El delito de acceso ilícito en Perú se define como el acceso deliberado e ilegítimo a sistemas informáticos, vulnerando medidas de seguridad, y se sanciona con penas de prisión de uno a cuatro años y multas de 30 a 90 días. Este delito protege la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos, y no se aplica a accesos consentidos o a aquellos que no vulneran medidas de seguridad. La ley peruana está alineada con el Convenio de Budapest, que exige la tipificación del acceso ilícito, enfocándose en la infracción de seguridad para que se considere delito.

1. ¿Qué es el delito
de Acceso Ilícito?
Ley especial de
Delitos Informáticos
del Perú
Abril de 2014

2. Acceso Ilícito
“El que deliberada e ilegítimamente accede a todo o en parte de
un sistema informático, siempre que se realice con vulneración de
medidas de seguridad establecidas para impedirlo, será reprimido
con pena privativa de libertad no menor de uno ni mayor de cuatro
años y con treinta a noventa días-multa.
Será reprimido con la misma pena, el que accede a un sistema
informático excediendo lo autorizado.”
Fuente: Art. 2 de la Ley especial de Delitos Informáticos, aprobada por Ley 30096 y modificada por Ley 30171.

3. Análisis del tipo penal
Sujeto activo: Puede ser cualquiera.
Sujeto pasivo: Es quien ejerce la titularidad sobre el derecho de acceso al dato o al
sistema informático.
Bien jurídico tutelado: La confidencialidad, la integridad y la disponibilidad de los
datos y sistemas informáticos.
Elementos objetivos del tipo:
Acceso a todo o en parte de un sistema informático;
Vulneración de medidas de seguridad establecidas para impedir el acceso.
Exceso que sobrepasa los límites de la autorización de acceso.
Elemento subjetivo del tipo:
Dolo. No existe el delito en su versión culposa.
Sanción penal:
1. Pena privativa de libertad no menor de 1 ni mayor de 4 años.
2- De 30 a 90 días multa.

4. Comentario
El tipo penal del acceso ilícito está incorporado dentro del capítulo
dedicado a los delitos que se cometen contra datos y sistemas
informáticos. Tutela el bien jurídico confidencialidad, integridad y
disponibilidad del dato (“seguridad de la información”) y del sistema
informático. La conducta que reprime consiste en acceder a todo o en
parte de un sistema informático (todo dispositivo aislado o conjunto de
dispositivos interconectados o relacionados entre sí, cuya función, o la de
alguno de sus elementos, sea el tratamiento automatizado de datos en
ejecución de un programa), siempre que el acceso se realice con
vulneración de las medidas de seguridad (códigos de acceso fijos o
dinámicos, firewalls, etc.) establecidas para impedirlo. Aparte, también se
reprime la conducta de quien deliberadamente sobrepasa los límites de la
autorización de acceso al sistema informático que haya recibido
legítimamente de parte del titular de los derechos sobre dicho sistema.

5. Comentario
Sanciona la violación de la confidencialidad de la información protegida por
medidas de seguridad diseñadas especialmente para evitar accesos no
autorizados.
Ejemplos: Acceder a cuentas ajenas de correo electrónico, mediante la
vulneración de la contraseña de seguridad; acceder a sistemas informáticos
en aprovechamiento de las debilidades inadvertidas de la programación o
backdoors, sin que exista un acuerdo previo con el titular de los derechos
sobre el sistema informático; entre otras conductas.

6. Comentario
El tipo penal no sanciona:
Accesos consentidos: Aquellos producidos dentro del marco de un
acuerdo previo entre el titular de los derechos sobre el sistema
informático y el proveedor de servicios de seguridad informática
(“hacker ético”), ya que en estos casos el acceso no es ilegítimo, se obra
en ejercicio legítimo de un oficio y con el consentimiento válido del
titular de los derechos sobre el sistema informático.
Accesos no consentidos: Aquellos accesos a sistemas informáticos que,
sin estar consentidos, no vulneran medidas de seguridad. En este caso,
el derecho penal opta por no incentivar la conducta negligente de aquel
que no adopta las mínimas medidas de seguridad para protegerse
frente al riesgo de perder la confidencialidad, integridad y
disponibilidad de sus datos o sistemas informáticos.

7. ¿Qué dice el Convenio de Budapest contra el Cibercrimen – CETS 185?
El tipo penal de la ley peruana encuentra su antecedente en el Artículo 2 del
Convenio, bajo los términos siguientes:
“Acceso ilícito.- Cada Parte adoptará las medidas legislativas y de otro tipo
que resulten necesarias para tipificar como delito en su derecho interno el
acceso deliberado e ilegítimo a todo o parte de un sistema informático.
Las Partes podrán exigir que el delito se cometa infringiendo medidas de
seguridad, con la intención de obtener datos informáticos u otra intención
delictiva, o en relación con un sistema informático conectado a otro
sistema informático.”
El Perú ha optado por seguir las recomendaciones de la Convención de
Budapest, con la especificación de que, para el caso particular peruano,
únicamente existe delito de acceso ilícito cuando la conducta punible infringe
medidas de seguridad. Como se puede ver en este caso, si bien es cierto que la
Convención de Budapest promueve la estandarización mundial de las leyes
penales contra los ciberdelitos, también lo es que no todas las leyes
estandarizadas tienen que ser exactamente compatibles entre sí.