Hasta 2022, Chile regulaba los delitos informáticos con una ley de 1993. Sí, 1993: el año en que el 99% de las pymes chilenas no tenía computador. La Ley 21.459, vigente desde junio de 2022, reemplazó ese texto y lo alineó con el Convenio de Budapest, el estándar internacional de referencia en ciberdelincuencia.

Esta es la ley más "antigua" de las tres que regulan el mundo digital empresarial en Chile, y lleva tres años en plena vigencia. Ya se han formalizado investigaciones y condenas bajo su marco. No es hipotética.

Los 8 delitos que tipifica la ley

La ley tipifica ocho conductas específicas. Vale la pena conocerlas porque te ayudan a entender cuándo puedes denunciar y qué tan grave es lo que pasó:

  • Art. 1° — Ataque a la integridad de un sistema informático: sabotaje, ransomware, ataques DDoS. Pena: hasta 5 años de presidio.
  • Art. 2° — Acceso ilícito (hacking sin autorización): entrar a sistemas ajenos sin permiso. Pena: 61 a 540 días o multa.
  • Art. 3° — Interceptación ilícita de transmisiones: espionaje de redes, capturas de tráfico. Pena: hasta 3 años.
  • Art. 4° — Ataque a la integridad de datos: destruir, alterar o borrar datos. Pena: hasta 3 años.
  • Art. 5° — Falsificación informática: alterar datos para hacerlos pasar por auténticos. Pena: hasta 5 años.
  • Art. 6° — Receptación de datos: recibir o usar datos robados sabiendo su origen. Pena: hasta 5 años.
  • Art. 7° — Fraude informático: manipular sistemas para obtener beneficio económico. Pena: hasta 5 años más multa.
  • Art. 8° — Abuso de dispositivos: fabricar o distribuir herramientas para cometer los delitos anteriores.

Agravante clave: cuando el ataque afecta infraestructura crítica (hospitales, energía, telecomunicaciones), las penas se elevan automáticamente en un grado. Un ransomware a un hospital no se juzga igual que uno a una consultora.

Tu empresa puede ser víctima y responsable al mismo tiempo

La ley no solo protege a las empresas como víctimas. También establece responsabilidad penal de personas jurídicas cuando el delito es cometido por directivos, representantes o empleados en beneficio de la empresa.

Dicho de otra forma: si alguien en tu empresa usa los sistemas de la organización para acceder ilegalmente a sistemas de terceros, la empresa misma puede enfrentar sanciones. Las multas para personas jurídicas van de 200 a 20.000 UTM, más la posibilidad de suspensión de actividades o prohibición de contratar con el Estado.

Cómo se ve esto en práctica: casos reales

El escenario más común para una pyme chilena es el ransomware (Art. 1°). El atacante cifra los archivos del servidor, deja un mensaje pidiendo pago en criptomonedas y la empresa se queda sin acceso a su información. Eso es un ataque a la integridad de un sistema informático. Es un delito. Se puede denunciar.

El segundo caso más frecuente es el fraude informático (Art. 7°): un empleado o proveedor externo manipula el sistema contable, accede a cuentas bancarias de la empresa o redirige pagos. También es delito y también se puede denunciar.

Cómo denunciar: dónde ir y qué llevar

Las denuncias van a la Brigada Investigadora del Cibercrimen (BRICIB) de la PDI o directamente a la Fiscalía más cercana. No es necesario tener todo resuelto antes de denunciar, pero sí necesitas evidencia.

Y aquí está el problema que vemos frecuentemente: las empresas que no mantienen logs de sus sistemas no tienen qué presentar. Sin registros de auditoría, sin capturas del sistema al momento del incidente, sin documentación de lo que pasó, la investigación penal tiene muy poco con qué trabajar.

Qué deberías tener listo antes de que pase algo

  1. Logs activos en todos los sistemas críticos: servidores, firewall, accesos a aplicaciones. Sin logs, no hay prueba.
  2. Un procedimiento documentado de respuesta a incidentes: quién hace qué, en qué orden, a quién se avisa.
  3. Contratos laborales y de prestación de servicios con cláusulas explícitas de confidencialidad y acceso autorizado a sistemas.
  4. Respaldos offline o inmutables: si el atacante cifra tus archivos, necesitas poder restaurar desde un punto limpio.
  5. Contacto previo con la BRICIB de la PDI: muchas regiones tienen canales de contacto directo y es útil tenerlos guardados antes de necesitarlos.

La PDI tiene una línea de atención para cibercrimen en el número 134. Si sufres un ataque, la preservación de evidencia digital en las primeras horas es crítica para la investigación.

Conocer la ley tiene valor preventivo también: cuando los empleados saben que ciertas conductas son delitos con penas de presidio, el marco cultural de seguridad interna cambia. No es amenaza; es contexto real.

Fuentes y referencias