Saltar al contenido
Abogadía
Volver al blog
Penal

      

Equipo Abogadía17 de abril de 20265 min de lectura

La Ley 21.459 modernizó el marco penal chileno en materia de delitos informáticos, incorporando nuevos tipos penales alineados con el Convenio de Budapest. Conoce las conductas sancionadas, las agravantes y la responsabilidad de las empresas.

Antecedentes y contexto de la Ley 21.459 sobre Delitos Informáticos

Chile contaba desde 1993 con la Ley N° 19.223, primera norma penal específica sobre delitos informáticos en el país. Sin embargo, el avance tecnológico exponencial y la adhesión de Chile al Convenio de Budapest sobre Cibercriminalidad (instrumento multilateral de referencia del Consejo de Europa) hicieron necesaria una actualización profunda. El resultado fue la Ley N° 21.459, publicada el 20 de junio de 2022 en el Diario Oficial, que derogó la Ley 19.223 y estableció un nuevo catálogo de delitos informáticos.

La ley se estructura en seis tipos penales principales, normas sobre circunstancias agravantes, disposiciones procesales y, crucialmente, reglas sobre responsabilidad penal de personas jurídicas.

Tipos Penales: los nuevos delitos informáticos de la Ley 21.459

1. Acceso ilícito a sistemas informáticos (Art. 2)

Sanciona a quien accede sin autorización o excediendo la autorización recibida a un sistema informático. La pena base es de presidio menor en su grado mínimo a medio (61 días a 3 años). No se requiere que el acceso cause un daño efectivo; la mera intrusión no autorizada ya configura el tipo.

Es importante distinguir este delito del concepto de hacking ético: las empresas que contratan servicios de pruebas de penetración deben formalizar expresamente la autorización por escrito, pues la ausencia de ese respaldo puede exponer a los profesionales de ciberseguridad a persecución penal.

2. Interceptación ilícita (Art. 3)

Penaliza la interceptación no autorizada de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema informático, incluyendo las emisiones electromagnéticas. La sanción asciende a presidio menor en su grado medio a máximo (541 días a 5 años). Este tipo tiene especial relevancia en contextos de espionaje corporativo y captación ilegal de comunicaciones empresariales.

3. Ataque a la integridad de los datos (Art. 4)

Sanciona a quien maliciosamente altere, dañe, borre, deteriore, suprima o haga inaccesibles datos informáticos. Pena: presidio menor en su grado medio (541 días a 3 años). Los ataques de ransomware que cifran datos de una organización para extorsionar su liberación pueden configurar este tipo.

4. Ataque a la integridad de sistemas informáticos (Sabotaje informático, Art. 5)

Consiste en obstaculizar o interrumpir gravemente el funcionamiento de un sistema informático. La pena va de presidio menor en su grado medio a máximo (541 días a 5 años). Los ataques de denegación de servicio (DDoS) dirigidos contra infraestructura crítica —hospitales, servicios financieros, organismos públicos— son el caso paradigmático.

5. Fraude informático (Art. 7)

Es el tipo penal de mayor impacto patrimonial. Sanciona a quien, para obtener un beneficio económico, manipule un sistema informático mediante introducción, alteración, borrado o supresión de datos, o mediante cualquier interferencia en el funcionamiento de un sistema. Pena: presidio menor en su grado medio a máximo (541 días a 5 años). El phishing bancario y las transferencias fraudulentas obtenidas mediante ingeniería social seguida de acceso a sistemas pueden calificarse bajo este artículo.

6. Abuso de dispositivos (Art. 8)

Penaliza la producción, venta, obtención o importación de dispositivos, programas informáticos o contraseñas diseñados principalmente para cometer los delitos anteriores. Esta norma busca atacar el mercado de herramientas maliciosas (malware, exploit kits).

Agravantes específicas de los delitos informáticos

El artículo 11 de la Ley 21.459 establece circunstancias agravantes especiales que elevan la pena en un grado cuando el delito:

  • Afecta infraestructura crítica del país (sistemas de energía, agua, transporte, salud).
  • Es cometido por un funcionario público en ejercicio de sus funciones.
  • Causa un daño grave o afecta a un número significativo de personas o sistemas.
  • Es ejecutado por una organización criminal.

Estas agravantes pueden interactuar con las reglas generales de agravantes del artículo 12 del Código Penal, en particular las referidas a la premeditación conocida y el abuso de confianza.

Falsificación informática y relación con el Código Penal

La Ley 21.459 tipifica en su artículo 9 la falsificación informática, como modalidad específica que complementa la falsificación documental de los artículos 197 y 198 del Código Penal. La conducta consiste en introducir, alterar, borrar o suprimir datos informáticos con la intención de que sean tomados como auténticos. Este delito es de gran relevancia en contextos de alteración de registros contables electrónicos o facturas electrónicas.

Competencia y procedimiento penal

Los delitos de la Ley 21.459 son de acción penal pública y se tramitan conforme al Código Procesal Penal. La competencia corresponde a los Juzgados de Garantía en la etapa de investigación y formalización, y al Tribunal de Juicio Oral en lo Penal en caso de acusación. La Fiscalía de Alta Complejidad y la Brigada del Cibercrimen de la PDI son los organismos especializados en la persecución e investigación de estos delitos.

Responsabilidad penal de personas jurídicas

La Ley N° 20.393 establece la responsabilidad penal de las personas jurídicas. La Ley 21.459, en su artículo 13, incorpora los delitos informáticos al catálogo de ilícitos que pueden generar responsabilidad para la empresa cuando son cometidos directa o indirectamente en su interés o para su provecho por sus directivos, administradores o personas sometidas a su supervisión.

Las sanciones para las personas jurídicas incluyen multas de hasta 20.000 UF, pérdida de beneficios fiscales, prohibición de contratar con el Estado y, en casos graves, la disolución de la entidad. El modelo de prevención del delito (compliance) es el mecanismo de exención o atenuación de responsabilidad: una empresa que acredita contar con un modelo eficaz de prevención puede evitar o reducir significativamente las sanciones.

Recomendaciones para empresas ante la Ley 21.459

  • Implementar o actualizar el modelo de prevención de delitos incorporando los riesgos de cibercriminalidad.
  • Formalizar por escrito las autorizaciones para pruebas de penetración y auditorías de seguridad.
  • Establecer protocolos de respuesta a incidentes (incident response plan) para minimizar daños y facilitar la colaboración con el Ministerio Público.
  • Capacitar al personal en ingeniería social, phishing y uso seguro de sistemas.
  • Revisar los contratos con proveedores tecnológicos para incluir cláusulas de ciberseguridad y responsabilidad en caso de brechas.

¿Necesitas gestionar tu estudio jurídico?

Abogadía centraliza causas, plazos, clientes y finanzas en una sola plataforma diseñada para abogados chilenos.

Empezar gratis

Artículos relacionados

Penal

El Proceso Penal en Chile: Etapas, Derechos y Plazos

Leer
Penal

Prisión Preventiva en Chile: Requisitos, Duración y Derechos

Leer
Procesal

Plazos Procesales Civiles en Chile: Guía Completa 2026

Leer