (dominios, IP) como vinculadas a la ciberdefensa, obligándolas a mantener mecanismos de comunicación de incidentes que pudieran afectar la ciberdefensa nacional.
Por otro lado, el Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento, publicado el 9 de enero de 2020, sienta la base jurídica para la seguridad digital a nivel del país.
La referida norma tiene por objeto establecer las medidas que resultan necesarias para garantizar la confianza de las personas en su interacción con los servicios digitales prestados por entidades públicas y organizaciones del sector privado en el territorio nacional.
Las normas y procedimientos que rigen la Confianza Digital, establecida en el Decreto de Urgencia N° 007-2020, son aplicables a las entidades públicas, las organizaciones de la sociedad civil, ciudadanos, empresas y academia (artículo 2).
La confianza digital es un estado que se alcanza cuando las interacciones en el entorno digital son percibidas como verdaderas, éticas, seguras, abiertas y predecibles. Representa, por lo tanto, un elemento esencial para impulsar la transformación digital (artículo 3).
En la referida norma se establece el Marco de Confianza Digital, el cual es una estructura integral que agrupa una serie de elementos esenciales, como principios, modelos, políticas, normas, procesos, roles, personas y tecnologías mínimas, cuyo propósito es garantizar y sostener la confianza en todo el entorno digital (artículo 4).
El Marco de Confianza Digital abarca tres áreas normativas, cada una con un ente responsable:
El ente rector del Marco de Confianza Digital es la Presidencia del Consejo de Ministros (artículo 5).
Además, se ha establecido el Centro Nacional de Seguridad Digital, que es una plataforma digital fundamental cuya función es: gestionar, dirigir y supervisar la seguridad digital a nivel nacional, ser el único punto de contacto nacional en las comunicaciones y coordinaciones con otros organismos, e incorporar al Equipo de Respuesta a Incidentes de Seguridad Digital Nacional, para gestionar la respuesta y/o recuperación ante incidentes de seguridad digital en el ámbito nacional.
El Decreto de Urgencia N° 007-2020 establece obligaciones específicas para los proveedores de servicios digitales en el país, para fortalecer la seguridad y la gestión de incidentes (artículo 9).
El artículo 9 de la referida norma indica que las entidades de la administración pública, los proveedores de servicios digitales del sector financiero, servicios básicos (energía eléctrica, agua y gas), salud y transporte de personas, proveedores de servicios de internet, proveedores de actividades críticas y de servicios educativos, deben:
Conforme al artículo 12 del Decreto de Urgencia N° 007-2020, las entidades públicas y privadas deben administrar los datos (especialmente personales, biométricos y espaciales) como activos estratégicos, garantizando su uso ético, transparencia y estricto cumplimiento de la normativa de protección de datos personales.
Además, se crea el Centro Nacional de Datos como una plataforma digital, a cargo de la Secretaría de Gobierno Digital, para gestionar, dirigir y supervisar la operación, colaboración y gobernanza de datos a nivel nacional.
Por último, se crea el Registro Nacional de Incidentes de Seguridad Digital, que tiene el objetivo de consolidar la información sobre incidentes reportados para su análisis y solución. La información contenida en dicho registro tiene carácter confidencial.
El análisis del marco normativo peruano en materia digital y los datos sobre la incidencia de ciberataques permiten establecer las siguientes conclusiones:
El Perú enfrenta una situación alarmante de ciberseguridad, siendo uno de los países más atacados de la región, con aproximadamente un millón de incidentes anuales. El impacto de estos ataques va más allá de lo técnico, generando costos millonarios para las empresas en términos de contención y recuperación, además de un grave daño a su imagen. Esta realidad hace imperativa y urgente la adopción de medidas de seguridad digital robustas tanto en las entidades gubernamentales como en el sector privado.
El Estado peruano ha establecido un marco legal integral que aborda los riesgos cibernéticos desde tres ángulos principales:
El Decreto de Urgencia N° 007-2020 impone responsabilidades claras y de cumplimiento obligatorio para los sectores críticos (como el financiero, energético, de salud y transporte). Estas entidades deben gestionar activamente sus riesgos y, fundamentalmente, notificar los incidentes de seguridad.
En resumen, la legislación peruana reconoce la complejidad del riesgo digital a través de un marco normativo que va de la sanción punitiva a la respuesta militar y la gobernanza preventiva. El desafío pendiente reside en la efectiva implementación de estos protocolos, la coordinación continua entre los entes rectores y el cumplimiento riguroso de las obligaciones por parte de los proveedores de servicios digitales para transformar esta base normativa en una resiliencia digital tangible.
[1] IBM. (2025). IBM X-Force 2025 Threat Intelligence Index. https://www.ibm.com/thought-leadership/institute-business-value/report/2025-threat-intelligence-index
[2] Zevallos, J. (2025, 10 de noviembre). La factura invisible de la inseguridad digital en Perú. El Comercio. https://elcomercio.pe/economia/dia-1/la-factura-invisible-de-la-inseguridad-digital-en-el-peru-por-juan-carlos-zevallos-factura-inseguridad-digital-opinion-noticia/?ref=ecr
[3] Ministerio Público Fiscalía de la Nación. (2020, 15 de setiembre). Convenio sobre la Ciberdelincuencia permite a jueces y fiscales realizar requerimientos de cooperación internacional. Gobierno del Perú. Recuperado el 19 de noviembre de 2025, de https://www.gob.pe/institucion/mpfn/noticias/302628-convenio-sobre-la-ciberdelincuencia-permite-a-jueces-y-fiscales-realizar-requerimientos-de-cooperacion-internacional