Espionaje Informático en Chile — Acceso Ilícito, Interceptación y Defensa Legal

El espionaje informático comprende las conductas de acceso ilícito a sistemas informáticos (art. 2°) e interceptación ilícita de datos y comunicaciones digitales (art. 3°) de la Ley N° 21.459 (2022), que derogó la antigua Ley 19.223 y adecuó Chile al Convenio de Budapest. El acceso ilícito tiene pena de presidio menor en su grado mínimo (61 a 540 días) o multa, elevándose a presidio menor grados mínimo a medio (hasta 3 años) si se realiza con ánimo de apoderarse de datos. La interceptación ilícita tiene pena de presidio menor en sus grados medio a máximo (541 días a 5 años). Si usted fue imputado por espionaje informático o si su empresa fue víctima de hacking, phishing o espionaje industrial, contar con asesoría legal especializada es determinante.

Si usted fue imputado o detenido por acceso ilícito o interceptación ilícita, las primeras horas son críticas: la evidencia digital es volátil y cualquier declaración sin abogado puede comprometer irreversiblemente su defensa. Si usted o su empresa es víctima de espionaje informático (hacking, sniffing, phishing, keylogging, espionaje industrial), la preservación inmediata de logs de acceso y registros de red es esencial para la investigación penal y la reparación patrimonial.

Contenido de esta página

1. Qué es el espionaje informático

El espionaje informático es el conjunto de conductas ilícitas orientadas a obtener acceso no autorizado a sistemas informáticos y a interceptar comunicaciones o datos digitales sin autorización. Ataca la confidencialidad de la información, uno de los tres pilares de la seguridad informática (junto con la integridad y la disponibilidad).

Bajo la Ley N° 21.459 (2022), el espionaje informático se descompone en dos figuras delictivas autónomas: el acceso ilícito (art. 2°) y la interceptación ilícita (art. 3°). La antigua Ley 19.223 (derogada) agrupaba ambas conductas genéricamente como "espionaje informático" en sus artículos 2° y 4°, con una redacción que generaba problemas interpretativos.

2. Marco legal: Ley 21.459 y Convenio de Budapest

Norma	Contenido principal
Ley N° 21.459, art. 2°	Acceso ilícito: acceder sin autorización o excediendo la autorización, superando barreras técnicas. Pena base: presidio menor grado mínimo (61-540 días) o multa. Con ánimo de apoderamiento: hasta 3 años.
Ley N° 21.459, art. 3°	Interceptación ilícita: captar, interceptar o grabar datos informáticos o emisiones electromagnéticas mediante medios técnicos. Pena: presidio menor grados medio a máximo (541 días a 5 años).
Ley N° 21.459, art. 6°	Receptación de datos: comercializar, transferir o almacenar datos obtenidos mediante acceso o interceptación ilícita. Pena del delito base rebajada en un grado.
Ley N° 21.459, art. 9°	Agravantes: abuso de posición de confianza (N° 1), vulnerabilidad de menores/adultos mayores (N° 2), afectación de infraestructura crítica o procesos electorales (inc. final: pena aumentada en un grado).
Convenio de Budapest, arts. 2° y 3°	Fuente internacional. Estándares para tipificar acceso ilícito e interceptación ilícita. Chile adhirió mediante la Ley 21.459.
Código Penal + CPP	Aplicación supletoria. CPP modificado por Ley 21.459: preservación provisoria de datos, órdenes de conservación y técnicas especiales de investigación.

La Ley 19.628 sobre Protección de Datos Personales complementa el marco normativo cuando el espionaje informático implica acceso o interceptación de datos personales. La Ley 20.393 de responsabilidad penal de personas jurídicas también es aplicable, ya que la Ley 21.459 incorporó los delitos informáticos a su catálogo.

3. Acceso ilícito (art. 2°)

Tipo base. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático, será castigado con la pena de presidio menor en su grado mínimo (61 a 540 días) o multa de once a veinte unidades tributarias mensuales.

Tipo calificado (con ánimo de apoderamiento). Si el acceso se realiza con el ánimo de apoderarse, usar o conocer indebidamente datos contenidos en el sistema, la pena se eleva a presidio menor en sus grados mínimo a medio (61 días a 3 años).

Elemento clave --- superación de barreras técnicas. La Ley 21.459 exige que el autor haya superado medidas de seguridad (contraseñas, firewalls, cifrado, autenticación multifactor). El mero acceso a un sistema sin protección no configura este delito. Este requisito es una innovación respecto de la Ley 19.223, que no lo exigía, y constituye una línea de defensa fundamental para el imputado.

Exceso de autorización. También se sanciona a quien, teniendo autorización legítima para acceder, excede los límites de esa autorización. Ejemplo: un empleado autorizado para consultar ciertos datos accede a información confidencial fuera de su ámbito.

Modalidad	Requisitos específicos	Pena
Acceso ilícito simple (art. 2° inc. 1°)	Sin autorización o excediéndola + superar barreras técnicas	Presidio menor grado mínimo (61-540 días) o multa 11-20 UTM
Acceso con apoderamiento (art. 2° inc. 2°)	Mismo requisito + ánimo de apoderarse, usar o conocer datos	Presidio menor grados mínimo a medio (61 días a 3 años)
Interceptación ilícita (art. 3°)	Sin autorización + captar/interceptar/grabar mediante medios técnicos	Presidio menor grados medio a máximo (541 días a 5 años)

4. Interceptación ilícita (art. 3°)

Tipo penal. El que, sin autorización, capte, intercepte o grabe datos informáticos contenidos en sistemas informáticos, o las emisiones electromagnéticas provenientes de estos, mediante medios técnicos, será castigado con la pena de presidio menor en sus grados medio a máximo (541 días a 5 años).

Protección de comunicaciones digitales. Este delito protege la confidencialidad de las transmisiones de datos: correos electrónicos en tránsito, mensajes instantáneos, transferencias de archivos, videoconferencias y cualquier comunicación entre sistemas informáticos.

Emisiones electromagnéticas. La Ley 21.459 innova al sancionar también la captación de emisiones electromagnéticas provenientes de un sistema informático (técnica conocida como TEMPEST o "emanaciones comprometedoras"). Esta modalidad no existía en la legislación anterior.

Medios técnicos. La ley exige que la interceptación se realice mediante "medios técnicos", lo que excluye la obtención casual o accidental de información. Ejemplos: sniffers de red, keyloggers, dispositivos de escucha, software espía (spyware), antenas de captación de señales.

5. Conductas típicas y penas

Conducta	Art.	Ejemplo	Pena
Acceso ilícito simple	2° inc. 1°	Hackear un servidor superando contraseñas	Presidio menor grado mínimo (61-540 días) o multa 11-20 UTM
Acceso con ánimo de apoderamiento	2° inc. 2°	Robar datos confidenciales, secretos industriales	Presidio menor grados mínimo a medio (61 días a 3 años)
Interceptación ilícita de datos	3°	Instalar sniffer en red, capturar correos en tránsito	Presidio menor grados medio a máximo (541 días a 5 años)
Captación de emisiones electromagnéticas	3°	Captar señales emanadas de un sistema (TEMPEST)	Presidio menor grados medio a máximo (541 días a 5 años)
Receptación de datos	6°	Comprar o almacenar datos obtenidos ilícitamente	Pena del delito base rebajada en un grado
Con agravante infraestructura crítica	9° inc. final	Espionaje a sistemas eléctricos, financieros	Pena aumentada en un grado (interceptación: hasta 10 años)

6. Agravantes especiales (art. 9°)

--- Abuso de posición de confianza (N° 1). Cuando el autor comete el espionaje abusando de una posición de confianza en la administración del sistema o como custodio de los datos. Casos típicos: administradores de redes, personal de TI con acceso privilegiado, proveedores de servicios tecnológicos, empleados con credenciales de acceso amplio.

--- Abuso de vulnerabilidad de menores o adultos mayores (N° 2). Cuando se comete el delito abusando de la vulnerabilidad, confianza o desconocimiento tecnológico de niños, niñas, adolescentes o adultos mayores.

--- Afectación de servicios de utilidad pública o procesos electorales (inc. final). Si el espionaje afecta o interrumpe servicios de electricidad, gas, agua, transporte, telecomunicaciones o servicios financieros, o procesos electorales, la pena se aumenta en un grado. En el caso de la interceptación ilícita, esto puede elevar la pena hasta presidio mayor grado mínimo (5 años y 1 día a 10 años).

7. Delitos conexos y concurso

El espionaje informático frecuentemente se presenta en concurso con otros delitos, lo que puede elevar significativamente las penas:

--- Sabotaje informático (art. 1°). Cuando el acceso ilícito es seguido de destrucción o alteración del sistema.

--- Falsificación informática (art. 5°). Cuando los datos obtenidos por espionaje se alteran para producir documentos falsos.

--- Fraude informático (art. 7°). Cuando el espionaje se utiliza como medio para cometer fraude patrimonial (phishing seguido de transferencia no autorizada de fondos).

--- Receptación de datos (art. 6°). Quien comercializa, transfiere o almacena datos obtenidos mediante acceso o interceptación ilícita.

--- Estafa (arts. 468 y 473 CP). Cuando el espionaje se utiliza como medio para engañar y obtener beneficio patrimonial.

La calificación jurídica correcta del concurso de delitos es fundamental tanto para la defensa del imputado como para la estrategia de la víctima querellante, ya que incide directamente en la determinación de la pena.

8. Responsabilidad de personas jurídicas

La Ley 21.459 incorporó los delitos informáticos al catálogo de la Ley 20.393 de responsabilidad penal de personas jurídicas:

--- Espionaje industrial corporativo. Una empresa puede ser penalmente responsable si el espionaje fue cometido en su interés (obtener secretos comerciales de un competidor) por personas con cargos directivos o bajo su supervisión, y la empresa carecía de un modelo de prevención adecuado.

--- Empresa como víctima. Las empresas son frecuentemente víctimas de espionaje informático (robo de propiedad intelectual, bases de datos de clientes, información financiera). Pueden presentar querella criminal y solicitar reparación patrimonial por los daños económicos causados.

Un programa de compliance que incluya políticas de ciberseguridad, control de accesos y auditoría de actividades es esencial tanto para prevenir sanciones como para proteger información sensible.

9. Investigación, prueba digital y procedimiento penal

--- BRICIB (PDI). La Brigada Investigadora del Cibercrimen de la Policía de Investigaciones lidera la investigación en coordinación con la Fiscalía.

--- Preservación provisoria de datos. La Fiscalía puede ordenar a proveedores de servicios la conservación inmediata de datos de tráfico y conexión. Herramienta clave cuando el espionaje se realiza desde el extranjero o utiliza VPN.

--- Evidencia técnica determinante. Logs de acceso a sistemas, registros de autenticación (exitosa y fallida), registros de tráfico de red, análisis de dispositivos de interceptación, metadatos de archivos accedidos, registros de ISP, análisis de malware y spyware, y registros de VPN y proxies.

--- Cooperación internacional. Mediante el Convenio de Budapest e Interpol, especialmente cuando el espionaje involucra actores o servidores en otros países.

--- Procedimiento penal. La denuncia puede presentarse ante Fiscalía, PDI (BRICIB), Carabineros o tribunales. Tras la denuncia: audiencia de control de detención (en flagrancia), formalización, investigación (plazo máximo: dos años) y juicio oral. Las medidas cautelares pueden incluir prisión preventiva, arresto domiciliario, prohibición de uso de dispositivos o internet, decomiso de equipos y prohibición de contacto con la víctima. Para acceso ilícito simple, pueden proceder salidas alternativas; para interceptación ilícita, las opciones son más limitadas.

10. Qué hacer: pasos inmediatos

Si usted fue imputado por acceso ilícito o interceptación ilícita: (1) Ejerza su derecho a guardar silencio. (2) No entregue contraseñas ni acceso a dispositivos sin asesoría legal. (3) Contacte de inmediato a un abogado penalista que comprenda el entorno tecnológico. (4) No elimine datos ni modifique sistemas. Llame al +56 2 3267 1946 para defensa penal urgente.

11. Escenarios frecuentes: si usted necesita asesoría

Si usted fue imputado por acceso ilícito y la Fiscalía alega que superó barreras técnicas, un abogado defensor puede demostrar mediante contraperitajes que el sistema carecía de medidas de seguridad efectivas o que el imputado tenía autorización legítima para acceder.

Si usted es empresa víctima de espionaje industrial y descubrió que un competidor accedió a sus datos confidenciales, un abogado querellante puede presentar la querella criminal por acceso ilícito con ánimo de apoderamiento (art. 2° inc. 2°), impulsar la investigación y gestionar la reparación patrimonial.

Si usted descubrió que sus comunicaciones digitales están siendo interceptadas (correos, mensajes, videoconferencias), la interceptación ilícita tiene pena de hasta 5 años. Un abogado puede orientarle sobre la preservación de la evidencia y la presentación de la denuncia.

Si usted es empleado acusado de exceder su autorización de acceso a sistemas de la empresa, la defensa puede centrarse en demostrar que las políticas de acceso eran ambiguas, que la conducta era habitual y tolerada, o que no existía intención dolosa de apoderarse de datos.

Si usted fue víctima de phishing y le robaron credenciales que usaron para acceder a sus cuentas, esto puede configurar acceso ilícito (art. 2°), fraude informático (art. 7°) y eventualmente estafa. Un abogado puede preparar la querella por concurso de delitos.

Si usted es empresa y necesita evaluar si su programa de compliance cumple con la Ley 20.393 en materia de cibercrimen, un abogado puede asesorar en la implementación de medidas de prevención que reduzcan el riesgo de responsabilidad penal corporativa.

Si usted es imputado y la evidencia digital fue obtenida sin orden judicial o con vulneración de garantías, un abogado defensor puede solicitar la exclusión de prueba ilícita, lo que puede resultar determinante para el resultado del caso.

12. Errores frecuentes en casos de espionaje informático

Error 1 --- La víctima no preserva la evidencia digital antes de actuar. Logs de acceso, registros de autenticación y tráfico de red pueden sobrescribirse en horas. Modificar o apagar sistemas sin asesoría destruye evidencia determinante.

Error 2 --- El imputado declara sin abogado presente. Cualquier declaración técnica sin asesoría puede comprometer la defensa. El derecho a guardar silencio es especialmente crítico en delitos informáticos.

Error 3 --- No evaluar si existían barreras técnicas efectivas. El acceso ilícito exige superación de medidas de seguridad. Si el sistema carecía de protección, no se configura el tipo penal del art. 2°. Este análisis técnico es fundamental para la defensa.

Error 4 --- La empresa víctima no presenta querella criminal. Limitarse a denunciar sin constituirse como querellante reduce significativamente la capacidad de impulsar la investigación y participar activamente en el proceso.

Error 5 --- No solicitar contraperitajes informáticos. La atribución de un acceso o interceptación a una persona determinada es técnicamente compleja. Las IP pueden ser suplantadas, los dispositivos comprometidos por terceros, y el uso de VPN dificulta la identificación.

Error 6 --- Confundir acceso ilícito con interceptación ilícita. Son delitos distintos con penas diferentes. El acceso (art. 2°) se refiere a entrar al sistema; la interceptación (art. 3°) se refiere a captar datos en tránsito. La calificación incorrecta puede perjudicar tanto al imputado como a la víctima.

Error 7 --- El imputado elimina datos tras ser notificado de la investigación. Esto puede configurar obstrucción a la justicia y agravar significativamente la situación procesal.

13. Cómo trabajamos su caso

En Schneider Abogados, nuestro Departamento Penal combina conocimiento jurídico con comprensión tecnológica para casos de espionaje informático:

Etapa 1 --- Evaluación inicial. Analizamos los hechos, la evidencia disponible y la calificación jurídica: acceso ilícito simple o calificado, interceptación ilícita, receptación de datos o concurso. Si representamos al imputado, evaluamos las líneas de defensa (ausencia de barreras técnicas, autorización legítima, ausencia de dolo). Si representamos a la víctima, evaluamos la viabilidad de la querella y la reparación patrimonial.

Etapa 2 --- Preservación y análisis de evidencia. Coordinamos la preservación forense de logs de acceso, registros de autenticación, tráfico de red y cualquier evidencia digital relevante. Para el imputado, verificamos la cadena de custodia y solicitamos contraperitajes cuando corresponda.

Etapa 3 --- Estrategia procesal. Para el imputado: defensa en audiencias, oposición a medidas cautelares, análisis técnico de la atribución del acceso o interceptación. Para la víctima: presentación de querella, impulso de la investigación, coordinación con BRICIB y Fiscalía.

Etapa 4 --- Litigación. Representamos al cliente en todas las audiencias: formalización, preparación de juicio oral y juicio. Para la defensa, presentamos contraperitajes y cuestionamos la atribución. Para la víctima querellante, presentamos acusación particular y demanda civil.

Etapa 5 --- Resolución y seguimiento. Si el resultado es favorable al imputado, asesoramos en la eliminación de antecedentes penales cuando corresponda. Si se obtiene condena favorable a la víctima, gestionamos la ejecución de la reparación patrimonial.

14. Honorarios

Los honorarios por la representación legal en casos de espionaje informático se informan de manera transparente en la evaluación inicial. El valor depende de diversos factores:

--- Posición procesal. Defensa del imputado y representación de la víctima querellante tienen alcances distintos.

--- Complejidad técnica. Casos que involucran espionaje industrial, infraestructura crítica, concurso de delitos o cooperación internacional requieren mayor dedicación.

--- Etapa procesal. Intervenir desde la detención o denuncia inicial tiene un alcance distinto a asumir un caso ya formalizado o en juicio oral.

--- Necesidad de pericias. Contraperitajes informáticos forenses o análisis técnicos especializados pueden incidir en el presupuesto.

Para conocer el presupuesto específico, llame al +56 2 3267 1946 o escriba a través del chat en vivo.

15. Preguntas frecuentes sobre espionaje informático en Chile

1. ¿Qué es el espionaje informático según la ley chilena?

Comprende dos delitos bajo la Ley 21.459 (2022): acceso ilícito a sistemas informáticos (art. 2°) e interceptación ilícita de datos y comunicaciones digitales (art. 3°). La antigua Ley 19.223 fue derogada.

2. ¿Qué pena tiene el acceso ilícito?

Simple: presidio menor grado mínimo (61-540 días) o multa 11-20 UTM. Con ánimo de apoderamiento de datos: presidio menor grados mínimo a medio (61 días a 3 años).

3. ¿Qué pena tiene la interceptación ilícita?

Presidio menor grados medio a máximo (541 días a 5 años). Es más grave que el acceso ilícito porque atenta directamente contra la confidencialidad de las comunicaciones.

4. ¿Qué significa "superar barreras técnicas" y por qué es importante?

La Ley 21.459 exige que el autor haya vencido medidas de seguridad (contraseñas, firewalls, cifrado, autenticación). El mero acceso a un sistema sin protección no configura el delito. Este requisito es una línea de defensa fundamental para el imputado.

5. ¿El phishing es espionaje informático?

Puede configurar acceso ilícito (si las credenciales obtenidas se usan para acceder al sistema) y fraude informático (art. 7° si se obtiene transferencia patrimonial). Frecuentemente se presenta como concurso de delitos.

6. ¿El espionaje industrial es delito informático?

Sí, cuando se realiza mediante acceso ilícito a sistemas o interceptación de comunicaciones. Configura acceso ilícito con ánimo de apoderamiento (art. 2° inc. 2°). La empresa víctima puede presentar querella y solicitar reparación patrimonial.

7. ¿Se agrava la pena si afecta infraestructura crítica?

Sí. El art. 9° aumenta la pena en un grado si afecta servicios de electricidad, agua, telecomunicaciones, financieros o procesos electorales. La interceptación ilícita puede llegar hasta 10 años.

8. ¿Una empresa puede ser penalmente responsable por espionaje informático?

Sí. La Ley 21.459 incorporó estos delitos a la Ley 20.393. Una empresa puede ser sancionada si el espionaje fue cometido en su interés y carecía de modelo de prevención adecuado.

9. ¿Qué diferencia hay entre espionaje informático y sabotaje informático?

El espionaje ataca la confidencialidad (acceder o interceptar sin autorización). El sabotaje ataca la disponibilidad (impedir el funcionamiento del sistema). Pueden concurrir si el atacante primero accede ilícitamente y luego sabotea.

10. ¿La defensa puede cuestionar si se superaron barreras técnicas?

Sí. Es una línea de defensa fundamental. Si el sistema no tenía medidas de seguridad o el imputado tenía autorización legítima, no se configura el acceso ilícito. Contraperitajes informáticos pueden acreditar esto.

11. ¿Quién investiga el espionaje informático?

La BRICIB de la PDI en coordinación con la Fiscalía. Cooperación internacional vía Convenio de Budapest e Interpol cuando el espionaje involucra actores en otros países.

12. ¿Proceden salidas alternativas?

Para acceso ilícito simple (pena menor): pueden proceder suspensión condicional o acuerdos reparatorios. Para interceptación ilícita (pena hasta 5 años): las opciones son más limitadas pero dependen del caso concreto.

13. ¿Qué pasó con la Ley 19.223?

Fue completamente derogada por la Ley 21.459 (2022). La nueva ley separó el acceso ilícito de la interceptación, exigió la superación de barreras técnicas y modernizó la tipificación siguiendo el Convenio de Budapest.

14. ¿La víctima puede obtener reparación patrimonial?

Sí. La víctima puede demandar indemnización por pérdida de propiedad intelectual, datos de clientes, secretos comerciales y costos de remediación. Esta demanda puede tramitarse dentro del mismo proceso penal.

15. ¿Qué es la receptación de datos?

El art. 6° de la Ley 21.459 sanciona a quien comercializa, transfiere o almacena datos obtenidos mediante acceso o interceptación ilícita. La pena es la del delito base rebajada en un grado.

16. ¿Qué medidas cautelares pueden imponerse?

Prisión preventiva, arresto domiciliario, prohibición de uso de dispositivos o internet, decomiso de equipos, prohibición de contacto con la víctima y prohibición de salir del país. Un abogado puede argumentar la improcedencia de medidas desproporcionadas.

17. ¿Qué es la preservación provisoria de datos?

Herramienta de la Ley 21.459 que permite a la Fiscalía ordenar a proveedores de servicios conservar datos de tráfico y conexión antes de que se eliminen, mientras se obtiene autorización judicial para su entrega.

18. ¿El espionaje informático prescribe?

Sí. Se aplican las reglas generales del Código Penal. Para acceso ilícito simple (falta): 6 meses. Para acceso con apoderamiento e interceptación (simple delito): 5 años. Con agravante de infraestructura crítica: puede aumentar a 10 años.

19. ¿Dónde puedo denunciar espionaje informático?

Ante la Fiscalía, la PDI (BRICIB), Carabineros o tribunales con competencia penal. Preserve la evidencia digital antes de denunciar y cuente con asesoría de un abogado penalista.

20. ¿Schneider Abogados representa tanto a imputados como a víctimas?

Sí. Ejercemos defensa penal para imputados y representación como querellante para víctimas (personas naturales y empresas). Llame al +56 2 3267 1946 para una evaluación de su caso.

16. Lo que dicen nuestros clientes

El Departamento Penal de Schneider Abogados está integrado por abogados penalistas con experiencia en cibercrimen y delitos informáticos bajo la Ley 21.459, incluyendo espionaje informático, sabotaje informático, ataque a datos, fraude informático y grooming. El equipo combina conocimiento jurídico penal con comprensión del entorno tecnológico, representando tanto a imputados como a víctimas querellantes (personas naturales y empresas) en todo Chile. Oficina principal en el World Trade Center, Torre Norte, Oficina 2102, Las Condes, Santiago. El departamento también gestiona eliminación de antecedentes penales, salidas alternativas y delitos económicos.

Abogados especialistas en espionaje informático --- defensa penal y representación de víctimas

En Schneider Abogados, nuestro equipo de abogados penalistas combina derecho penal con comprensión tecnológica para casos de espionaje informático en Chile. Ya sea como imputado o como víctima, evaluamos cada caso de forma individual y diseñamos la estrategia que mejor proteja sus intereses.

Contáctenos:

--- Llame al +56 2 3267 1946

--- Hable con un abogado en el chat en vivo

--- Complete el formulario:

Contenido revisado por el Departamento Penal de Schneider Abogados. Este artículo tiene carácter informativo y no constituye asesoría legal. Cada caso requiere un análisis particular. Para una evaluación personalizada, contacte a nuestro equipo.