La Corte Suprema de Justicia aclaró elementos normativos del acceso abusivo a un sistema informático

Xenia Carolina Madariaga P.
Miembro del ICDP

En la década de los setenta, John Draper se hizo famoso por realizar una gira por Estados Unidos, utilizando teléfonos públicos de forma gratuita, lo cual llevó a su arresto por fraude a las compañías telefónicas. Este fue el primer caso icónico respecto a lo que hoy conocemos como la ciberdelincuencia[1], definida como «aquella actividad que por medio de la red (sea pública o privada) o a través de un sistema informático “tenga como objetivo atentar a la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y los datos, así como el uso fraudulento de tales sistemas, redes y datos”»[2].

En Colombia, la Ley 1273 de 2009 adicionó al Código Penal el delito de acceso abusivo a un sistema informático. Por otra parte, en Sentencia SP592-2022 del 2 de marzo de 2022, la Corte Suprema de Justicia, se refirió por primera vez a sus elementos normativos. Al respecto, indicó que el tipo penal está compuesto por:

i) Sujeto activo no calificado, por no necesitar de una condición especial para quien accede a un sistema informático “sin autorización”, o que, teniéndola, decide conscientemente mantenerse conectado; ii) Sujeto pasivo, persona natural o jurídica titular del sistema informático, iii) Lesionar varios bienes jurídicos tutelados, entre ellos, la información, los datos y la intimidad. En ese sentido, ha sido reconocido como un tipo penal pluriofensivo, iv) Solo admite el dolo en el actuar del ciberdelincuente; v) Es un delito de mera conducta, por cuanto, la sola intromisión en una red informática, en las condiciones establecidas en el tipo penal, afecta el bien jurídico tutelado; vi) Contempla dos verbos rectores, acceder o mantener; vii) Como ingrediente normativo, exige que el sujeto activo de la acción a) acceda en el sistema informático sin autorización, o, b) aun cuando, teniendo el permiso del titular legítimo del derecho, se mantiene dentro del mismo, excediendo las facultades otorgadas.[3]

Desde el punto de vista dogmático, este delito ha sido considerado de mera conducta, es decir, no requiere un resultado, debido a que su verbo rector es acceder, en otras palabras, introducirse, internarse o inmiscuirse en algún sistema de datos informáticos con o sin autorización del propietario[4]. Sin embargo, su tipificación sí requiere una interacción lógica entre quien perpetra la acción y el sistema al cual se accede, para comprobar de hecho la existencia de una relación racional[5].  Este delito puede ser cometido por un insider – persona que se excede o se aparta de los permisos que a él le han dado para permanecer en el sistema informático – o por un outsider -, aquel que, sin autorización, penetra a determinada plataforma o base de datos de información.

Nuestro legislador empleó una “técnica legislativa muy discutible al consagrar los delitos de intrusión informática” [6] en un solo tipo penal, puesto que la norma se aparta de algunos aspectos sugeridos por la doctrina. Por ejemplo, en la redacción del delito de acceso abusivo a un sistema informático, la figura de la autopuesta en peligro[7] se debe evaluar antes de realizar el estudio de la imputación objetiva, toda vez que parece que el principio de autorresponsabilidad del titular del sistema no se debe tener en cuenta. Ello, dado que, en este caso, el poseedor de la información asume voluntaria y libremente hacer frente al peligro cuando entrega información a un tercero, asumiendo sus consecuencias[8].

Por otro lado, en materia probatoria esta sentencia también destaca la importancia de los elementos materiales probatorios que deben ser aportados por las partes dentro del proceso, por el grado de sofisticación que utilizan los delincuentes para consumar los desfalcos en las cuentas bancarias de los usuarios financieros[9].

Asimismo, en febrero de 2023, la Corte Suprema de Justicia reiteró que en este tipo penal:

i) el sujeto activo no es calificado; ii) el sujeto pasivo es la persona natural o jurídica titular del sistema informático; iii) provoca la lesión de varios bienes jurídicos tutelados, entre ellos, la información, los datos y la intimidad; iv) sólo admite la modalidad dolosa; v) contempla dos verbos rectores, acceder o mantener; vi) como ingrediente normativo, exige la intromisión en el sistema informático sin autorización, o, la permanencia dentro del mismo, excediendo las facultades otorgadas en el permiso.

99. En la primera modalidad de la conducta resulta suficiente la introducción ilegítima sin la voluntad del titular de la cuenta, mientras que en la segunda es necesario establecer los límites de esa autorización que se desbordarían con la permanencia indebida del agente en el sistema.[10]

De esta sentencia, se destaca la necesidad de analizar los límites que se establecen en la autorización entregada al insider, puesto que, de su análisis, se confirmará si la permanencia en el sistema informático fue indebida. A pesar de ello, la decisión no es explícita frente a las formalidades que debe cumplir dicho permiso, pero se entiende que podrá ser escrita u oral mediante conductas inequívocas del titular que permitan concluir de forma razonable que otorgó la autorización.

Por otro lado, la complejidad de la técnica delictiva llevaría a pensar que su comisión sería ocasional, pero no ocurre así. De hecho, las cifras de la Fiscalía General de la Nación demuestran que el delito de acceso abusivo a un sistema informático es el tercer delito -respecto a los delitos informáticos- en el que más incurren los delincuentes. Por ejemplo, para el año 2021, las denuncias por este delito correspondieron a 8.052, y para el 2022, 14.177, evidenciando un crecimiento de casi el 75% en el ingreso de noticias criminales.[11]

Todo lo anterior genera una discusión acerca de la tecnificación de los delitos informáticos y la necesidad de aplicar un derecho penal supranacional para la eficaz persecución y sanción de esta clase de conductas. Puesto que la rapidez de las transacciones en estos delitos genera que el titular de la afectación no encuentre una respuesta efectiva por parte de la jurisdicción, y por ende sus derechos no resulten restituidos. Es necesario que el derecho penal se apoye en los nuevos avances tecnológicos y de información para que se mantenga a la vanguardia de nuevas formas de conductas delictivas en la internet.


[1] OBSERVATORY OF COMPUTER CRIME AND GDO, Guatemala. Historia del Cibercrimen. O.G.D.I [sitio web]. [Consultado el 11, mayo, 2022]. Disponible en: https://ogdi.org/historia-del-cibercrimen.

[2] ESPARIS FIGUEIRA, Manuel. Ciberdelincuencia: Los 4 delitos informáticos más comunes – Sistemius. Sistemius [sitio web]. [Consultado el 11 de mayo de 2022]. Disponible en: https://www.sistemius.com/ciberdelincuencia-4-tipos-dedelitosinformaticos/

[3] CORTE SUPREMA DE JUSTICIA. Sentencia SP 592 de 2022 [en línea]. Radicación 50621. Bogotá: [s.n.], 2022 [consultado el 30, abril, 2022]. 98 pp. Disponible en:https://cortesuprema.gov.co/corte/index.php/2022/04/01/accesoabusivo-a-un-sistema-informatico-concepto/.

[4] OJEDA PEREZ, Jorge Eliécer. Delitos informáticos y entorno jurídico vigente en Colombia. [Consultado el 29 de mayo de

2022]. Disponible en. http://www.scielo.org.co/scielo.php?pid=S0123-14722010000200003&script=sci_abstract&tlng=es

[5] PALAZZI, Pablo. Los delitos informáticos en el Código Penal. Buenos Aires: FEDEY, 2016.

[6] VELÁSQUEZ VELÁSQUEZ, Fernando. (2020). Fundamentos de Derecho penal, Parte general 3ª ed. Bogotá: Tirand Loblanch.

[7] COLOMBIA. CORTE SUPREMA DE JUSTICIA. Sentencia SP1291-2018. (25, ABRIL, 2018). MP.; Luis Antonio Hernández Barbosa. Bogotá. 2018. “En las acciones a propio riesgo o autopuesta en peligro,la víctima,con plena conciencia,se pone en tal situación o permite que otra persona la coloque en esa circunstancia riesgosa,razón por la cual no puede imputarse al tercero el tipo objetivo,porque quien conscientemente se expone a un acontecer amenazante se hace responsable de las consecuencias de su propia actuación”

[8] Matellanes Rodríguez, Nuria. (2000). Algunas notas sobre las formas de delincuencia informática en el Código Penal. En:

M. D. Diego Díaz-Santos, y V. Sánchez López, Hacia un derecho penal sin fronteras, (pp. 129-147). Madrid: Colex.

[9] A través de phishing, smishing u otra clase de malware capaz de extraer información de bases de datos.

[10] COLOMBIA. CORTE SUPREMA DE JUSTICIA. Sentencia SP030-2023. (8, FEBRERO,2023). MP.: Myriam Ávila Roldán. Bogotá. 2023.

[11] FISCALÍA GENERAL DE LA NACIÓN. Delitos [sitio web]. Bogotá. [Consultado el 29, mayo, 2022]. Disponible en: https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/


Xenia Carolina Madariaga Pérez

Abogada del Colegio Mayor de Nuestra Señora del Rosario con enfoque en asuntos comerciales, penales en el ámbito corporativo, financieros, y de justicia transicional. Ha sido miembro de semilleros de investigación en materia de ciberseguridad y cibercrimen. Se desempeñó como paralegal en el área de delitos informáticos y riesgos financieros en Mauricio Pava L. Abogados. Actualmente es coordinadora junior del área de monitoreo transaccional, fraude y compliance en la caja de compensación familiar Compensar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


El periodo de verificación de reCAPTCHA ha caducado. Por favor, recarga la página.