Consulta Virtual
Delitos Informáticos Estudio Penal

Delitos informáticos en Colombia: Ley 1273 de 2009, tipos penales, penas y defensa

Su empresa sufrió una filtración de datos. Le clonaron la tarjeta y vaciaron su cuenta bancaria en minutos. Un empleado accedió a información confidencial a la que no estaba autorizado. Si alguna de estas situaciones le resulta familiar, usted está ante un delito informático, una categoría de crímenes que en Colombia tiene regulación propia y penas de hasta diez años de prisión.

En este artículo, los abogados de Estudio Penal Abogados explican de forma completa los delitos tipificados por la Ley 1273 de 2009: qué conductas sanciona, cuáles son las penas vigentes, cómo ha interpretado la Corte Suprema de Justicia cada tipo penal y qué debe hacer si es víctima o si enfrenta una investigación por alguno de estos delitos.

¿Qué son los delitos informáticos en Colombia?

Los delitos informáticos en Colombia son las conductas punibles que utilizan medios tecnológicos —sistemas informáticos, redes de telecomunicaciones, programas de computación o datos digitales— para afectar bienes jurídicos protegidos por el Estado. No se trata únicamente de «hackear» un sistema: la ley sanciona desde interceptar correos electrónicos hasta transferir fondos bancarios sin el consentimiento de su titular.

Antes de 2009, Colombia carecía de un marco penal específico para estas conductas. La Ley 1273 de enero 5 de 2009 llenó ese vacío al adicionar al Código Penal (Ley 599 de 2000) un Título VII Bis denominado «De la Protección de la Información y de los Datos». Con esta reforma, el legislador creó un nuevo bien jurídico tutelado: la confidencialidad, la integridad y la disponibilidad de la información y los sistemas informáticos.

La importancia práctica de este bien jurídico es enorme. Hoy, prácticamente toda la actividad económica, bancaria, laboral y personal deja rastro digital. Proteger esa información es proteger la intimidad, el patrimonio y la seguridad de personas y empresas. Por eso la ley establece penas severas y circunstancias de agravación que pueden triplicar la sanción base.

Texto vigente: el Título VII Bis del Código Penal

La Ley 1273 de 2009 está plenamente vigente. Se encuentra disponible en el Sistema Único de Información Normativa (SUIN-Juriscol) y en el Gestor Normativo de la Función Pública sin notas de derogación. El artículo 4.° de la misma ley derogó expresamente el artículo 195 del Código Penal (que antes regulaba de forma incipiente el acceso abusivo), sustituyéndolo por un régimen completo de diez tipos penales distribuidos en dos capítulos.

Capítulo I: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos (arts. 269A a 269H).

Capítulo II: De los atentados informáticos y otras infracciones (arts. 269I y 269J).

Ley 1273 de 2009, art. 1.°. Vigente a la fecha de publicación de este artículo.

Adicionalmente, el artículo 2.° de la Ley 1273 de 2009 añadió el numeral 17 al artículo 58 del Código Penal, estableciendo como circunstancia genérica de mayor punibilidad el uso de medios informáticos, electrónicos o telemáticos para la comisión de cualquier delito. Esto significa que cualquier conducta punible —no solo las del Título VII Bis— puede agravarse si se ejecuta con herramientas tecnológicas.

Los tipos penales del Capítulo I: atentados contra la información

1. Acceso abusivo a un sistema informático (art. 269A)

Incurre en este delito quien, sin autorización o por fuera de lo acordado, accede en todo o en parte a un sistema informático, o se mantiene dentro del mismo contra la voluntad del titular. No importa si el sistema tiene o no medida de seguridad: la sola intromisión no autorizada configura el tipo penal.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 salarios mínimos legales mensuales vigentes (SMLMV).

Este es el tipo penal más estudiado por la Corte Suprema de Justicia en materia de cibercrimen. En la sentencia SP592-2022, la Sala de Casación Penal fijó por primera vez los elementos normativos del acceso abusivo: CSJ SP592-2022, 2 mar. 2022, rad. 50621.

«[E]l sujeto activo no es calificado; el sujeto pasivo es la persona natural o jurídica titular del sistema informático; provoca la lesión de varios bienes jurídicos tutelados, entre ellos, la información, los datos y la intimidad; sólo admite la modalidad dolosa; contempla dos verbos rectores, acceder o mantener; como ingrediente normativo, exige la intromisión en el sistema informático sin autorización, o, la permanencia dentro del mismo, excediendo las facultades otorgadas en el permiso.»

CSJ SP592-2022, 2 mar. 2022, rad. 50621

Esta decisión es especialmente relevante para los casos en que el imputado tenía algún nivel de acceso legítimo —por ejemplo, un empleado con credenciales corporativas— pero ingresó a áreas del sistema que excedían sus facultades. La Corte aclaró que el exceso en las facultades otorgadas también configura el tipo penal.

2. Obstaculización ilegítima de sistema informático (art. 269B)

Comete este delito quien impide u obstaculiza el funcionamiento o el acceso normal a un sistema informático, a los datos allí contenidos, o a una red de telecomunicaciones, sin estar facultado para ello. Los ataques de denegación de servicio (DDoS), que saturan un servidor hasta dejarlo inoperante, son el ejemplo más frecuente en la práctica.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 SMLMV. La ley exige que la conducta no constituya un delito sancionado con pena más grave.

3. Interceptación de datos informáticos (art. 269C)

Este tipo penal sanciona a quien, sin orden judicial previa, intercepta datos informáticos en su origen, destino o en el interior de un sistema, así como las emisiones electromagnéticas que los transportan. El elemento normativo central es la ausencia de autorización judicial: si existe orden de interceptación legítima, la conducta no es punible.

La pena es de tres (3) a seis (6) años de prisión. Es el único tipo del Capítulo I que no contempla multa expresa.

4. Daño informático (art. 269D)

Incurre en daño informático quien, sin estar facultado, destruye, daña, borra, deteriora, altera o suprime datos informáticos o un sistema de tratamiento de información o sus componentes lógicos. El verbo rector es amplísimo: abarca desde borrar archivos hasta corromper bases de datos completas.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 SMLMV.

5. Uso de software malicioso (art. 269E)

Esta norma penaliza la producción, tráfico, adquisición, distribución, venta, envío, introducción o extracción del territorio nacional de software malicioso (malware) u otros programas de efectos dañinos. No se requiere que el software haya sido efectivamente utilizado para causar daño: la sola comercialización o distribución constituye el delito.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 SMLMV.

6. Violación de datos personales (art. 269F)

Comete este delito quien, sin autorización y con provecho propio o de un tercero, obtiene, compila, sustrae, ofrece, vende, intercambia, envía, compra, intercepta, divulga, modifica o emplea códigos personales o datos personales contenidos en ficheros, archivos o bases de datos. La lista de verbos rectores es la más extensa de la ley y refleja la variedad de formas en que los datos pueden ser explotados ilícitamente.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 SMLMV. Este tipo penal guarda estrecha relación con la Ley 1581 de 2012 (Habeas Data): quien vulnera penalmente la protección de datos puede enfrentar simultáneamente sanciones administrativas de la Superintendencia de Industria y Comercio y proceso penal ante la justicia ordinaria.

7. Suplantación de sitios web para capturar datos personales (art. 269G)

Esta conducta —conocida popularmente como phishing— sanciona a quien, con objeto ilícito, diseña, desarrolla, trafique, vende, ejecuta, programa o envía páginas electrónicas, enlaces o ventanas emergentes con el fin de capturar datos personales. También sanciona la modificación del sistema de resolución de nombres de dominio (DNS) para redirigir al usuario hacia una IP falsa creyendo que accede a su banco o sitio de confianza.

La pena es de cuatro (4) a ocho (8) años de prisión y multa de 100 a 1.000 SMLMV. La ley prevé un agravante específico: si para consumar el delito el agente reclutó víctimas en la cadena del mismo (mulas bancarias, intermediarios), la pena se aumenta de una tercera parte a la mitad.

Los tipos penales del Capítulo II: atentados informáticos con impacto patrimonial

8. Hurto por medios informáticos y semejantes (art. 269I)

El artículo 269I no define una pena autónoma: remite a las penas del artículo 240 del Código Penal (hurto agravado). La conducta consiste en realizar el hurto superando medidas de seguridad informáticas, manipulando un sistema informático o una red electrónica, o suplantando a un usuario ante los sistemas de autenticación.

En la práctica, esta norma cubre conductas como la clonación de tarjetas débito o crédito (skimming) combinada con el retiro fraudulento de fondos, así como el uso de credenciales robadas para acceder a plataformas bancarias. Las penas del artículo 240 del Código Penal, que incluyen los agravantes del tipo base de hurto, oscilan según las circunstancias del caso.

9. Transferencia no consentida de activos (art. 269J)

Este tipo penal cierra el Capítulo II y es el de mayor pena en toda la Ley 1273. Lo comete quien, con ánimo de lucro y mediante manipulación informática o artificio semejante, logra la transferencia no consentida de cualquier activo en perjuicio de un tercero.

La pena es de cuatro (4) a diez (10) años de prisión y multa de 200 a 1.500 SMLMV. Si la cuantía de lo defraudado supera los 200 SMLMV, la pena se incrementa en la mitad. La misma sanción aplica a quien fabrica, introduce, posee o facilita el programa de computador destinado a cometer este delito o una estafa.

La diferencia con el hurto informático (art. 269I) es relevante: en la transferencia no consentida el agente logra que el sistema o la víctima transfieran activos (dinero, criptoactivos, bienes digitales) sin requerir necesariamente superar medidas de seguridad técnicas, sino mediante engaño o manipulación del sistema de pago. La Corte Suprema ha precisado que ambos tipos pueden concursar cuando una misma conducta satisface los elementos de los dos.

¿Involucrado en un caso de delito informático? Hable con un abogado penalista →

Circunstancias de agravación punitiva (art. 269H)

El artículo 269H establece que las penas de todos los tipos descritos en el Título VII Bis se aumentarán de la mitad a las tres cuartas partes si la conducta se cometió bajo alguna de las siguientes circunstancias:

  • Sobre redes o sistemas informáticos estatales, oficiales o del sector financiero, nacionales o extranjeros. Un ataque a la base de datos de una entidad bancaria o de una entidad pública activa automáticamente este agravante.
  • Por servidor público en ejercicio de sus funciones. El funcionario que abusa de su acceso institucional a sistemas informáticos enfrenta una pena considerablemente mayor.
  • Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual. El empleado, contratista o proveedor que traiciona el acceso legítimamente otorgado queda cobijado por este agravante.
  • Revelando o dando a conocer el contenido de la información en perjuicio de otro.
  • Obteniendo provecho para sí o para un tercero.
  • Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
  • Utilizando como instrumento a un tercero de buena fe (por ejemplo, quien realiza la operación sin saber que es ilícita).
  • Si el responsable de la administración, manejo o control de la información incurre en estas conductas, se le impone adicionalmente inhabilitación de hasta tres (3) años para el ejercicio de profesiones relacionadas con sistemas de información.

Jurisprudencia: cómo ha resuelto la Corte Suprema los delitos informáticos

La jurisprudencia de la Sala de Casación Penal sobre delitos informáticos es relativamente reciente, lo que refleja que el cibercrimen llegó tarde al litigio de casación en Colombia. La mayoría de los procesos por esta clase de delitos se resuelven en primera y segunda instancia sin llegar a la Corte.

El hito más importante es la sentencia SP592-2022, del 2 de marzo de 2022 (radicado 50621). Por primera vez, la Sala de Casación Penal fijó los elementos normativos del acceso abusivo a un sistema informático (art. 269A). El caso llegó en casación tras una condena por concierto para delinquir en concurso con acceso abusivo. La Corte aprovechó la oportunidad para sentar las bases dogmáticas del tipo penal: sujeto activo no calificado, dolo como único título de imputación subjetiva, y la exigencia de que la intromisión sea «sin autorización» o que la permanencia exceda el permiso otorgado. CSJ SP592-2022, 2 mar. 2022, rad. 50621.

Sobre el hurto por medios informáticos, la Corte Suprema ha señalado en diversas decisiones que el lugar de realización del delito —relevante para definir la competencia territorial— es aquel donde se afectó el patrimonio de la víctima, es decir, donde se produjo el retiro o disposición no autorizada de los fondos. Este criterio es relevante para las víctimas de clonación de tarjetas: el delito se entiende realizado en el lugar donde tenían su cuenta bancaria, no necesariamente donde estaba el cajero automático o el datáfono adulterado. CSJ, Sala de Casación Penal.

En materia de transferencia no consentida de activos, la Corte ha advertido que el «artificio semejante» al que se refiere el artículo 269J no exige manipulación técnica sofisticada: basta con que el agente logre, mediante cualquier ardid informático, que se transfiera un activo sin el consentimiento de su titular. Esto incluye el llamado vishing (engaño por llamada telefónica para obtener claves) combinado con transacciones bancarias en línea. CSJ, Sala de Casación Penal.

Sobre la violación de datos personales, la jurisprudencia ha señalado que el tipo penal del artículo 269F protege el derecho fundamental al habeas data y que no se requiere que el agente haya publicado o divulgado los datos: la sola compilación, sustracción u obtención no autorizada satisface el verbo rector. CSJ, Sala de Casación Penal.

Diferencias entre hurto informático y transferencia no consentida de activos

Esta es una de las distinciones más frecuentes en la práctica forense, porque muchas conductas parecen encuadrar en ambos tipos penales simultáneamente.

El hurto por medios informáticos (art. 269I) exige que el agente supere medidas de seguridad informáticas o que suplante al usuario ante los sistemas de autenticación. Esto implica una manipulación técnica del sistema de seguridad: el agente «engaña» al sistema para que lo reconozca como usuario legítimo. El ejemplo clásico es quien instala un skimmer en un cajero automático para clonar la banda magnética de la tarjeta y luego realiza retiros.

La transferencia no consentida de activos (art. 269J) se configura cuando el agente, sin necesariamente superar barreras técnicas de seguridad, logra que se transfieran activos mediante manipulación informática o artificio semejante. Aquí el engaño puede recaer sobre la persona (phishing, vishing) o sobre el sistema de pagos. Un ejemplo típico es quien envía un correo electrónico suplantando al banco para que la víctima ingrese sus credenciales en una página falsa, y luego usa esas credenciales para transferir fondos.

La diferencia práctica es la siguiente: si el agente manipuló técnicamente el sistema de seguridad, aplica el art. 269I; si el mecanismo fue el engaño al usuario o la manipulación del proceso de transacción, aplica el art. 269J. Cuando concurren ambos elementos, los tipos pueden concursar materialmente.

¿Qué hacer si es víctima de un delito informático?

Si sufrió un ataque informático, una filtración de datos, una transferencia no autorizada de fondos o cualquier otra conducta tipificada en la Ley 1273 de 2009, siga estos pasos sin demora:

  1. No modifique los equipos ni los sistemas afectados. La evidencia digital es frágil. Cualquier reinicio, actualización o eliminación de archivos puede destruir trazas que serán indispensables para la investigación. Haga capturas de pantalla inmediatas y guarde registros.
  2. Radique la denuncia ante la Fiscalía o la Policía Nacional. En Colombia, el Centro Cibernético Policial (CCP) recibe denuncias de delitos informáticos. La denuncia puede hacerse en línea o en cualquier estación de Policía. Conserve el número de radicado de la denuncia.
  3. Notifique a su entidad financiera de forma inmediata si hubo transferencias no consentidas o uso no autorizado de tarjetas. Las entidades tienen protocolos de bloqueo y reversa de transacciones que operan en ventanas de tiempo muy cortas.
  4. Recopile toda la evidencia disponible: capturas de pantalla de mensajes sospechosos, registros de acceso, correos de phishing, extractos bancarios con las transacciones irregulares, y cualquier otro elemento que muestre la conducta ilícita.
  5. Consulte a un abogado penalista especializado antes de tomar decisiones que puedan afectar la investigación. Contáctenos aquí para una valoración de su caso.

¿Qué hacer si lo investigan por un delito informático?

Si la Fiscalía lo investiga, lo cita a imputación de cargos o recibe una notificación judicial relacionada con un delito informático, la primera regla es no actuar sin asesoría legal. Los delitos de la Ley 1273 de 2009 tienen elementos normativos complejos —especialmente la «autorización» en el acceso abusivo— que requieren un análisis técnico y jurídico especializado.

No suministre declaraciones a investigadores sin la presencia de su abogado. El derecho a guardar silencio está garantizado constitucionalmente (art. 33 de la C.P.) y es una de las herramientas más importantes en la defensa penal. Programe una consulta con Estudio Penal Abogados para evaluar su situación.

Consultar con un abogado penalista →

Preguntas frecuentes sobre los delitos informáticos en Colombia

¿Qué son los delitos informáticos en Colombia?

Los delitos informáticos en Colombia son las conductas penalmente sancionadas por la Ley 1273 de 2009, que adicionó el Título VII Bis al Código Penal. Protegen la confidencialidad, integridad y disponibilidad de la información digital. Incluyen nueve tipos penales: acceso abusivo a sistema informático, obstaculización ilegítima, interceptación de datos, daño informático, uso de software malicioso, violación de datos personales, suplantación de sitios web, hurto por medios informáticos y transferencia no consentida de activos.

¿Cuántos años de prisión tienen los delitos informáticos en Colombia?

Las penas varían según el tipo penal. La mayoría oscilan entre 4 y 8 años de prisión (arts. 269A, 269B, 269D, 269E, 269F, 269G). La interceptación de datos (art. 269C) tiene una pena de 3 a 6 años. La transferencia no consentida de activos (art. 269J) es el tipo más grave, con pena de 4 a 10 años, que puede aumentarse a 15 años si la cuantía supera los 200 SMLMV. Si concurren las agravantes del art. 269H, todas las penas se incrementan de la mitad a las tres cuartas partes.

¿Cuál es la diferencia entre hurto por medios informáticos y transferencia no consentida de activos?

El hurto por medios informáticos (art. 269I) requiere que el agente supere medidas de seguridad informáticas o suplante al usuario ante sistemas de autenticación —por ejemplo, clonar una tarjeta débito con un dispositivo skimmer. La transferencia no consentida (art. 269J) se configura cuando, mediante manipulación informática o artificio semejante, se logra que se transfiera un activo sin consentimiento de su titular, sin que sea necesario superar barreras técnicas de seguridad —por ejemplo, engañar a la víctima con un correo de phishing para que revele sus claves y luego transferir sus fondos.

¿Puede cometer un delito informático alguien que tenía acceso autorizado al sistema?

Sí. La Corte Suprema de Justicia aclaró en la sentencia SP592-2022 (rad. 50621) que el artículo 269A sanciona no solo al que accede sin ningún tipo de autorización, sino también a quien, teniendo un acceso parcialmente autorizado, se mantiene en el sistema o ingresa a áreas que exceden el permiso otorgado. Un empleado que accede a bases de datos de otros departamentos sin autorización, o un contratista que consulta información confidencial fuera del alcance de su contrato, puede incurrir en este delito.

¿Los delitos informáticos admiten prisión domiciliaria?

Depende de la pena impuesta y del cumplimiento de los requisitos del artículo 38B del Código Penal. Los tipos con pena máxima de 8 años (como el acceso abusivo o la violación de datos personales) podrían, en principio, permitir la sustitución de la prisión intramural por domiciliaria si se cumplen los requisitos subjetivos. Sin embargo, cuando concurren las agravantes del art. 269H —especialmente si se afectaron sistemas financieros o hubo servidor público comprometido— las penas superan los umbrales que permiten subrogados. Cada caso debe analizarse individualmente.

¿Cuánto tiempo tiene la Fiscalía para investigar un delito informático?

Los delitos informáticos no tienen un término de prescripción especial: aplica la regla general del artículo 83 del Código Penal, según la cual la acción penal prescribe en un tiempo igual al máximo de la pena prevista para el delito, sin que pueda ser inferior a cinco años. Para el acceso abusivo (pena máxima de 8 años), el término de prescripción es de 8 años desde la comisión del delito. Para la transferencia no consentida (pena máxima de 10 años, o 15 con agravante de cuantía), la prescripción puede llegar hasta 15 años.

¿Qué debo hacer si me notifican que soy investigado por un delito informático?

Lo más importante es no rendir declaraciones ante la Fiscalía ni ante investigadores sin la presencia de su abogado defensor. El derecho al silencio está garantizado por el artículo 33 de la Constitución Política. Además, es importante conservar todos los registros de su actividad en el sistema informático involucrado, que pueden ser utilizados para demostrar que su acceso fue autorizado o que no incurrió en las conductas imputadas. Consulte de inmediato con un abogado penalista especializado para construir su estrategia de defensa desde el inicio de la investigación.

¿El phishing es un delito en Colombia?

Sí. El phishing —la suplantación de sitios web, páginas electrónicas o el envío de enlaces fraudulentos para capturar datos personales— está tipificado en el artículo 269G de la Ley 1273 de 2009 con una pena de 4 a 8 años de prisión. Si la conducta va acompañada de transferencias no autorizadas de fondos, también puede configurar el delito del artículo 269J (transferencia no consentida de activos), que tiene una pena más alta: de 4 a 10 años. Dependiendo de las circunstancias, ambos tipos pueden concursar.

Imagen de Carlos Fernando Alarcón González

Carlos Fernando Alarcón González

Abogado penalista de la Universidad Externado de Colombia, con Maestría en Derecho Penal Económico (UNIR) y Especialización en Derecho Penal de la Universidad del Rosario.

Cuenta con más de 15 años de experiencia en el litigio de alta complejidad. Antes de fundar Estudio Penal, se desempeñó durante más de una década en la firma Jaime Granados Peña & Asociados, donde lideró como Jefe de Litigios Complejos la defensa de casos de trascendencia nacional.

Su práctica actual se centra en la defensa de directivos y empresas, anticipando escenarios de riesgo y ejecutando estrategias técnicas en delitos contra la administración pública y el patrimonio.