Tres análisis de tanques de análisis distintos, uno de la Mesa de Certeza Jurídica de la Iniciativa Guatemala No Se Detiene; otro de la Alianza por un Congreso Eficiente (que integra organismos como el Cien y Guatemala Visible) y otro de la firma de abogados ALTA, emitieron esta semana análisis técnico y jurídico sobre la Iniciativa de Ley 6347, conocida como Ley de Ciberseguridad.

El análisis se basa en el dictamen con modificaciones de la Comisión de Asuntos de Seguridad Nacional del 26 de agosto del 2025. La iniciativa en estos momentos se encuentra en segunda lectura en el Congreso de la República.

La iniciativa 6347 contempla penas desde los seis años de prisión, la creación del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (C-SIRT-GT) y de una fiscalía especializada en ciberdelincuencia para la investigación penal, formulación de requerimientos y el litigio de los delitos contemplados en el ámbito digital.

“Contraproducente” y con “vacíos legales”

A pesar de que los centros de análisis coinciden en la necesidad de tener una regulación en la materia, también diagnostican alertas de que su aprobación “sin ajustes técnicos significativos podría provocar efectos contraproducentes, como vacíos legales, penalización excesiva y vulneraciones al principio de legalidad” según la Alianza por un Congreso Eficiente. Continúa el texto: “la iniciativa carece de una estrategia de gobernanza cibernética al superponer responsabilidades sin una coordinación clara entre las instituciones. La falta de esta estrategia implica la inexistencia de un ecosistema de formación y garantía de la debida aplicación de la presente ley”.

Otras preocupaciones apuntan a la militarización de la rectoría de la ciberseguridad en Guatemala, la “exclusión de sociedad civil, academia y empresas” de la discusión deficiencias técnicas y legales en tipos penales y opacidad en la implementación.

“El texto presenta deficiencias estructurales y conceptuales que lo alejan de las buenas prácticas internacionales recomendadas por organismos como la Unión Internacional de Telecomunicaciones (UIT), la Unión Europea y la Organización de Estados Americanos (OEA)” señala Guatemala No Se Detiene.

Para la firma de abogados ALTA, “la Iniciativa regula de manera aislada la ciberseguridad sin abordar de forma conjunta la protección de datos, la gestión de infraestructuras críticas y la transformación digital” y añade que “un marco incompleto coloca a Guatemala en desventaja competitiva frente a países que sí han desarrollado legislaciones integrales en estas materias”.

Este es un resumen de los puntos que preocupan a los especialistas que se pronunciaron.

Militarización de la rectoría de la ciberseguridad

“El Dictamen 6347 no garantiza la independencia funcional y técnica del órgano rector de ciberseguridad, ya que sitúa al Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (CSIRT-GT) como órgano técnico del Consejo Nacional de Seguridad (CNS). Por su parte otorga al Ministerio de la Defensa Nacional un rol protagónico, con facultades permanentes para actuar en el ciberespacio. Incluso contempla la posibilidad de ejecutar acciones ofensivas en el ciberespacio que corresponden asignarse a otro cuerpo normativo”, indica Guatemala No Se Detiene.

Mientras que el bufete ALTA considera que “la norma no define con precisión en qué momento una situación de crisis puede catalogarse como una amenaza a la seguridad nacional o a la soberanía del país que justifique la participación militar. Esta ausencia de parámetros claros puede generar incertidumbre respecto del alcance de la intervención y de los mecanismos de coordinación con el sector privado, en especial en lo relacionado con el acceso a infraestructura tecnológica y a datos estratégicos

Esto lo refuerza el análisis de la Alianza por un Congreso Eficiente, que indica que “el artículo 33, sobre funciones para la ciberdefensa, atenta contra el artículo 43 de la Constitución al no establecer una diferenciación clara entre infraestructuras críticas de carácter gubernamental o privado. Se faculta al Ministerio de la Defensa para actuar permanentemente en acciones para la ciberdefensa promoviendo así su intervención sobre las infraestructuras privadas. Asimismo, el inciso f) del artículo en mención establece que el presidente de la República determinará la coordinación “con los centros de Respuesta a Incidentes de Seguridad Informática CSIRT’s internacionales, sectoriales e institucionales públicos y privados (…)”. Ambos preceptos vulneran la libertad de industria”.

Exclusión de actores civiles y sectoriales

Según Guatemala No Se Detiene, el dictamen 6347 propone que el CSIRT-GT funcione como órgano técnico bajo el Consejo Nacional de Seguridad, “una instancia dominada por actores de seguridad e inteligencia, con limitada representación de otros sectores. Este diseño contrasta con las experiencias internacionales en las que la autoridad de ciberseguridad es de carácter civil y multisectorial. Por ejemplo, en Chile la Agencia Nacional de Ciberseguridad incorpora a representantes del sector privado y de la academia en su consejo asesor; en Uruguay, la AGESIC articula la coordinación entre entidades estatales, empresas y sociedad civil; y en Estonia, la RIA trabaja de forma permanente con el sector privado a través del CERT-EE”.

ALTA indica que “más preocupante aún es que el diseño institucional excluye a la sociedad civil y al sector empresarial del ente rector, lo que impide que quienes generan, gestionan y resguardan la mayor parte de la infraestructura tecnológica tengan voz en la definición de políticas de ciberseguridad”.

Y añade que “esta falta de un modelo multisectorial —que en estándares internacionales es clave para la gobernanza en ciberseguridad— no solo debilita la legitimidad del CSIRT-GT, sino que también proyecta un escenario en el que la ciberseguridad puede transformarse en un mecanismo de control unilateral”.

Enfoque reactivo penal, no preventivo

Para Guatemala No Se Detiene, “el dictamen concentra sus medidas en reformas penales y agravantes para delitos informáticos, lo que significa que la acción del Estado se activa principalmente después de consumado el delito. No prevé un régimen administrativo preventivo con obligaciones de notificación temprana, planes de seguridad obligatorios para operadores de servicios esenciales, ni sanciones proporcionales para incumplimientos”.

Según ALTA, “al no promover programas estatales de educación digital, protocolos de cooperación temprana ni estándares mínimos de seguridad, las empresas quedan solas en la gestión preventiva y solo entran en juego cuando un incidente ya ocurrió, asumiendo así costos más altos de cumplimiento y recuperación, mayor exposición a riesgos reputacionales y legales, y una falta de certeza institucional que dificulta planificar estrategias de ciberseguridad a largo plazo. En consecuencia, la regulación proyectada traslada el peso de la ciberseguridad al sector privado, privilegiando la sanción en lugar de la prevención, lo que aumenta la inseguridad jurídica y la incertidumbre empresarial”.

Por ejemplo, según Alianza por un Congreso Eficiente, algunos tipos penales definidos en la iniciativa presentan ambigüedades que comprometen el principio de legalidad penal, como lo establece el artículo 17 constitucional y el artículo 7 de la Convención Americana sobre Derechos Humanos.

Este es un listado de valoraciones que hace la organización por artículo:

• El artículo 6, sobre interceptación ilícita, contempla una autodefinición para definir el delito lo cual es antitécnico y no permite inferir con precisión cuál es el bien jurídico tutelado.

• El artículo 7, Ataque a la integridad de los datos informáticos, cumple en general con los estándares del Convenio de Budapest, pero requiere una cláusula de exclusión para no sancionar errores técnicos o intervenciones legítimas.

• El artículo 8 no exige una afectación grave para sancionar la obstaculización de sistemas, lo que podría penalizar fallos menores o pruebas autorizadas. Se recomienda exigir resultado significativo.

• El artículo 11, relativo al fraude informático, debería reforzar el componente técnico (manipulación de datos/sistemas) y no solo métodos como la ingeniería social.

• El artículo 12 sobre abuso de dispositivos es confuso. Mezcla conductas dolosas con técnicas legítimas utilizadas con fines investigativos o profesionales.

• No se contempla la figura de tentativa ni complicidad, exigida por el artículo 11 del Convenio. Esto podría generar ambigüedad interpretativa en la aplicación del derecho penal.

• El artículo 13 sobre propiedad intelectual no crea un tipo penal autónomo, sino que solo agrava las penas ya existentes, lo cual es insuficiente para cumplir con el estándar internacional.

• La derogatoria de los artículos 274 A-G del Código Penal no va acompañada de sustituciones equivalentes, generando vacíos en delitos como piratería de software o distribución de malware.

• Las penas previstas en la iniciativa son desproporcionadas, llegando a suponer incluso sanciones por homicidio culposo o robo, sin considerar daño real o ánimo delictivo.

• En cuanto al artículo 36 de la iniciativa que demanda crear una fiscalía especializada para la investigación de los delitos contenidos en la presente ley, parecería colisionar con el artículo 251 de la Constitución Política de la República de Guatemala, relativo a la función autónoma del Ministerio Público.

Falta de transparencia y de rendición de cuentas

El Dictamen de la iniciativa 6347 “contempla que las compras y contrataciones vinculadas a ciberseguridad se realicen bajo carácter reservado, con el argumento de proteger la seguridad nacional. Si bien ciertos aspectos técnicos pueden justificar confidencialidad, la reserva generalizada de adquisiciones públicas genera riesgos de corrupción, sobrecostos y falta de auditoría, debilitando la legitimidad de la política de ciberseguridad” según la mesa de Certeza Jurídica de Guatemala No Se Detiene.

De acuerdo con el análisis de ALTA, “para el sector empresarial, esto se traduce en riesgos de distorsión de la competencia, al permitir que contratos relevantes se otorguen sin procesos abiertos ni fiscalización efectiva, lo que desalienta la participación de oferentes y reduce la innovación en el mercado. La ausencia de transparencia y la amplitud de la reserva pueden erosionar la confianza de inversionistas nacionales e internacionales, al proyectar un entorno de discrecionalidad en las compras públicas”.

Mientras que el boletín de Alianza por un Congreso Eficiente, señala que “respecto al artículo 47 de la iniciativa relativo a la compra de equipo para ciberseguridad y ciberdefensa, se establece que para las adquisiciones de bienes, equipos, sistemas o tecnologías destinadas a la ciberseguridad y ciberdefensa deberán realizarse bajo reserva en virtud de su carácter estratégico y por estar vinculadas a la seguridad nacional. Sin embargo, la disposición normativa no especifica si va destinada al sector público o privado, dado que este cuerpo normativo no hace distingo”.

Añade que “se estaría transgrediendo la legislación en materia de adquisiciones aspectos como la “reserva” y la “confidencialidad” por el contrario el artículo 30 constitucional establece que todos los actos de la administración son públicos”.

Impacto negativo en sector privado y derechos fundamentales

Para Guatemala no se Detiene “esta falta de claridad puede traducirse en duplicidad de obligaciones, procesos poco transparentes y dudas sobre la protección de la información sensible que las empresas entreguen a las instituciones del Estado, lo que afectaría directamente la confianza de clientes, inversionistas y socios internacionales en el entorno digital guatemalteco”.

“A ello se suma que el texto no contempla un régimen administrativo preventivo que establezca obligaciones claras de gestión de riesgos, plazos de notificación y sanciones proporcionales. Esto dejaría a las empresas sin una guía normativa para fortalecer sus capacidades de seguridad de forma anticipada, obligándolas a actuar solo una vez producido el ataque, con el consecuente aumento de la vulnerabilidad y de las pérdidas económicas” continúa.

Y para ALTA, “el artículo 17 de la Iniciativa, en su redacción actual, plantea ciertas preocupaciones jurídicas y económicas para las empresas y en general personas jurídicas, al establecer un régimen de responsabilidad penal amplio para las personas jurídicas que podría entrar en tensión con los principios de legalidad y culpabilidad reconocidos en los artículos 12 y 17 de la Constitución Política de la República y en los artículos 1 y 38 del Código Penal”.