Plan busca castigar con mayor severidad intrusiones informáticas ante auge del cibercrimen
Un nuevo proyecto de ley presentado en la Asamblea Legislativa pretende tipificar el delito de intrusión informática e imponer penas de cárcel de entre seis meses y cinco años de prisión para quienes lo cometan.
La propuesta, impulsada por el Poder Ejecutivo, señala que el crecimiento sostenido del cibercrimen en Costa Rica y a nivel mundial encendió las alertas de las autoridades y motivó la iniciativa para fortalecer la legislación penal contra las intrusiones informáticas, consideradas el punto de partida de ataques más complejos contra sistemas públicos y privados.
De acuerdo con el texto del expediente, el acceso no autorizado —o el exceso de autorización— a sistemas informáticos debidamente protegidos debe ser sancionado de forma clara, con el fin de prevenir y disuadir estas conductas, que ponen en riesgo la integridad, confidencialidad y disponibilidad de la información, así como la confianza en la infraestructura tecnológica del país.
La iniciativa plantea la adición de un artículo 231 bis al Código Penal.
El plan propone sancionar con una pena de seis meses a tres años de prisión a quien, sin autorización o excediendo la que le fue otorgada, acceda de forma ilegítima a un sistema informático, base de datos, red o cualquier infraestructura tecnológica protegida, independientemente de si altera, extrae, elimina, modifica o utiliza la información contenida en dicho sistema.
La pena aumentaría a entre tres y cinco años de cárcel cuando la intrusión afecte sistemas informáticos, bases de datos o redes vinculados a servicios esenciales o críticos, tanto públicos como privados, como los sectores energético, de acueductos, financiero, de salud, telecomunicaciones, transporte, seguridad pública o defensa nacional.
Según el Poder Ejecutivo, uno de los principales énfasis del proyecto es el endurecimiento de las penas cuando las intrusiones impacten infraestructuras críticas, cuya alteración podría comprometer la estabilidad, la seguridad y el bienestar del país.
El texto aclara que no será sancionable la conducta cuando la intrusión tenga como propósito la detección, análisis o reporte de vulnerabilidades, siempre que:
a) El titular del sistema informático, base de datos o red haya otorgado autorización expresa para realizar dichas actividades, o
b) Se trate de técnicos autorizados directamente por el titular del sistema para ejecutar labores de evaluación o mejora en materia de seguridad informática.
Cifras que preocupan
Los datos del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), incluidos en la exposición de motivos del proyecto, evidencian la magnitud del problema. Solo en 2024 se registraron más de 118 millones de bloqueos de amenazas digitales, entre ellas malware, phishing y criptominería, además de 2.775 reportes de incidentes provenientes de instituciones públicas y privadas.
En el primer semestre de 2025, la Dirección Nacional de Ciberseguridad contabilizó 19,1 millones de bloqueos de amenazas DNS, principalmente por criptominería (9,3 millones) y phishing (5,3 millones), lo que refleja un escenario de amenazas persistentes.
El último informe del MICITT también evidencia brechas en la protección institucional: aunque un 17,4% de las entidades cumple plenamente con las medidas básicas de ciberseguridad y un 36,7% presenta un nivel avanzado, aún existen instituciones en estado crítico, en riesgo o con información desconocida.
El Ejecutivo defendió que la propuesta se alinea con los compromisos internacionales asumidos por Costa Rica, entre ellos el Convenio de Budapest sobre la Ciberdelincuencia, ratificado en 2017, que establece la obligación de sancionar la intrusión informática como un delito base para combatir el cibercrimen y facilitar la cooperación internacional.
Además, sostuvo que la iniciativa sigue estándares aplicados en países como España, Argentina y Chile, donde este tipo de conductas ya está regulado, con agravantes cuando afectan infraestructuras críticas.