Sumario: 1. Introducción, 2. Análisis del Proyecto de Ley, 3. Conclusión, 4. Bibliografía
1. Introducción
La ciberseguridad busca blindar los sistemas digitales frente a ataques de ciberdelincuentes, así como velar por la protección de datos, sistemas y activos digitales (Ríos Kruger, 2024). Actualmente, la situación en nuestro país es delicada respecto a dicha materia. Ello se evidenció en casos como el de Interbank, en el que un hacker no solo accedió a los sistemas informáticos del banco, sino incluso filtrar 75 GB datos de clientes, entre ellos: nombres completos, números de tarjetas y documentos de identidad (Infobae, 2024). El mencionado caso denota la desprotección de los sistemas informáticos.
Ante dichos sucesos, el Congreso de la República consideró necesario regular la ciberseguridad en el país mediante el Proyecto de Ley 9906/2024-CR (en adelante, “el Proyecto”) el 10 de enero del presente año. Como se manifiesta en la exposición de motivos, el propósito es “fortalecer la seguridad informática en el Perú, enfrentando las conductas ilícitas que buscan acceder, dañar o sustraer información digital perteneciente a personas naturales y jurídicas de derecho público y privado” (Congreso de la República, 2025, p.9). Así, se esboza la preocupación de proteger a la población de ciberataques.
En el presente artículo, se comentarán los aspectos más relevantes del Proyecto. Por ello, se realizará un análisis comparado con legislación extranjera en materia de ciberseguridad tanto para contrastar el Proyecto con dicha legislación como para formular recomendaciones de modificación como resultado de la comparación. Dicho análisis contemplará la regulación implementada en la Unión Europea, organismo pionero en normativa sobre ciberseguridad a nivel mundial; así como la Ley Marco de Ciberseguridad de Chile, Ley 21663. Esta última ley es importante para dicho análisis, pues es la primera ley en Latinoamérica en determinar un marco regulatorio en la materia al prever mecanismos y crear instituciones para gestionar la prevención y respuesta ante ciberataques.
2. Análisis del Proyecto de Ley
2.1. Protección de la información digital
En el artículo 1 del Proyecto, se establece como propósito proteger la información digital. Ello es importante, pues los ciberataques se vinculan con fuga o retención de información por parte de terceros. Por ejemplo, el malware implica emplear programas maliciosos para acceder sin autorización a información almacenada en los dispositivos. Asimismo, está el phishing, que consiste en engañar, mediante identidades falsas, a personas y entidades para que revelen datos frente a terceros (Humayun et al., 2019, p.3). En dicho sentido, está la necesidad de generar un marco jurídico en el que se salvaguarde la información digital.
Sin embargo, el Proyecto no contempla los principios a partir de los que se rige dicha protección. Regulaciones como las de la Unión Europea sí establecen parámetros de protección de la información. En el artículo 1.2 de la Directiva 2016/1148, se define la ciberseguridad como la capacidad de resistir cualquier ataque que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados. Por disponibilidad se entiende la obligación de asegurar el acceso oportuno a la información; por confidencialidad, la no divulgación de información a terceros; por integridad, la no manipulación por parte de terceros no autorizados; y por autenticidad, que garantice que el tercero que pretenda acceder a la información sea quien dice ser (Universidad La Rioja, 2023). Este último principio servirá para impedir accesos no autorizados por terceros que empleen identidades falsas, tal como ocurre en el caso del phishing.
Asimismo, preocupa el hecho de que el Proyecto se limite a señalar como objetivo proteger la información digital, pero sin indicar alguna medida a adoptar por parte de las instituciones, respecto a sus sistemas informáticos para garantizar dicha tutela. Al respecto, la Ley 21663 chilena contempla en su artículo 8 deberes como implementar sistemas de ciberseguridad, mantener un registro interno de acciones adoptadas en materia de ciberseguridad, establecer planes de continuidad operacional, realización de revisiones periódicas, adoptar medidas de restricción de acceso, entre otras.
2.2. Comunicación de incidentes
Asimismo, en el artículo 4 del Proyecto, se incorpora la comunicación de incidentes de seguridad derivados de sistemas informáticos del sector gubernamental y empresarial. Se señala que, de haber vulneración de datos personales, se notificará al funcionario responsable de la transparencia y datos personales; así como se informará a las autoridades competentes de acuerdo al sector en el que ocurra el incidente. Al respecto, resulta crucial que se regule dicha comunicación, pues ayudaría a reducir el impacto de los ciberataques una vez sean identificados. De esta forma, permitiría la detección, en tanto se realice el monitoreo de posibles brechas de seguridad, así como la alerta temprana de ciberataques (Jiménez Muñoz, 2013, p.139).
No obstante, cabe la posibilidad de realizar algunas especificaciones en el Proyecto sobre dicho aspecto. Por un lado, debería indicarse cuáles son los plazos para notificar incidentes. A partir del establecimiento de plazos de notificación, se evitarían comunicaciones y, por tanto, respuestas tardías ante brechas informáticas (Maldonado Álvarez, 2024, p.119). Por otro lado, es relevante destacar que un procedimiento de reporte de incidencias no solo debe centrarse en la mera identificación o detección, sino,sobre todo, en la respuesta, lo que implica adoptar medidas adecuadas contra el ataque existente (Paez Guarnizo, 2023, p.8).
Por ejemplo, la Ley 21663 chilena cumple con establecer plazos para acciones dirigidas al reporte de incidencias de acuerdo a etapas de mitigación de riesgo. Al inicio, se establece un plazo de 3 horas solo para la realización de la alerta informativa, así como uno de 72 horas para realizar el informe de monitoreo del incidente presentado. Sin perjuicio de ello, dicha ley no se limita únicamente a regular la comunicación, sino que, además, establece actuaciones posteriores, tal como la remisión de un reporte a los 15 días de notificada la incidencia, aquel que no se reducirá al mero diagnóstico, sino, también, a informar sobre las medidas de respuesta adoptadas.
Inscríbete aquí Más información
2.3. No basta con planificar y educar, se debe, además, fiscalizar y sancionar
En el artículo 5 del Proyecto, se crea un Comité de Ciberseguridad, aquel que planifica la mitigación de ataques informáticos a partir del diseño de líneas de acción a implementar en instituciones públicas. En el artículo 7, se establece que dicho órgano también se encuentra facultado para adoptar lineamientos dirigidos a instituciones privadas, a fin de contrarrestar brechas de seguridad. Al respecto, es importante crear un comité especializado en la materia para garantizar la planificación en virtud de criterios técnicos y sostenibles en el tiempo.
Por otro lado, en el mismo artículo 5 se señala que dicho comité se encargará de promover una cultura de ciberseguridad y establecer contenidos sobre la materia, en los currículos de educación superior. Este punto es relevante, pues la deficiente alfabetización digital resulta alarmante en el país, dado que, según el Programa para la Evaluación Internacional de Competencias de Adultos, entre 2017 y 2018, solo el 7% de los peruanos de 16 a 65 años eran competentes en la resolución de problemas tecnológicos (Gamboa y García, 2024, p.12). En este sentido, resulta sustancial, crear una cultura digital mediante la concientización de la población.
Sin embargo, la cultura digital no solo debe fomentarse a través de la planificación o de la educación, sino también, mediante la fiscalización y sanción. Por ejemplo, la Ley 21663 chilena no solo contempla en su artículo 48 un comité con funciones similares al del Proyecto, sino, además, crea en el artículo 11 la Agencia Nacional de Ciberseguridad, aquella encargada de supervisar el cumplimiento de las obligaciones de detección y respuesta ante incidentes, mediante inspecciones y auditorías que garanticen una evaluación a partir de criterios objetivos. Además, en el artículo 38, se reconoce la competencia para sancionar el incumplimiento a diversas obligaciones expresamente establecidas en dicha ley, tales como designar un delegado de ciberseguridad, informar a los afectados sobre incidencias o ataques, o adoptar de forma oportuna acciones para la reducción de impacto. Bajo dichos parámetros, sería recomendable crear en Perú una agencia que ejerza dichas funciones, aparte del comité propuesto por el Proyecto.
2.4. Cooperación público-privada e interinstitucional en materia de ciberseguridad
Como se señala en el artículo 8 del Proyecto, las entidades públicas y privadas deben cooperar mutuamente por el mantenimiento de la ciberseguridad a nivel nacional. Ello va en concordancia con lo expresado en la exposición de motivos, en la que se resalta como objetivo de la propuesta legislativa, promover la colaboración entre el Estado, el sector privado, la academia y la sociedad civil (Congreso de la República, 2025, p.10). En efecto, se desprende que la cooperación público-privada es un pilar esencial en el marco legal formulado en el Proyecto.
En lo relacionado a dicho punto, considero que no es suficiente con mencionar la cooperación público-privada en materia de ciberseguridad; sino, además, enunciar las medidas a partir de las que se concreta la cooperación mutua entre entidades. Por ejemplo, en el Reglamento 2019/881, conocido como Ley de Ciberseguridad de la Unión Europea, se señalan medidas como el intercambio voluntario de información técnica a través de centros de respuestas de incidentes comunes (2019, artículo 7), así como la creación de un Grupo Consultivo para la atención de consultas planteadas no solo por empresas o entidades de la Administración, sino por la ciudadanía en general (2019, Artículo 21).
Asimismo, resulta cuestionable que el Proyecto no regule la cooperación interinstitucional. Ello, dado que el Comité de Ciberseguridad a crear, debe actuar de manera conjunta con diversas entidades, tales como la Secretaría de Gobierno y Transformación Digital, y la Autoridad Nacional de Protección de Datos Personales. Por ello, el Proyecto falla al no establecer mecanismos de coordinación regulatoria entre entidades, lo que sí hace la Ley 21663 chilena, pues prevé en su artículo 25, la posibilidad de que se dicten protocolos de coordinación, así como la obligación de remitirse informes entre sí, con el propósito de prevenir conflictos de competencias entre las diversas autoridades.
Inscríbete aquí Más información
2.5. Carencia de un sistema de certificación
Finalmente, el Proyecto de ley se enfoca en evitar que los sistemas informáticos de entidades presenten incidentes que vulneren la seguridad. No obstante, no se protege a los consumidores frente a ciberataques ocurridos en dispositivos con defectos de fábrica. Para ello está la certificación, aquella que verifica que los productos tecnológicos distribuidos cumplan con estándares mínimos para proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados (Garrós Font, 2019, p.9). En base a dichas certificaciones, los consumidores tendrán confianza en que los equipos o programas que empleen, cuenten con niveles adecuados de ciberseguridad.
Actualmente, en la Unión Europea se ha instaurado un sistema de certificaciones. La Ley de Ciberseguridad prevé en su artículo 51 que la certificación sirva para verificar que los productos y servicios tecnológicos no presenten vulnerabilidades, así como el artículo 52 prevé que las certificaciones califiquen el nivel de ciberseguridad brindado: 1) básico, 2) sustancial y 3) alto. Los niveles de protección se relacionan con la dificultad de la mitigación de ciberataques: bajo para incidentes leves como acceso no autorizado a datos no sensibles, moderado para incidentes como fuga de datos y alto para ataques graves como aquellos hacia infraestructuras críticas, aquellas que, de ser afectadas, perjudican servicios esenciales, tales como el de agua y saneamiento, telecomunicaciones, transporte, entre otros.
3. Conclusión
Dada la proliferación reciente de ciberataques, debe existir una normativa que garantice la protección de la ciudadanía ante la filtración de información en el entorno digital. Sin embargo, a partir de la revisión de legislación comparada, se desprenden 5 recomendaciones para mejorar la propuesta planteada por el Proyecto de ley comentado: 1) delimitar principios y obligaciones para las instituciones con la finalidad de salvaguardar la protección de la información digital, 2) establecer plazos para la comunicación de incidentes y para adoptar respuestas posteriores, 3) crear una agencia destinada a la fiscalización y sanción, 4) señalar medidas para promover tanto la cooperación público-privada como la interinstitucional y 5) estipular un marco de certificación de productos tecnológicos.
A partir de dichas recomendaciones, se velará por una legislación que no solo satisfaga al interés general, sino que además sea ejecutable. Para garantizar ciberseguridad, no basta con declararla, sino también diseñar un marco claro y conciso de reglas y deberes para que instituciones, sean públicas o privadas, protejan sus sistemas informáticos.
4. Bibliografía
Documental
- Gamboa, J. y García, C. (2024). Conectar para incluir: ¿cuáles son las brechas de alfabetización digital en el Perú? Universidad Nacional Agraria la Molina. Abril 2024.
- Garrós Font, I. (2019). Avances y retos de la Agencia Europea de Ciberseguridad. El nuevo marco de certificación. Encuentros Multidisciplinarios. Marzo-Abril 2019.
- Humayun, M. et al. (2020). Cybersecurity Threats and Vulnerabilities: Systematic Maps Studying.
- Infobae (2024). Robo de datos en el Interbank al descubierto: así operó el hacker para extraer información de los clientes del banco. 24 de noviembre de 2024.
- Jiménez Muñóz, L. (2013). Concienciación en las administraciones públicas. En Ministerio de Defensa, La necesidad de una conciencia nacional de ciberseguridad. La ciberdefensa: uno prioritario, páginas 137-182. Instituto Español de Estudios Estratégicos.
- Maldonado Álvarez, M.G. (2024). Diseño de un marco de trabajo para la gestión de incidentes y crisis de ciberseguridad basados en las normas ISO. Tesis para optar por el título profesional de ingeniero informático. Pontificia Universidad Católica del Perú. Noviembre 2024.
- Paez Guarnizo, E.P. (2024). La importancia de contar en la organización con un gobierno de TI con un enfoque de seguridad cibernética. Universidad Piloto de Colombia. Agosto de 2023.
- Ríos Kruger, G. (2024). La importancia de la ciberseguridad en el entorno digital. Portal web Innova PUCP. 18 de diciembre de 2024.
- Universidad la Rioja (2020). Principios para la seguridad informática: consejos para la mejora de la ciberseguridad.
Normativa
- Congreso de la República (2025) Proyecto de Ley 9906/2024-CR. 13 de enero de 2025.
- Congreso Nacional de Chile (2024). Ley 21663, Ley Marco de Ciberseguridad. 8 de abril de 2024.
- Parlamento de la Unión Europea (2016). Directiva 2016/1148. 6 de julio de 2016.
- Parlamento de la Unión Europea (2019). Reglamento 2019/881. 19 de abril de 2019.
Sobre el autor: Alonso Armando Moreno Álvarez, Abogado de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. Mis áreas de interés profesional es la de protección de datos personales y Legaltech.
